Índice
- Por que o CLI é importante para engenheiros
- Análise aprofundada do Bitwarden CLI
- Análise aprofundada do 1Password CLI
- Análise aprofundada do pass
- Análise aprofundada do gopass
- Matriz de comparação: 4 ferramentas × 12 critérios
- Recomendações por perfil
Por que o CLI é importante para engenheiros
Um gestor de palavras-passe GUI é uma camada de conveniência. Um gestor de palavras-passe CLI é infraestrutura. A diferença torna-se óbvia no momento em que precisa de um segredo dentro de um script shell, um pipeline CI/CD, uma construção Docker, um contêiner de inicialização Kubernetes ou um cron job que corre às 3 da manhã sem um utilizador autenticado em qualquer parte da cadeia.
Os quatro fluxos de trabalho que expõem esta lacuna são recorrentes o suficiente para valer a pena nomeá-los explicitamente.
Script e automação. Scripts shell que chamam APIs autenticadas, migrações de base de dados, scripts de implementação que rodam certificados TLS — todos eles precisam de credenciais em tempo de execução. O padrão de codificação de um segredo num script ou ficheiro de ambiente ainda é como a maioria das equipas começa, e também é como a maioria das equipas tem a sua primeira violação. Um gestor de palavras-passe CLI quebra esse padrão de forma limpa: a credencial vive no cofre e é recuperada, usada e descartada numa única invocação de comando.
Rotação de segredos. Estruturas de conformidade (SOC 2, ISO 27001, controlos operacionais GDPR) exigem cada vez mais a rotação de credenciais num cronograma fixo — chaves API de 90 dias, palavras-passe de base de dados de 30 dias em alguns ambientes. Fazer isso manualmente é propenso a erros e lento. Uma ferramenta CLI ligada a um script de rotação torna isso mecânico: recuperar o segredo antigo, chamar a API do serviço para rodar, escrever o novo segredo de volta ao cofre, atualizar consumidores a jusante via injeção de variáveis de ambiente.
Injeção de segredos CI/CD. O padrão que se tornou padrão em 2026: sem segredos nas configurações de variáveis de ambiente no seu painel CI. Em vez disso, um token de sessão de curta duração autentica o pipeline no cofre, os segredos são buscados no início do trabalho, injetados no ambiente do subprocesso e a sessão expira. É isso que bw run, op run e a renderização de modelos gopass permitem.
Gestão de chaves SSH. Chaves SSH privadas são credenciais. Armazená-las como ficheiros simples em máquinas de desenvolvedores é o equivalente a uma palavra-passe em texto simples. Todas as quatro ferramentas nesta comparação podem atuar como um armazenamento encriptado para chaves SSH; duas delas expõem um socket de agente SSH nativo que lida com operações de assinatura sem nunca colocar a chave desencriptada no disco.
As quatro ferramentas que comparamos situam-se em duas categorias. Bitwarden CLI e 1Password CLI são interfaces para serviços de cofre sincronizados na nuvem com infraestrutura comercial por trás deles. pass e gopass são ferramentas locais construídas com encriptação GnuPG e sincronização git, sem componente de nuvem obrigatório. As compensações entre esses dois modelos — simplicidade operacional versus modelo de confiança — são o eixo em torno do qual a maioria das decisões de equipa gira.
Análise aprofundada do Bitwarden CLI
Bitwarden é um gestor de palavras-passe de código aberto com um servidor auto-hospedável (Vaultwarden é o fork da comunidade, o servidor oficial do Bitwarden também é de código aberto). O CLI, bw, é um binário Node.js que é distribuído como um único executável compilado para Linux, macOS e Windows.
Autenticação e desbloqueio do cofre. Existem dois caminhos de autenticação. O login interativo com bw login solicita email, palavra-passe mestre e token 2FA. O login com chave API com bw login --apikey usa as variáveis de ambiente BW_CLIENTID e BW_CLIENTSECRET — este é o caminho correto para pipelines CI/CD. Após a autenticação, o desbloqueio do cofre é um passo separado: bw unlock com BW_PASSWORD definido retorna um token de sessão. Armazene o token de sessão em BW_SESSION durante a duração do trabalho.
export BW_SESSION=$(bw unlock --passwordenv BW_PASSWORD --raw)
bw get password "production/postgres"
O token de sessão é uma chave AES-256 local que desencripta o blob encriptado do cofre em cache. É de curta duração por padrão (15 minutos de inatividade) e não sai da máquina.
