LA GUIDA COMPLETA

I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende

Questi programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) hanno vantaggi e svantaggi. Vediamo come usarli, perché e quali sono i migliori

Aggiornato il 16 Gen 2024

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Direttivo CLUSIT

Password Manager: uno strumento essenziale per la sicurezza online. Memorizza in modo sicuro tutte le tue password, rendendo facile l’accesso ai tuoi account online

Password manager, probabilmente ne hai già sentito parlare. Ma noi ti spieghiamo come usarli al meglio e quali sono i migliori da installare subito per mettere al sicuro le credenziali di accesso ai vari servizi che utilizziamo quotidianamente.

Questo approfondimento sui password manager, inoltre, ci consente di dare risposta a una domanda che sempre più utenti e addetti ai lavori si pongono: ci stiamo avvicinando a un mondo “passwordless”, dove le password non serviranno più? È probabile, ma non sarà nel breve periodo e comunque non in maniera totale.

Dovremo continuare a convivere con le password ancora per anni, quindi sarà opportuno farlo nel modo più sicuro e comodo possibile.

Perché non è difficile convivere senza ansie con le tante password che ci troviamo a dover gestire nella nostra vita digitale.

E proprio per fare questo ci sono di grande aiuto i password manager.

Cos’è e come funziona un password manager

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno.

I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia).

Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Approfondiamo meglio questi concetti, ma ti consigliamo anche di leggere l’articolo completo su come scegliere la password migliore, sicura.

Siamo ancora lontani, infatti, da un mondo senza password (o, come qualcuno ama dire, “passwordless)” e dovremo quindi continuare a “convivere” con le password per anni. Tali strumenti rappresentano le chiavi d’accesso ai dati aziendali, quindi conviene farne un uso corretto.

Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: secondo LastPass (uno dei più noti gestori di password) il dipendente medio di un’azienda gestisce 191 password. Un utente del web deve gestire almeno un centinaio di password.

Ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: il password reuse, cioè l’utilizzo della stessa password per account diversi.

È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del credential stuffing, letteralmente “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti. Lo si può fare in modo automatico utilizzando software come Shard (“A command line tool to detect shared passwords”, open source e reperibile su GitHub).

Quindi le password devono essere: sempre diverse, lunghe e complesse. “The only secure password is the one you cant remember”: in questa frase, che è il titolo di un famoso articolo di Troy Hunt del 2011, c’è la sintesi del problema: dobbiamo usare password impossibili da ricordare.

Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto proprio i password manager.

La prima installazione dei password manager

La prima installazione di un password manager può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno.

In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro.

La funzione di Esportazione delle password è presente anche nel browser Chrome: dal menu Impostazioni/Compilazione automatica/Gestione password/Password salvate è possibile usare il comando Esporta password per generare un file .csv che quasi tutti i password manager sono in grado di importare.

La medesima funzione è disponibile anche in Firefox, nella sezione delle impostazioni dedicate alle password, che è denominata Firefox Lockwise e che è – in pratica – un password manager anche se abbastanza rudimentale. Ne parleremo in seguito. Anche in questo caso si ottiene un file .csv non crittografato.

Se, viceversa, non si proviene da un precedente gestore di password (o se l’opzione di importazione non è disponibile), l’iniziale utilizzo di un PM richiederà il riempimento manuale dei campi (soprattutto quelli indispensabili: username, password, URL del sito).

Questa attività si rende necessaria solo al primo utilizzo, per popolare il PM. Successivamente, ogni nuova voce potrà essere aggiunta in modo automatico dal password manager (funzione presente nei PM migliori).

In altre parole: grazie all’estensione del browser, il password manager può riconoscere se abbiamo creato un nuovo account/login e memorizzarlo nel suo database.

Precisiamo – e ne tratteremo anche in seguito – che ogni password manager richiede l’installazione della sua estensione sul browser che utilizziamo. Tali estensioni sono componenti aggiuntivi, conosciuti anche come plugin o add-on che vengono installate nei browser e ne ampliano le funzionalità e le interazioni con altri programmi. Tutti i principali password manager mettono a disposizione le estensioni per i browser più diffusi.

