Un password manager (o gestore di password) è una soluzione software pensata per conservare in modo protetto le credenziali di accesso e altri segreti digitali dentro un vault cifrato, così da ridurre il bisogno di ricordare decine di password e, soprattutto, di riutilizzarle.
L’idea di fondo è semplice: invece di “riciclare” la stessa password su più servizi, si usano password diverse e molto più robuste, lasciando al gestore la parte faticosa della memorizzazione e dell’inserimento. Questo approccio è coerente con le raccomandazioni moderne: ad esempio, ENISA include l’uso di un password manager tra le buone pratiche di cyber hygiene per creare e conservare password forti e uniche.
La crescita d’interesse non dipende solo dalla comodità, ma dal contesto: nel panorama europeo recente, il phishing resta un vettore di intrusione dominante (stimato attorno al 60% dei casi osservati nel periodo di riferimento del report), quindi la gestione delle credenziali e la prevenzione del riutilizzo delle password diventano misure difensive “di base” ma ad alto impatto.
Come funziona davvero un password manager dietro le quinte?
Quasi tutti i migliori password manager ruotano attorno a un concetto centrale: il vault cifrato. In pratica, le credenziali (username, password, note sicure e, a volte, altri elementi) non vengono conservate “in chiaro”, ma trasformate in dati illeggibili tramite crittografia; il vault viene poi sbloccato localmente dall’utente con una master password (o un fattore equivalente come biometria/PIN, spesso in combinazione).
Questo modello “client-side” è descritto in modo simile da più architetture pubbliche: ad esempio Bitwarden parla di end-to-end encryption con chiavi generate e gestite dal client e cifratura eseguita localmente, oltre a un’impostazione zero knowledge in cui il fornitore non può vedere la master password o le chiavi crittografiche dell’utente.
Il modo in cui una master password diventa “una chiave” è uno dei dettagli più importanti. In genere, la master password non viene usata “così com’è”: passa attraverso una funzione di derivazione, una KDF (Key Derivation Function), che introduce un fattore di costo computazionale e spesso un sale (salt) per rendere molto più onerosi i tentativi di indovinare la password con attacchi offline.
La logica è coerente con i principi di sicurezza: rallentare il brute force quando l’attaccante ha in mano materiale da provare offline.
È utile vedere la stessa idea applicata in un password manager concreto: il progetto open source KeePass documenta che la chiave derivata dal master secret viene trasformata con una KDF e un salt per prevenire precomputazioni e rendere più difficili gli attacchi a dizionario e di guessing. Inoltre, per i file KDBX 4, KeePass supporta Argon2, indicandone il vantaggio di resistenza rispetto a GPU/ASIC grazie alla proprietà “memory-hard”.
Quando il password manager sincronizza tra dispositivi, entra in gioco un ulteriore pezzo: la sincronizzazione (cloud o locale) deve preservare la cifratura, idealmente mantenendo un modello end-to-end.
Infine, anche i fornitori che enfatizzano il modello zero-knowledge lo legano alla derivazione della chiave dalla master password e alla decrittazione locale.
Cosa cambia con passkey e autenticazione a più fattori: il password manager serve ancora?
Nel 2026, parlare di credenziali significa parlare anche di passkey e autenticazione a più fattori (MFA). Le passkey, come Google Passkey, sono credenziali basate su crittografia a chiave pubblica, progettate per sostituire progressivamente password e flussi “password + codice” con un’esperienza più semplice e, in molti casi, più resistente al phishing. La passkey è come una credenziale FIDO legata all’account di un sito/app e approvata dall’utente con lo stesso gesto con cui sblocca il dispositivo (biometria o PIN), senza dover inserire username/password o fattori aggiuntivi nel flusso tipico.
Dal punto di vista degli standard web, World Wide Web Consortium (W3C) descrive in WebAuthn un modello in cui le public key credentials sono create e memorizzate da un autenticatore e risultano “scoped” a uno specifico relying party/origine, riducendo la possibilità che una credenziale venga usata su domini diversi da quello corretto. Questa proprietà è uno dei motivi per cui le passkey vengono spesso presentate come una risposta strutturale al phishing.
In parallelo, le piattaforme stanno trasformando i gestori di credenziali “nativi” in veri e propri depositi anche per passkey. Apple spiega che le passkey possono sincronizzare tra dispositivi tramite iCloud Keychain e che questo archivio è protetto con end-to-end encryption con chiavi non note ad Apple, includendo misure anti brute force; inoltre, l’accesso a iCloud Keychain richiede l’autenticazione a due fattori sull’Apple Account.
Sul fronte enterprise, un segnale importante è che le passkey vengono integrate anche in ecosistemi di identity aziendale. Ad esempio, Microsoft Entra ID descrive le passkey (FIDO2) come un modo “seamless” per autenticarsi senza inserire username o password e indica che possono essere memorizzate su chiavi di sicurezza FIDO2 o in Microsoft Authenticator.
Quindi, il password manager serve ancora? Per la maggior parte delle persone e delle aziende sì, per almeno tre ragioni pratiche: non tutti i servizi supportano passkey; spesso coesistono password, passkey e altri segreti (codici di recovery, note sicure, chiavi API); e anche quando le passkey sono disponibili, la loro gestione e sincronizzazione avviene di fatto dentro un “credential manager” che, concettualmente, svolge una funzione molto simile a un password manager.
Quali vantaggi concreti offre nella vita quotidiana e in azienda?
Il beneficio più immediato di un password manager è ridurre il riutilizzo delle password, che è una delle condizioni più sfruttate dagli attaccanti. OWASP definisce il credential stuffing come l’iniezione automatizzata di coppie username/password rubate nei form di login, sottolineando che il riuso della stessa password su più siti permette di compromettere più account dopo un singolo data breach o un’azione di phishing.