Modelo de sincronização. O cofre é armazenado em cache localmente como um blob encriptado após bw sync. Em ambientes CI, sempre execute bw sync no início de um trabalho para garantir que o cache local corresponda ao servidor. A sincronização é uma extração completa: não há sincronização parcial disponível, o que significa que a operação é O(tamanho do cofre). Para cofres com menos de 10.000 itens, a latência de sincronização é inferior a 2 segundos.
Especificação de encriptação. Bitwarden encripta dados do cofre com AES-256-CBC com um IV aleatório por campo. A chave do cofre é derivada da palavra-passe mestre usando Argon2id (64 MB de memória, 3 iterações, 4 threads). A chave esticada nunca sai do cliente. Todas as operações criptográficas acontecem localmente; o servidor armazena apenas o texto cifrado. O código-fonte tanto do cliente quanto do servidor está no GitHub e foi auditado por terceiros — a auditoria mais recente pela Cure53 foi publicada em março de 2025.
Padrões de variáveis de ambiente. Para segredos de aplicação, Bitwarden suporta o carregamento de credenciais diretamente em ambientes de subprocessos:
bw get notes "app/env-vars" | source /dev/stdin
# ou use bw run (wrapper):
bw run -- ./my-script.sh
O comando bw run ainda não está completo em termos de funcionalidades comparado ao op run, mas lida com os casos mais comuns.
Preços. Plano gratuito: palavras-passe ilimitadas, sem partilha de itens, sem recuperação 2FA, sem TOTP. Plano individual: $10/ano — adiciona suporte TOTP, anexos encriptados, acesso de emergência. Plano de equipas: $4/utilizador/mês — adiciona cofres de organização partilhados, gestão de grupos, consola de administração, registos de eventos, acesso à API. A opção auto-hospedada está disponível em todos os planos pagos sem custo adicional: implante o servidor Bitwarden na sua própria infraestrutura e o CLI conecta-se a ele. As compensações operacionais espelham as de auto-hospedar o seu email: controle total em troca de responsabilidade por atualizações e tempo de atividade.
Análise aprofundada do 1Password CLI
1Password é um gestor de palavras-passe comercial e de código fechado. O CLI, op, é um binário Go distribuído através dos repositórios de pacotes do 1Password e Homebrew. É a ferramenta mais completa das quatro do ponto de vista de CI/CD e fluxo de trabalho de desenvolvedor.
Autenticação e contas de serviço. O 1Password CLI 2.x introduziu contas de serviço especificamente para uso não interativo. Uma conta de serviço tem um token (OP_SERVICE_ACCOUNT_TOKEN) que concede acesso de leitura ou leitura-escrita a cofres específicos. Não há palavra-passe mestre no loop. Este é o modelo correto para pipelines CI/CD, segredos partilhados em contêineres e qualquer sistema automatizado que precise de acesso a credenciais de longa duração.
export OP_SERVICE_ACCOUNT_TOKEN="ops_..."
op read "op://DevVault/postgres/password"
Integração com agente SSH. Esta é a funcionalidade que separa o 1Password das outras três ferramentas para fluxos de trabalho de desenvolvedor individual. A aplicação 1Password expõe um socket de agente SSH (/tmp/1password-ssh-agent.sock). Adicione IdentityAgent ao seu ~/.ssh/config e as suas chaves SSH são assinadas pelo agente sem que a chave privada toque no sistema de ficheiros em texto simples. Combinado com desbloqueio biométrico (Touch ID no macOS, Windows Hello), este é o fluxo de trabalho de chave SSH mais ergonómico disponível hoje.