I vantaggi dei password manager

Sono molti i vantaggi che offrono i migliori PM presenti sul mercato:

  1. serve ricordare una sola password: come detto, è la Master Password per aprirli;
  2. offrono modelli standard da utilizzare per facilitare la compilazione delle principali tipologie di voci da inserire. Avremo quindi i template per: conto bancario, carta di credito, documento, login, account email, nota sicura, password Wi-Fi ecc.;
  3. per ciascuna voce possiamo aggiungere e memorizzare molti dati: username, password, numeri di telefoni, date di scadenza, foto di documenti o carte di credito, ecc. e personalizzarli a nostro piacimento. Questo li rende molto più pratici e completi rispetto ai password manager che sono presenti nativamente nei principali browser (Chrome, Firefox, Safari);
  4. nei migliori PM dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit, lo stesso utilizzato come standard dal governo USA per proteggere i documenti classificati “Top Secret”. Tale crittografia è ritenuta inviolabile dai computer attuali. Quindi, anche se un attaccante riuscisse ad impossessarsi del file (vault) con le nostre password, non sarebbe in grado di decrittarlo;
  5. hanno la capacità di generare automaticamente password sicure e complesse: quindi ogni qualvolta dobbiamo impostare o cambiare una password, basterà farla creare dal PM e sarà realizzata con i migliori requisiti di sicurezza da adottare per le password;
  6. la maggior parte dei PM integrano un sistema intelligente di riempimento automatico (autofill) dei moduli nei siti web. Non occorre perciò fare “copia/incolla” delle password per completare il login. Questa funzionalità risulta eccezionalmente comoda: è sufficiente entrare nella pagina di login del sito, avere il PM sbloccato e questo automaticamente riconoscerà il sito inserendo le relative credenziali d’ A questo punto la lunghezza della password non sarà più un problema! Per utilizzarla occorre installare su ciascun browser l’estensione del password manager. Nei PM più evoluti l’autofill funziona non solo nei moduli di login, ma anche per il riempimento automatico dei dati delle carte di credito. Questo è molto pratico per evitare la – sconsigliabile – pratica di memorizzare i dati della carta di credito all’interno di un sito;
  7. la funzione di riempimento automatico è implementata anche sulle applicazioni mobili (iOS ed Android) dei PM;
  8. il riempimento automatico genera un ulteriore vantaggio: protegge dal Phishing scam. In altre parole, se siamo atterrati su una pagina di login attraverso un link di phishing, questo sarà falso, cioè diverso dall’URL del vero sito. Quindi la funzione di riempimento automatico fallirà, perché non trova corrispondenza tra l’URL in cui ci troviamo e quello salvato sul PM;
  9. i PM non sono in grado di cambiare/aggiornare autonomamente le password nei siti, questa operazione dovrà ovviamente essere fatta dall’utente. Tuttavia, grazie all’estensione del browser, sono in grado di riconoscere il cambio della password (nel momento in cui viene fatto) e possono aggiornare automaticamente la password all’interno del loro database. In genere, prima di farlo, richiedono la conferma da parte dell’utente (per evitare aggiornamenti errati o non voluti).

Gli svantaggi dei password manager

I migliori PM sono sicuri e facili da usare, ma sebbene si tratti di strumenti molto utili, sarà bene metterne in evidenza anche i possibili errori che l’utente non dovrebbe fare nel loro utilizzo.

Segnalo solo tre possibili rischi (o svantaggi):

  1. dimenticare la Master Password: nella maggior parte dei PM non esiste il solito pulsante Ho dimenticato la password” per recuperare la chiave d’accesso, proprio per ragioni di sicurezza. Quindi dimenticare la master password significa non avere più l’accesso al PM e perdere irrimediabilmente tutte le proprie password! Talvolta, in fase d’installazione, viene generata una chiave di sicurezza (lunga 32 caratteri almeno), da utilizzare in caso di emergenza. Ovviamente anche questa “secret key” va conservata con attenzione, perché rappresenta l’ultima possibilità per recuperare l’accesso alla propria cassaforte;
  2. farsi rubare la Master Password: conservare tutte le password in un unico archivio può essere rischioso, quindi proteggiamolo con una password forte, in fondo è l’unica che dovremo veramente ricordare. Questo è indiscutibilmente vero ed è – infatti – la principale critica che viene mossa da chi non apprezza i PM;
  3. scegliere un Password Manager non sicuro: potrebbe essere pericoloso affidare le proprie password ad un software creato da altri, perché un malintenzionato potrebbe confezionare e mettere in commercio un PM appositamente per rubarci le password. Per evitare questo rischio – che è reale – consiglio di scegliere solo PM di aziende note ed affidabili. Vedremo quali sono i prodotti più consigliati.