C’è poi un vantaggio “comportamentale”: quando la creazione e l’inserimento di password forti è supportata dallo strumento, l’utente è più incentivato a usare password casuali e lunghe. La ricerca accademica ha provato a misurare questo effetto “nel mondo reale”: il paper “Better managed than memorized?” pubblicato nei proceedings di USENIX Association descrive uno studio su larga scala sull’impatto dei password manager su robustezza e riuso delle password, evidenziando che l’esito dipende molto dalle strategie degli utenti e da quanto bene il password manager li supporta fin dalla fase di creazione.
Sul piano della produttività, un password manager riduce attriti e tempi morti. Si tratta di uno strumento che aiuta a creare, gestire e conservare password, accessibile con un’unica credenziale principale, e nota che alcuni gestori possono anche gestire passkey nello stesso posto, proprio mentre l’adozione delle passkey cresce ma non è universale.
In ambito aziendale, i benefici crescono quando si passa dalla “scatola personale” alla gestione di segreti condivisi in modo controllato: alcune architetture includono la condivisione sicura e meccanismi di controllo sugli accessi. Anche quando non si parla di un singolo prodotto, le linee guida europee su cyber hygiene insistono sull’importanza di password uniche e sulla riduzione dei rischi legati a password deboli o riutilizzate, includendo esplicitamente i password manager tra le misure raccomandate.
Quali rischi e limiti bisogna conoscere prima di affidargli tutto?
Il punto critico più citato è il “single point of failure”: un password manager è una cassaforte, ma se viene compromesso (account dell’utente, dispositivo infetto o compromissione del fornitore), l’impatto può essere ampio. La guida del Canadian Centre for Cyber Security è molto esplicita: definisce i password manager come un “one-stop shop” appetibile e identifica come rischio maggiore la compromissione di tutti gli account in una volta sola, sia per compromissione dell’account sia per compromissione del vendor.
Questo non significa che i password manager “non siano sicuri”, ma che la sicurezza dipende dall’intero sistema: master password, protezioni anti-phishing, aggiornamenti, hardening del dispositivo e impostazioni dell’autofill.
Un secondo limite è che gli attaccanti cambiano tattica: se non possono “rubare” facilmente le password dai singoli siti, cercano di rubare l’accesso alla cassaforte. Un esempio recente e utile per capire il rischio, anche se legato a un brand specifico: il 20 gennaio 2026 LastPass ha pubblicato un avviso su una campagna di phishing che cercava di creare urgenza (“backup del vault entro 24 ore”) per portare le vittime su un sito fasullo, ribadendo una regola d’oro: nessuno chiederà mai la master password via email. Il valore dell’esempio non è “il caso in sé”, ma la lezione generale: un password manager non elimina il phishing; spesso sposta il bersaglio sul punto di massimo valore, cioè l’accesso al vault.
Un terzo limite riguarda le vulnerabilità software e l’equilibrio tra comodità e sicurezza. La letteratura di usable security osserva sia problemi d’uso sia vulnerabilità tecniche: un paper presentato al USENIX Association SOUPS 2025 nota che, pur avendo vantaggi evidenti, i password manager possono presentare criticità e cita ricerche che hanno trovato vulnerabilità anche severe in password manager web-based, oltre a discutere temi come clickjacking e impostazioni di default insicure.
Infine, c’è un limite “di interoperabilità”: i password manager funzionano meglio quando i siti web collaborano, ad esempio non bloccando l’incolla e supportando flussi di autofill corretti.
Come scegliere e usare un password manager nel modo più sicuro?
La scelta e l’uso sicuro di un gestore di password si basano su due principi: ridurre la probabilità di compromissione del vault e ridurre l’impatto se qualcosa va storto. Per il primo punto, la guida canadese consiglia di valutare i vendor e privilegiare caratteristiche come cifratura che renda i dati leggibili solo all’utente (modello spesso chiamato zero knowledge architecture), supporto alla multi-factor authentication, trasparenza su come i password vengono protetti e aggiornamenti regolari. Queste caratteristiche non “garantiscono” invulnerabilità, ma alzano la qualità del modello di minaccia da cui parti.
La master password resta il perno. Qui è utile collegarsi alle linee guida moderne su cosa dovrebbe essere una buona password lato servizi: NIST stabilisce, per password usate come single factor, un minimo di 15 caratteri, raccomanda di permettere lunghezze fino ad almeno 64 caratteri, vieta di imporre regole di composizione (tipo obbligo di numeri/simboli) e sconsiglia cambi periodici obbligatori, richiedendo invece il cambio quando c’è evidenza di compromissione. Anche se queste sono regole per “verificatori” e fornitori di identità, danno un’indicazione pratica: una master password lunga e unica, più simile a una passphrase, è un criterio robusto e moderno.
Per il secondo punto, la difesa concreta passa da impostazioni e abitudini. Si raccomanda di proteggere il password manager con MFA quando disponibile e sottolinea che lasciare dispositivo o vault sbloccati aumenta il rischio; parla anche del compromesso di funzioni “remember me” e del fatto che i password manager sono bersagli appetibili, quindi serve disciplina operativa.
Un ultimo punto spesso sottovalutato è la compatibilità con i flussi moderni: se il tuo password manager supporta anche passkey, stai investendo in una direzione che gli standard e i grandi ecosistemi stanno spingendo attivamente. L’idea che la credenziale sia legata a un relying party/origine (WebAuthn) e che l’utente approvi col gesto di sblocco del dispositivo riduce alcune classi di attacco legate al riuso e alla cattura delle password.
.jpg)