Host *
IdentityAgent "~/Library/Group Containers/2BUA8C4S2C.com.1password/t/agent.sock"
Integrações de desenvolvedor. O CLI do 1Password tem integrações de primeira classe com várias ferramentas de desenvolvedor:
op runinjeta segredos de ficheiros de modelo.envcom sintaxeop://vault/item/field. Nenhum segredo em texto simples é escrito no disco.- Assinatura de commits Git via integração com agente SSH:
opassina commits com uma chave SSH armazenada no cofre. - Provedor Terraform: o provedor
1password/onepasswordpara Vault (não HashiCorp Vault — o próprio do 1Password) lê e escreve segredos de planos Terraform. - Injeção de segredos Kubernetes:
op injectrenderiza manifestosSecretdo Kubernetes com referências de cofre resolvidas no momento da implementação.
Modo de desenvolvimento e plugins de shell. op plugin init aws configura o CLI AWS para buscar credenciais do cofre em cada invocação. O mesmo mecanismo existe para CLI GitHub, CLI Stripe, CLI Fastly, entre outros. Para desenvolvedores que usam múltiplos CLIs com credenciais rotativas, isso elimina completamente o padrão de ficheiro de credenciais.
Especificação de encriptação. O 1Password usa AES-256-GCM para dados do cofre, com chaves protegidas pelo modelo de dupla chave Chave Secreta + Palavra-passe Mestre. A chave secreta (128 bits de entropia aleatória gerada na criação da conta) é armazenada apenas nos dispositivos do utilizador, nunca nos servidores do 1Password. A derivação de chave usa PBKDF2-SHA256 (650.000 iterações para o componente de palavra-passe mestre). O modelo combinado significa que uma violação do servidor sozinha não pode desencriptar nenhum dado do cofre.
Preços. Individual: $36/ano ($2,99/mês) — palavras-passe ilimitadas, 1 GB de armazenamento de documentos, Modo de Viagem, integração com navegador 1Password.com. Starter de Equipas: $19,95/mês para até 10 utilizadores — contas de convidados, cofres partilhados, permissões granulares. Negócios: $8/utilizador/mês — RBAC avançado, funções personalizadas, integração Splunk/SIEM, API de eventos de auditoria. Enterprise: preços personalizados — provisionamento SSO/SCIM, revisões de segurança personalizadas, suporte dedicado. Sem plano gratuito. Sem opção auto-hospedada.
Análise aprofundada do pass
pass é o Gestor de Palavras-passe Padrão Unix. Criado por Jason Donenfeld (também o autor do WireGuard), é um script Bash — todo o programa, incluindo sincronização, geração e edição, tem menos de 600 linhas de shell. A filosofia de design é explícita: um ficheiro de texto por segredo, encriptado com GPG, armazenado numa árvore de diretórios, sincronizado via git.
Mecânica principal. O armazenamento de palavras-passe vive em ~/.password-store por padrão. Cada entrada é um ficheiro .gpg cujo texto simples é tipicamente uma palavra-passe na primeira linha seguida por metadados (URL, nome de utilizador, notas) nas linhas subsequentes. A convenção é respeitada por todos os clientes compatíveis com pass.
~/.password-store/
production/
postgres.gpg # palavra-passe linha 1, notas abaixo
api-key-stripe.gpg
personal/
email.gpg
Encriptando um novo segredo:
pass insert production/redis-password
# ou com múltiplas linhas:
pass insert --multiline production/postgres
Lendo:
pass production/postgres # saída para stdout
pass -c production/postgres # copia para a área de transferência, limpa em 45s
Modelo GPG. Cada ficheiro .gpg é encriptado para um ou mais IDs de chave pública GPG especificados em ficheiros .gpg-id ao nível do diretório. É assim que o acesso multi-recipient funciona: adicione as impressões digitais das chaves dos membros da equipa ao .gpg-id, depois re-encripte com pass init --reencrypt. Cada segredo na subárvore é re-encriptado para todas as chaves listadas.
O modelo de segurança é tão transparente quanto possível: está a confiar no GnuPG, na sua própria gestão de chaves e no fornecedor de hospedagem git. Não há middleware, nenhum binário proprietário, nenhum fluxo de autenticação na nuvem. O modelo de ameaça é correspondentemente simples de raciocinar.