Ci possiamo fidare dei password manager?

“Perché dovrei dare la mia password a qualcun altro per memorizzarla?”

Questa domanda che mi sento fare spesso, soprattutto nella mia attività di formazione, non è priva di senso.

Premesso che nella cyber security non esiste la sicurezza assoluta, i password manager rappresentano la miglior soluzione che compendia sicurezza e praticità.

I password manager affidabili utilizzano il metodo Zero-Knowledge encryption.

Significa che i fornitori dei PM non sanno nulla dei dati che gli consegnate. Li criptano prima che possano essere memorizzati sui loro server.

È una “busta sigillata”: non sanno cosa c’è dentro. Anche se loro o chiunque altro apre la busta, non saranno in grado di leggerla, perché è criptata con la master password, che solo noi conosciamo.

L’unico modo per perdere l’accesso al password manager è dimenticare la Master Password.

Proprio per effetto della Zero-Knowledge encryption, non c’è modo di leggere le password se non si ha la Master Password.

I migliori Password Manager a pagamento

Nel web e negli App Store si trovano decine, addirittura centinaia di password manager, ma non tutti sono uguali e soprattutto: non tutti sono ugualmente sicuri.

Elencheremo qui solo i prodotti più rinomati, suddividendo in due sezioni questa presentazione:

  1. i prodotti a pagamento;
  2. quelli gratuiti.

I password manager a pagamento utilizzano ormai nella maggior parte dei casi la formula in abbonamento, con un canone mensile o annuale.

Solo in alcuni casi sono disponibili formule in acquisto di una licenza perpetua.

Tutti offrono sia formule per uso personale che per uso aziendale (business).

Sono quasi sempre disponibili anche versioni trial gratuite, che danno accesso a tutte le funzionalità del prodotto ma per un periodo limitato. Poi sarà necessario procedere al pagamento.

Indicheremo per alcuni anche i prezzi, con l’avvertenza che tali quotazioni sono solo indicative, perché potrebbero variare per effetto di promozioni o aumenti.

LastPass (di LogMeIn)

LastPass può essere considerato uno dei “leader di mercato”, per rinomanza, diffusione e qualità.

È disponibile sia in versione Personale che Aziendale. La versione aziendale permette all’amministratore di sistema di avere il controllo di tutte le password aziendali e di distribuire le differenti casseforti in modo granulare agli utenti.

Esiste anche la versione gratuita “Free” che può essere utilizzata senza troppe limitazioni (ma su un solo dispositivo).

LastPass richiede – come la maggior parte di questi PM – la creazione di un account.

Consente di impostare le password utilizzando template già predisposti: login, carta di credito, documenti e via dicendo.

Esistono le versioni per macOS, Windows, iOS, Android, Linux e Chrome OS. Disponibile anche per Windows Phone.

Offre inoltre una funzionalità di importazione delle password provenienti da altri PM, tra i quali tutti i più noti: 1Password, Clipperz, Dashlane, eWallet, FireForm, HP Password Safe, KeePass, oltre che dal gestore delle password di Google Chrome.

Da segnalare che, negli ultimi mesi, LastPass ha subito due incidenti di sicurezza di cui abbiamo dato notizia qui e qui.

PREZZI:

  • sono mediamente un poco più bassi rispetto a quelli dei principali concorrenti;
  • la versione personale è offerta in modalità singolo utente a 2,90 €/mese e in modalità Families (6 licenze Premium per facilitare la condivisione delle password) a 3,90 €/mese;
  • per le aziende esistono la versione Teams (massimo 50 membri) a 3,90 €/mese per utente e quella Enterprise (per un numero illimitato di utenti) a 5,70 €/mese per utente. Maggiori dettagli sul sito.

PRO:

  • versione gratuita utilizzabile con poche limitazioni;
  • indicatore della forza della password e strumenti di monitoraggio del dark web;
  • autenticazione a due fattori presente (per accedere all’account LastPass);
  • possibilità di generare le OTP per l’autenticazione a due fattori (con app collegata “LastPass Authenticator”);
  • mantiene la cronologia completa delle password precedentemente usate.

CONTRO:

  • Alcuni tipi di dati personali non possono essere utilizzati per la compilazione automatica dei moduli.

1Password (di AgileBits)

1Password È un altro leader di mercato, probabilmente il principale concorrente di LastPass.
La società AgileBits (con sede a Toronto) è nata sviluppando un password manager per Mac già nel 2006. Anche per questo, 1Password è il PM più apprezzato soprattutto da chi utilizza dispositivi Apple.

Rispetto ai concorrenti si caratterizza per una grafica particolarmente curata, per i costi leggermente più alti e per l’assenza di una versione gratuita. Esiste solo la possibilità di provarlo gratuitamente per 30 giorni, al termine però sarà necessario sottoscrivere l’abbonamento a pagamento.

1Password è disponibile per tutti i sistemi operativi: macOS, Windows, iOS, Android, Linux ed anche ChromeOS. Sono disponibili le estensioni per Firefox, Chrome, Brave. Non occorre per Safari, perché incorporata nell’applicazione per macOS (a dimostrazione di come 1Password sia particolarmente legata al mondo Apple).

È un prodotto molto ben costruito, come si può vedere consultando le dettagliate pagine di supporto che spiegano in modo chiaro come è implementata la sicurezza.

Utilizza la crittografia AES a 256 bit per la cassaforte delle password (come anche LastPass) e implementa l’algoritmo di derivazione della chiave PBKDF2 (Password-Based Key Derivation Function 2).

Nella versione attuale di 1Password ci sono 650.000 iterazioni di PBKDF2. Ciò significa che chiunque cerchi di indovinare la password di un account deve reiterare gli stessi calcoli per un grande numero di volte. Questo rappresenta una protezione molto efficace dagli attacchi brute force, come spiegato in questa pagina di supporto dell’azienda.

Questa implementazione del PBKDF2 è migliore di quella utilizzata da altri password manager: Bitwarden dal 2023 ha portato le iterazioni a 350.000, mentre LastPass – ai tempi dell’incidente subito qualche mese fa – aveva solo 100.000 iterazioni (non sappiamo se siano state aumentate).

Inoltre, 1Password combina la sicurezza della funzione PBKDF2 con l’uso della chiave segreta (Secret Key). Questa offre una protezione aggiuntiva e più forte qualora i server di 1Password dovessero essere violati.

La Secret Key, lunga oltre 30 caratteri, viene creata nel browser o nel client 1Password sul computer dell’utente quando questi crea il suo account 1Password. Tutto ciò avviene interamente sul computer dell’utente e non viene inviato ai server di 1Password, che quindi non conosce la Secret Key.

Quando si accede a 1Password viene richiesta una password per l’account e un codice disponibile solo attraverso un dispositivo già utilizzato per accedere al servizio. Se si accede da un dispositivo diverso (quello che tipicamente farà l’attaccante), verrà richiesta la Secret Key, che non è – a rigori – una 2FA ma in quale modo svolge una funzione simile.

L’attaccante che avesse ottenuto dati crittografati, violando i server di 1Password (come è accaduto a LastPass) non ha alcuna possibilità di decifrarli – nemmeno con le master password deboli – a meno che non riesca a ottenere anche la chiave segreta dal sistema dell’utente.

La funzionalità della chiave segreta riduce l’usabilità, in quanto richiede lo spostamento della chiave segreta su ogni nuovo dispositivo utilizzato con l’account e quindi è ovviamente una complicazione per l’utente.

Ma rappresenta un notevole incremento di sicurezza che solo 1Password implementa.

1Password utilizza anche una tecnica di Secure input fields, ovvero una modalità di immissione sicura per impedire ai keylogger di leggere ciò che si digita all’interno di 1Password.

È molto completo e ricco di funzionalità. Tra queste segnaliamo il tool Watchtower, che individua se le nostre password sono state compromesse o sono vulnerabili. Per fare questo consulta il noto sito Have I Been Pwned realizzato da Troy Hunt.

Ha, inoltre, la capacità di riconoscere quando viene aggiornata una password o ne viene aggiunta una nuova: in tal caso ci chiederà se vogliamo aggiungerla in 1Password. Quindi, fatta la prima inevitabile compilazione delle password (all’installazione dell’applicazione), poi le successive credenziali (username, password, URL del sito) si aggiorneranno automaticamente. Questa funzionalità è implementata anche in altri PM, ma non in tutti funziona in maniera perfetta.

Da rimarcare anche il servizio clienti: 1Password offre inoltre un ottimo blog, dove si possono trovare le risposte per quasi tutti i problemi dell’applicazioni. Qualora non fosse sufficiente, un efficiente servizio clienti risponde (via email) nel giro di poche ore.