Sincronização git. pass git proxy para comandos git diretamente. pass git push, pass git pull. O histórico git armazena cada alteração com uma mensagem de commit que intencionalmente revela apenas o tipo de operação (adicionar, editar, excluir) e o caminho da entrada — o conteúdo permanece encriptado. Para equipas, um repositório bare partilhado num host git privado (GitHub, GitLab, Gitea auto-hospedado) é a configuração padrão.
Ecossistema. pass tem um amplo ecossistema:
- passff / browserpass: extensões de navegador para Firefox e Chrome que injetam credenciais do armazenamento.
- Android Password Store (agora chamado OpenKeychain + APS): cliente Android com total compatibilidade com pass.
- QtPass: GUI multiplataforma.
- pass-otp: plugin para códigos TOTP —
pass otp production/totp-key.
Limitações. A filosofia Unix tem dois lados. Não há UI nativa de gestão de equipas, sem registos de acesso, sem deteção de violações, sem aplicação móvel mantida pela mesma equipa, sem help desk. A gestão de chaves GPG em escala é genuinamente dolorosa: quando um membro da equipa sai, remove a sua chave do .gpg-id e re-encripta cada segredo a que tinham acesso. Para uma equipa de 20, isso pode levar vários minutos e requer que as chaves públicas de todos os membros restantes estejam atualizadas no keyring de todos. gopass resolve a maioria desses problemas.
Preço. Gratuito. Licenciado MIT. Sem contas, sem subscrições.
Análise aprofundada do gopass
gopass é pass, reescrito em Go, com segredos estruturados, comandos de equipa e um backend plugável. Foi criado por engenheiros da Codecentric e é mantido ativamente em 2026. O binário principal, gopass, é um substituto direto para pass — lê e escreve o mesmo formato de armazenamento — enquanto adiciona capacidades que pass não tem em escala.
Segredos estruturados. Onde pass armazena um blob de texto por entrada, gopass suporta um formato de chave-valor tipo YAML dentro do ficheiro encriptado:
gopass insert --multiline production/postgres
# texto simples dentro do .gpg:
---
password: hunter2
username: postgres
host: db.prod.example.com
port: 5432
Os campos são então acessíveis individualmente:
gopass show production/postgres password # apenas o campo de palavra-passe
gopass show production/postgres host # apenas o host
Isto é significativo para CI/CD: campos individuais podem ser injetados em variáveis de ambiente sem analisar a saída de múltiplas linhas.
Montagens. gopass suporta múltiplos armazenamentos de palavras-passe ("montagens") acessíveis sob prefixos de namespace:
gopass mounts add work git@github.com:mycompany/passwords.git
gopass mounts add home ~/.personal-pass
Os segredos vivem em work/production/postgres ou home/personal/email. Cada montagem é um repositório git separado com o seu próprio .gpg-id. Este é o modelo correto para um desenvolvedor que tem um cofre de trabalho e um cofre pessoal que nunca devem ser misturados.
Fluxos de trabalho em equipa. gopass tem comandos de gestão de equipa de primeira classe:
gopass recipients add --store work "colleague@example.com"— adiciona uma chave GPG de um destinatário do seu keyring, depois re-encripta apenas a montagem afetada.gopass recipients rm --store work "departed@example.com"— remove uma chave e re-encripta.gopass audit— verifica senhas fracas e entradas duplicadas em todas as montagens.
A re-encriptação na mudança de membros da equipa ainda é O(número de segredos), mas gopass paraleliza e só re-encripta a montagem afetada, não todo o armazenamento.
Suporte de encriptação age. Desde a versão 1.14, gopass suporta age (uma ferramenta de encriptação moderna de Filippo Valsorda) como uma alternativa ao GPG. age tem um formato de chave mais simples (chaves X25519, chaves SSH ou chaves derivadas de senha), sem dependência de servidor de chaves e uma base de código mais auditável. Para novos armazenamentos, age é recomendado sobre GPG se a equipa não tiver infraestrutura GPG existente.
gopass init --crypto age
Renderização de modelos. gopass tem um subcomando gopass env que resolve referências de segredos num modelo de ambiente:
DATABASE_URL=postgres://{{ gopass "production/postgres/username" }}:{{ gopass "production/postgres/password" }}@{{ gopass "production/postgres/host" }}:5432/mydb
Não tão polido quanto op run, mas funcional para a maioria dos casos de uso de pipeline.
Aplicações companheiras. gopass tem integração com navegador via gopass bridge para Chrome e Firefox. A aplicação Android é mantida separadamente. Não há cliente oficial para iOS, embora os clientes do ecossistema pass (que lêem o mesmo formato de armazenamento) preencham parcialmente essa lacuna.
Preço. Gratuito. Licenciado MIT.
Matriz de comparação: 4 ferramentas × 12 critérios
| Critério | Bitwarden CLI | 1Password CLI | pass | gopass |
|---|---|---|---|---|
| Encriptação | AES-256-CBC + Argon2id | AES-256-GCM + PBKDF2 (650k) | GnuPG (RSA/Ed25519) | GnuPG ou age (X25519) |
| Modelo de sincronização | Nuvem (Bitwarden.com ou auto-hospedado) | Apenas nuvem (1Password.com) | git (qualquer remoto) | git por montagem (qualquer remoto) |
| Integração Dev | bw run, variáveis de ambiente, API REST | op run, plugins de shell, Terraform | Manual / scriptado | gopass env, renderização de modelos |
| Suporte CI/CD | Autenticação por chave API, padrão BW_SESSION | Contas de serviço, OP_SERVICE_ACCOUNT_TOKEN | Agente GPG + git | Agente GPG/age + git |
| Agente SSH | Nenhum nativo (solução alternativa via scripts) | Socket nativo (agent.sock), desbloqueio biométrico | Manual (ssh-add de desencriptação canalizada) | Auxiliar gopass ssh, manual |
| Partilha em equipa | Cofres de organização, RBAC de grupo | Cofres partilhados, ACL granular | .gpg-id por dir, re-encriptação manual | gopass recipients, ACL ao nível da montagem |
| Preço | Gratuito / $4/utilizador/mês (Equipas) | $36/ano individual / $8/utilizador/mês (Negócios) | Gratuito | Gratuito |
| Companheiro móvel | iOS + Android oficial | iOS + Android oficial | Comunidade (APS, OpenKeychain) | Comunidade (aplicações compatíveis com pass) |
| Desbloqueio biométrico | Via aplicação do dispositivo (iOS/Android) | Nativo (Touch ID, Windows Hello, Face ID) | Nenhum | Nenhum |
| Registo de auditoria | Registo de eventos (Equipas+) | API de eventos de auditoria (Negócios+) | apenas log git | log git + gopass audit |
| Scriptabilidade | Alta (bw get, saída JSON) | Mais alta (op read, campos estruturados, plugins) | Alta (pipes Unix, Bash-nativo) | Muito alta (campos estruturados, gopass show field) |
| Curva de aprendizagem | Baixa (onboarding guiado, paridade GUI) | Baixa-média (conceitos: cofres, itens, campos) | Alta (configuração GPG, gestão de chaves) | Média-alta (GPG ou age + conceito de montagens) |
Notas de encriptação. AES-256-GCM (1Password) fornece encriptação autenticada nativamente, enquanto AES-256-CBC (Bitwarden) requer um MAC separado. Na prática, ambas as implementações são sólidas. O caminho GnuPG para pass e gopass tem uma superfície de ataque maior em termos de complexidade de biblioteca, mas o código foi auditado extensivamente e o modelo de confiança é mais transparente. age é a opção mais limpa do ponto de vista do design criptográfico: troca de chaves X25519, encriptação de carga ChaCha20-Poly1305, sem armadilha de agilidade de algoritmo.
Notas de modelo de sincronização. Ferramentas sincronizadas na nuvem (Bitwarden, 1Password) são mais simples de operar: instalar, autenticar, feito. Ferramentas baseadas em git requerem que hospede um repositório git, gerencie disciplina de clone/push/pull e lide com conflitos de mesclagem se dois membros da equipa editarem simultaneamente. A vantagem é que ferramentas baseadas em git não têm dependência de nuvem obrigatória — o cofre pode viver inteiramente em infraestrutura que controla.
Notas de suporte CI/CD. O modelo de conta de serviço do 1Password é o mais maduro: um único token, com escopo para cofres específicos, revogável sem afetar a sessão de qualquer utilizador humano. O modelo de chave API do Bitwarden funciona bem, mas requer manter o token de sessão fresco (o passo bw unlock adiciona 300–600 ms de latência). pass e gopass são viáveis em CI quando a chave privada GPG está disponível como um segredo de pipeline — um padrão que tem suas próprias questões de custódia de chave.
Recomendações por perfil
Desenvolvedor independente (solo, sem equipa). Use Bitwarden CLI numa conta gratuita para qualquer coisa que não exija integração com agente SSH, e 1Password se quiser gestão de chaves SSH pronta para uso. Para o desenvolvedor solo fortemente preocupado com a privacidade que deseja zero dependência de nuvem: gopass com encriptação age num repositório git privado que hospeda. A curva de aprendizagem é real, mas o modelo de confiança é o mais limpo disponível.
Equipa de 5–20 desenvolvedores. Comece com 1Password Teams se o orçamento permitir — a integração com agente SSH, op run para CI/CD, contas de serviço para pipelines e o registo de auditoria cobrem 95% do que uma equipa deste tamanho precisa, com mínima sobrecarga operacional. Se o orçamento for uma restrição ou auto-hospedagem for um requisito rígido, Bitwarden Teams ($4/utilizador/mês, auto-hospedável via Vaultwarden) é a escolha correta. Evite pass ou gopass nesta escala, a menos que a equipa tenha expertise dedicada em gestão de chaves GPG; o custo operacional da rotatividade de membros é alto.
Empresa (100+ desenvolvedores). 1Password Business ou Bitwarden Enterprise (auto-hospedado). Os fatores diferenciadores são provisionamento SSO/SCIM (1Password tem OIDC e SAML; Bitwarden tem conector de diretório SCIM), exportação de registo de auditoria para SIEM (ambos suportam no nível superior) e relatórios de conformidade. O nível empresarial do 1Password inclui políticas de proteção avançadas e revisões de segurança sob demanda. O caminho auto-hospedado do Bitwarden é preferido por organizações que não podem tolerar uma dependência de nuvem para material de chave, mesmo sob um modelo de responsabilidade compartilhada.
Utilizador avançado paranoico / especialista em rotação de segredos. gopass com age num repositório git privado, chave mestre GPG num dispositivo isolado ou num Yubikey, operações diárias assinadas com uma subchave. Para rotação de segredos, construa um script de rotação que chame gopass show <secret>, acione a API do serviço para rodar e chame gopass insert <secret> com o novo valor. Todo o pipeline corre localmente sem chamada na nuvem, exceto para o serviço alvo. Para SSH, combine gopass com ssh-add num script de inicialização — menos ergonómico do que o agente do 1Password, mas totalmente auditável. Adicione gopass audit ao seu cron semanal para detectar segredos fracos ou duplicados antes que se tornem um problema de conformidade. Calibre este nível de rigor contra o seu modelo de ameaça real antes de se comprometer com ele.
Para uma leitura fundamental sobre o modelo de ameaça mais amplo que torna a gestão de segredos crítica, veja o nosso pilar de privacidade de navegador 2026. Para uma referência sobre como endurecer a camada OS que subjaz a qualquer fluxo de trabalho de segredos, a nossa análise do Modo de Bloqueio cobre como a superfície de ataque ao nível do OS interage com os armazenamentos de credenciais na camada de aplicação.
Qualquer que seja a ferramenta que escolha, a linha de base não negociável é esta: nenhuma credencial em texto simples toca num repositório, num ficheiro de log ou num painel de variáveis de ambiente. Um gestor de palavras-passe CLI é o mecanismo que torna essa linha de base sustentável à velocidade da engenharia.