Tra le molte istruzioni che si possono trovare nel blog di supporto, troviamo anche il procedimento per importare le password provenienti da altri PM, tra i quali: LastPass, Dashlane, Encryptr, RoboForm, SpashID, oltre che dal gestore delle password di Google Chrome.

Come LastPass offre sia la versione Personal/Family che quelle Business/Enterprise.

PREZZI:

  • Personal: 35,88 $/anno, oppure 2,99 $/mese;
  • Family (5 membri): 59,88 $/anno, oppure 4,99 $/mese;
  • Teams Starter Pack: 19,95 $/utente/mese, fino a 10 utenti;
  • Business: 95,88 $/utente/anno, oppure 7,99 $/mese;
  • Enterprise: quotazioni a richiesta.

PRO:

  • grafica molto curata ed intuitiva;
  • facilità d’uso;
  • autenticazione a due fattori presente (per accedere all’account 1Password);
  • possibilità di generare (e memorizzare) codici TOTP per i siti che supportano per l’autenticazione a due fattori;
  • mantiene la cronologia completa delle password precedentemente usate.

CONTRO:

  • opzioni di importazione limitate;
  • versione gratuita non presente (solo trial limitata a 30 giorni).

Dashlane

Dashlane è un altro password manager molto noto, presenta caratteristiche molto simili a LastPass, ma offre un’interfaccia più fluida.

L’applicazione è disponibile per tutte piattaforme più popolari, è altamente configurabile ed è uno dei pochi gestore di password che include una VPN di base.

Offre anche un piano gratuito che include funzioni avanzate, ma che supporta solo fino a 50 password e un solo dispositivo. È più costoso di LastPass.

PREZZI:

  • La versione Premium con VPN costa 3,62 euro al mese e ideale per profili personali
  • La versione Friends&Family costa 5,46 euro al mese e copre fino a 10 profili
  • La versione Starter per 10 utenti 2,00 €/mese è utile a piccole aziende o liberi professionisti
  • Aziendale costa 8,00 € al mese per utente con fattura annuale (96,00 €/anno/utente).

PRO:

  • grafica curata;
  • sincronizzazione su tutti i dispositivi Windows, macOS, Android e iOS;
  • molto completa: presenti tutte le avanzate per la gestione delle password;
  • include la protezione con VPN;
  • scansiona il Dark Web alla ricerca di account compromessi.

CONTRO:

  • costoso;
  • la versione gratuita non sincronizza tra i dispositivi.

Keeper

Keeper è abbastanza completo, offre anche una versione gratuita che funziona su un singolo dispositivo e una prova gratuita di 30 giorni.

Nel complesso, un PM valido, ma non al livello dei concorrenti precedentemente elencati.

PREZZI:

Nella versione base a pagamento per singolo utente costa € 3,56 al mese (€ 42,69 con fatturazione annuale). È un po’ meno costoso di 1Password e Dashlane ma con meno funzioni.

Ci sono due versioni aziendali, a prezzi in questo caso interessanti:

  • Keeper Business Starter a 2,00 €/mese/utente, per un massimo di 10 utenti, pari a 24 euro all’anno per utente
  • Keeper Enterprise a 3,75 €/mese/utente pari a 40 euro all’anno per utente
  • Il  piano Famiglia  (per 5 utenti) è più costoso: 7,62 €/mese (base) cioè 74,99 euro all’anno
  • Il piano singolo utente cosa 2,92 euro al mese (34,99 euro all’anno)

PRO:

grafica elegante;

autenticazione a due fattori presente;

mantiene la cronologia completa delle password precedentemente usate.

CONTRO:

  • versione gratuita con molte limitazioni.

I migliori password manager gratuiti

Sono disponibili anche alcuni interessanti PM gratuiti.

Il fatto che non siano a pagamento non deve destare sospetto, perché si tratta di prodotti appartenenti alla logica dell’open source. Consiglio comunque di evitare di uscire dalla cerchia dei prodotti che indicheremo, per non incappare in PM gratuiti ma di dubbia reputazione o con finalità truffaldine.

KeePass

KeePass è sicuramente il PM gratuito più diffuso.

Tecnicamente valido, ma con una grafica decisamente povera.

Dalla pagina di download si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linux, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può essere difficile valutare quale scegliere.

Per avere il prodotto completamente funzionante, è poi necessario scaricare a parte il pacchetto con la lingua scelta ed i plugin con le funzioni aggiuntive (per esempio indispensabile quello per avere l’auto riempimento, che sui PM a pagamento è presente nativamente).

Un prodotto gratuito, ma il cui utilizzo può risultare ostico per un utente non particolarmente evoluto.

PRO:

  • gratuita;
  • open source;
  • molte opzioni di personalizzazione, grazie ai plugin aggiuntivi open souce;
  • possibilità di memorizzare i dati sul proprio computer (in alternativa al cloud).

CONTRO:

  • grafica poco curata;
  • installazione poco intuitiva, soprattutto per i plugin aggiuntivi;
  • compilazione automatica dei moduli non è di default, ma deve essere aggiunta con plugin di terze parti.

Bitwarden

Bitwarden è un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso.

Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi browser: oltre ai più noti, esiste l’estensione anche per i browser Opera, Brave, Tor, Vivaldi.

Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi.

Molto sicuro: i dati sono criptati con algoritmo AES-256, salted hashing, e PBKDF2 SHA-256.

Il codice sorgente è pubblicato su GitHub.

È gratuito, quindi tutte le funzionalità sono disponibili senza dover pagare un abbonamento.

Sono presenti, in realtà, anche alcune opzioni a pagamento, peraltro indicate per piani business e comunque meno costose dei più noti PM a pagamento.

L’opzione Enterprise costa 6 dollari USA/anno ed offre qualche funzionalità aggiuntiva (per esempio TOTP per l’autenticazione a due fattori).

Potrebbe essere utile, in ambito aziendale il piano Teams a 4,00 dollari USA/mese/utente, che permette di gestire i gruppi di utenti.

Bitwarden è dunque un ottimo prodotto, molto completo già nella versione gratuita e preferibile al più noto, ma meno curato, KeePass.

PRO:

  • gratuita, comunque economica;
  • grafica abbastanza curata;
  • facilità d’uso;
  • supporta autenticazione a due fattori tramite Yubikey o FIDO;
  • genera codici TOTP per i siti che supportano 2FA;
  • codice sorgente pubblico.

CONTRO:

  • supporto per iOS piuttosto limitato

Altri Password Manager

In conclusione, elenchiamo anche altri prodotti presenti nel mercato. A parere di chi scrive non sono ai livelli di quelli precedentemente recensiti, ma possono essere comunque ritenuti affidabili, quindi da considerare e provare.

  • RoboForm Everywhere Prodotto completo, ma che non ha ancora raggiunto le funzionalità dei PM di punta. Versione RoboForm Free gratuita, RoboForm Everywhere a pagamento (da 39,95 dollari USA/anno).
  • Sticky Password – Disponibile in versione gratuita e a pagamento (199,95 € lifetime, oppure 39,95 €/anno).
  • McAfee True Key – Funzioni di base gratuite, mancano alcune funzioni avanzate ed il supporto per Safari (macOS).
  • Zoho Vault Prodotta dalla nota Zoho, versione gratuita e versioni a pagamento (Standard 0.90 €/mese, Professional 4,50 €/mese, Enterprise 7,20 €/mese).
  • Kaspersky Password Manager – La versione Business è a pagamento a partire da 18,99 euro/anno, per Windows, Mac, Android, iOS.
  • LogMeOnce Password Management Suite Ultimate –  Offre un vasto numero di funzioni, che hanno un costo extra. L’installazione di tutte le funzioni è abbastanza costosa e rende l’applicazione complicata. Versione gratuita e versioni a pagamento (Professional 2,50 €/mese, Ultimate 3,25 €/mese, Family 4,99 €/mese).
  • Password Safe – Gratuito, open source, progettato dal famoso crittografo Bruce Schneier.
  • Passbolt –  Gratuito, open source, made in in Luxembourg, basato su OpenPGP (usa GnuPG per autenticare gli utenti).

I password manager integrati nei browser

In conclusione, riteniamo utile fare un accenno anche all’utilizzo dei browser come password manager.

Mi viene spesso posta la domanda: È sicuro salvare le proprie password nei browser?”.

Fino a qualche tempo fa, la mia risposta era molto chiara: “Non è sicuro”. Negli ultimi tempi in realtà i browser hanno fatto molti passi avanti sul piano della sicurezza, riducendo – ma non azzerando – il divario rispetto ai migliori PM.

Esaminiamo come i principali browser trattano e conservano le password.

Password manager di Safari per MacOS

Le password possono essere archiviate all’interno del Portachiavi iCloud, che permette di condividere gli account e le password salvati in tutti i dispositivi che abbiamo lo stesso ID Apple.

Il Portachiavi iCloud (Keychain) è effettivamente un password manager, perché le password in esso salvate sono protette da crittografia, Apple indica genericamente l’uso di “Codifica minima AES a 128 bit” (quindi crittografia simmetrica) e di “codifica end-to-end” (senza ulteriori dettagli).

Possiamo considerarlo ragionevolmente sicuro (non a livello dei migliori PM), ma sicuramente molto povero di funzionalità. In pratica archivia esclusivamente: username, password e URL. Non permette di aggiungere altre voci, come è invece possibile nei PM.

Gestore delle password di Google Chrome

In modo simile a Safari, permette di salvare le password su Chrome sotto il proprio Account Google/Android e sincronizzarle su tutti i dispositivi connessi a quell’account.

Le password così salvate possono essere gestite dal Gestore delle password di Google.

Non è chiaro quale sia il livello di crittografia utilizzato. Google si limita ad affermare genericamente che Proteggiamo questi dati con più livelli di sicurezza che includono tecnologie di crittografia all’avanguardia, come il protocollo HTTPS e lo standard Transport Layer Security (TLS)”.

Sulle password salvate, attraverso il menù “Controlla password” viene eseguito un controllo per verificare se:

  • sono state compromesse nell’ambito di una violazione dei dati;
  • sono potenzialmente inefficaci e facili da indovinare.

Inizialmente Chrome eseguiva questo controllo con lo strumento Password Checkup, introdotto nella versione 78, rilasciata il 22 ottobre 2019.

L’estensione Password Checkup è stata poi eliminata dal 31 agosto 2020, perché il servizio di controllo password è stato integrato in Chrome e può essere gestito mediante l’impostazione di sicurezza “Controlla password”.

L’accesso alle password salvate in Chrome richiede esclusivamente la conoscenza della password principale del computer, non è richiesta una password dedicata. Questo rappresenta un elemento che rende meno sicuro Chrome rispetto ad un PM che invece va sbloccato con la Master Password (e meno sicuro anche rispetto a Firefox, come spiegheremo sotto).

Inoltre, come per Safari, anche in Chrome i dati che possono essere memorizzati sono quelli strettamente necessari, non è possibile aggiungerne altri opzionali.

Password manager di Mozilla Firefox

In Firefox il gestore delle password denominato Firefox Lockwise introdotto nel maggio 2019 è stato dismesso il 13 dicembre 2021. 

Resta attivo il password manager F-Secure come estensione di Firefox che presenta i seguenti vantaggi:

  • Protezione della navigazione web – L’estensione fornisce il supporto del protocollo HTTPS per i prodotti di sicurezza installati di F-Secure.  Questo aiuta a proteggere la navigazione web e le operazioni di banking e shopping online.
  • Gestione dei contenuti web indesiderati –  I contenuti web indesiderati forniti tramite HTTPS possono essere gestiti con una pagina di blocco.
  • Valutazione dei siti web – L’estensione abilita la funzionalità Protezione navigazione così come icone di valutazione e la modalità SafeSearch per motori di ricerca quando viene usato HTTPS.
  • Mostra informazioni di sicurezza – Durante la navigazione in Internet, l’estensione mostra le informazioni di sicurezza.

Limiti dei gestori di password dei browser

I gestori di password incorporati nei browser hanno un grosso limite in termini di funzionalità, non permettendo di salvare tutti quei dati supplementari che possono essere aggiunti invece nei PM veri e propri (e che li rendono un vero e proprio “taccuino segreto”).

Sono utili solo per lo sblocco con password in una pagina di login e poco di più.

Inoltre utilizzano livelli di sicurezza e di crittografia sicuramente inferiori rispetto ai PM più evoluti, con un livello migliore – come già spiegato – per Firefox Lockwise, rispetto a Chrome.

Consigliamo per questo di utilizzare un vero password manager, scegliendolo tra quelli di migliore qualità: ci sarà richiesta una prima fase di “apprendimento” appena più complicata rispetto all’abitudine del salvataggio delle password sul browser, ma i vantaggi in termini di sicurezza e praticità saranno notevoli e non paragonabili.

Articolo originariamente pubblicato il 06 Mag 2022

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati