Indice
Password Manager: vantaggi, rischi e migliori pratiche
Gestire correttamente le credenziali è uno degli aspetti più importanti della sicurezza informatica. Ogni servizio online richiede un account: posta elettronica, home banking, social network, pannelli di hosting, siti WordPress, servizi cloud e strumenti aziendali.
Il numero crescente di account rende difficile utilizzare password lunghe, casuali e differenti per ogni servizio. Per questo motivo molte persone finiscono per riutilizzare la stessa credenziale oppure adottano variazioni facilmente prevedibili.
Un password manager permette di risolvere il problema memorizzando le credenziali all’interno di un archivio cifrato. In questo modo si deve ricordare soltanto una password principale, mentre tutte le altre possono essere generate automaticamente e conservate in modo più sicuro.
Perché non si dovrebbe riutilizzare la stessa password
Il riutilizzo delle password rappresenta uno dei rischi più comuni. Quando un sito subisce una violazione dei dati, gli attaccanti possono ottenere indirizzi email, nomi utente, hash delle password e altre informazioni personali.
Anche quando le password non vengono memorizzate in chiaro, gli hash possono essere sottoposti ad attacchi automatici per tentare di recuperare le credenziali originali. Le password brevi, comuni o basate su parole presenti nei dizionari risultano generalmente più facili da individuare.
Una volta ottenuta una combinazione di email e password, gli attaccanti possono provarla automaticamente su altri servizi. Questa tecnica prende il nome di credential stuffing.
Se la stessa password viene utilizzata per la posta elettronica, per un social network e per il pannello di gestione di un sito web, la compromissione di un solo servizio può coinvolgere tutti gli altri account.
Per approfondire il tema è possibile consultare anche l’articolo dedicato al ruolo delle password nella sicurezza informatica.

Che cos’è un password manager
Un password manager è un software progettato per generare, memorizzare e compilare automaticamente le credenziali di accesso.
Le password vengono conservate all’interno di un archivio comunemente chiamato vault, cioè cassaforte. Il contenuto del vault viene cifrato e può essere sbloccato attraverso una password principale, spesso definita Master Password.
Un password manager può memorizzare anche altri dati sensibili, come:
- nomi utente;
- note cifrate;
- codici di recupero;
- informazioni relative alle carte di pagamento;
- chiavi di licenza;
- risposte alle domande di sicurezza;
- dati di accesso a server e pannelli amministrativi.
La disponibilità delle funzioni dipende dal software utilizzato. Alcuni strumenti si limitano alla gestione delle credenziali, mentre altri includono funzionalità di condivisione, analisi delle password e gestione delle passkey.
Come funziona la cifratura del vault
Il password manager non dovrebbe limitarsi a nascondere le password. Deve cifrare l’intero archivio utilizzando algoritmi crittografici adeguati.
Quando il vault è bloccato, le credenziali non risultano direttamente leggibili. Per decifrarle è necessario fornire la Master Password oppure utilizzare un sistema di autenticazione autorizzato dal dispositivo.
Nei servizi cloud viene spesso utilizzata un’architettura definita zero-knowledge. In questo modello il provider conserva una copia cifrata del vault, ma non dovrebbe disporre delle informazioni necessarie per leggerne il contenuto.
La cifratura e la decifratura avvengono normalmente sul dispositivo utilizzato. Il server riceve quindi dati già cifrati.
Questo approccio riduce il rischio che una violazione dei server del provider esponga direttamente tutte le password. Non elimina però ogni possibile rischio. La sicurezza dipende anche dalla corretta implementazione del software, dalla robustezza della Master Password e dalla protezione dei dispositivi.
Le principali tipologie di password manager
Non tutti i password manager funzionano nello stesso modo. Le soluzioni disponibili possono essere suddivise in quattro categorie principali.
Password manager integrati nel browser
I principali browser includono strumenti per salvare e sincronizzare le credenziali. Questi sistemi risultano semplici da utilizzare e non richiedono normalmente l’installazione di software aggiuntivo.
La sincronizzazione viene associata all’account del browser o del sistema operativo. Le password possono quindi essere utilizzate su computer, smartphone e tablet collegati allo stesso profilo.
Questa soluzione può essere sufficiente per un utilizzo personale di base. Le funzioni disponibili risultano però spesso meno complete rispetto a quelle offerte da un password manager dedicato.
Password manager locali
Un password manager locale conserva il vault direttamente sul computer o su un altro dispositivo controllato dall’utilizzatore.
Il database può essere archiviato su un disco locale, su una chiavetta USB, su un NAS oppure all’interno di uno spazio di sincronizzazione scelto autonomamente.
Questa modalità offre un controllo diretto sui dati, ma richiede una gestione più attenta dei backup. Se il file del vault viene eliminato, danneggiato o cifrato da un ransomware, le credenziali possono diventare irrecuperabili.
Password manager cloud
Un password manager cloud sincronizza il vault cifrato attraverso l’infrastruttura del provider.
Questa soluzione permette di accedere alle credenziali da più dispositivi senza dover copiare manualmente il database. Le modifiche effettuate su un dispositivo vengono sincronizzate automaticamente sugli altri.
Il servizio dovrebbe cifrare i dati prima della trasmissione e adottare un modello nel quale il provider non possa conoscere la Master Password.
Prima di scegliere un servizio cloud è opportuno verificare la documentazione tecnica, le procedure di recupero dell’account, la disponibilità dell’autenticazione a più fattori e la trasparenza nella gestione degli incidenti di sicurezza.
Password manager self-hosted
Un password manager self-hosted viene installato su un server, una VPS o un’infrastruttura privata.
Il funzionamento risulta simile a quello di un servizio cloud, ma il server di sincronizzazione viene gestito direttamente dall’azienda o dal professionista che utilizza il sistema.
Questa soluzione permette di mantenere un maggiore controllo sull’infrastruttura, ma trasferisce sul gestore tutte le responsabilità operative.
Si devono quindi gestire correttamente:
- aggiornamenti del software;
- configurazione del server;
- certificati TLS;
- backup cifrati;
- monitoraggio degli accessi;
- protezione da attacchi automatici;
- ripristino in caso di guasto.
Un’installazione self-hosted non è automaticamente più sicura di un servizio esterno. Un server non aggiornato o configurato male può introdurre rischi superiori rispetto a una piattaforma cloud gestita da un provider specializzato.

I vantaggi di un password manager
L’obiettivo principale di un password manager è semplificare la gestione delle credenziali senza ridurre il livello di sicurezza. Oltre a memorizzare le password, questi strumenti aiutano a creare credenziali robuste, a individuare quelle deboli o compromesse e a ridurre il rischio derivante dal loro riutilizzo.
I vantaggi non riguardano soltanto la comodità d’uso. Una gestione corretta delle credenziali permette infatti di limitare gli effetti di un’eventuale violazione di un servizio online e contribuisce a migliorare la sicurezza dell’intero ecosistema digitale utilizzato quotidianamente.
Password diverse per ogni servizio
Il vantaggio principale consiste nella possibilità di utilizzare una credenziale differente per ogni account.
Se un sito viene compromesso, la password sottratta non permette di accedere automaticamente agli altri servizi. Si interrompe così il meccanismo sfruttato dagli attacchi di credential stuffing.
Password lunghe e casuali
Un password manager può generare credenziali composte da lettere maiuscole, lettere minuscole, numeri e simboli.
Poiché non devono essere memorizzate, si possono utilizzare password molto lunghe e prive di schemi facilmente prevedibili.
Non è quindi necessario creare variazioni come il nome del servizio seguito dall’anno corrente o da un carattere speciale. Questi schemi sono comodi da ricordare, ma possono essere individuati facilmente dopo la compromissione di una singola credenziale.
Compilazione automatica
Le estensioni del browser e le applicazioni mobili possono compilare automaticamente i moduli di accesso.
Questa funzione riduce la necessità di copiare e incollare manualmente le password e può offrire una protezione aggiuntiva contro alcune forme di phishing.
Il password manager associa infatti le credenziali a un dominio specifico. Se viene aperta una pagina falsa con un indirizzo simile a quello originale, il software potrebbe non proporre automaticamente i dati di accesso.
La compilazione automatica non elimina comunque il rischio di phishing. Si deve sempre verificare il dominio visitato, soprattutto quando la pagina viene raggiunta attraverso un collegamento ricevuto via email.
Per maggiori informazioni è disponibile la guida dedicata alle email spam e al riconoscimento dei tentativi di phishing.
Sincronizzazione tra dispositivi
Le soluzioni cloud e self-hosted permettono di utilizzare lo stesso vault su computer, smartphone e tablet.
Una password creata sul computer può quindi essere utilizzata immediatamente anche sul telefono. Questo evita di ricorrere a messaggi, email o file di testo per trasferire le credenziali da un dispositivo all’altro.
Individuazione delle password deboli
Molti password manager includono strumenti di analisi capaci di segnalare:
- password duplicate;
- password troppo brevi;
- credenziali basate su termini comuni;
- account privi di autenticazione a più fattori;
- password presenti in raccolte associate a precedenti violazioni.
Questi controlli permettono di individuare gli account che richiedono un intervento prioritario.
Condivisione controllata delle credenziali
In un contesto aziendale può essere necessario condividere l’accesso a un servizio con più persone.
Inviare la password tramite email o messaggistica espone la credenziale e rende difficile revocare l’accesso a un singolo collaboratore.
Alcuni password manager permettono di condividere una voce del vault con utenti o gruppi autorizzati. Quando un collaboratore non deve più accedere al servizio, la condivisione può essere rimossa senza dover distribuire nuovamente tutte le altre credenziali.
I rischi e i limiti
Come qualsiasi altro strumento di sicurezza, anche un password manager non elimina completamente i rischi. Una configurazione errata, una Master Password debole oppure un dispositivo compromesso possono ridurne significativamente l’efficacia.
È quindi importante conoscere non soltanto i vantaggi, ma anche i limiti di questa tecnologia, così da adottare comportamenti adeguati e utilizzarla come parte di una strategia di sicurezza più ampia.
La Master Password rappresenta un elemento critico
La Master Password protegge l’intero archivio. Se risulta debole, prevedibile o già utilizzata su altri servizi, la sicurezza del vault si riduce sensibilmente.
È preferibile utilizzare una passphrase lunga, composta da più parole non correlate e non riconducibili a informazioni personali.
La Master Password non deve essere riutilizzata per la posta elettronica, per i social network o per altri account.
Il dispositivo può essere compromesso
Il password manager non protegge da ogni tipo di malware.
Se il computer contiene un keylogger, un trojan di accesso remoto o un malware capace di acquisire le sessioni del browser, le credenziali possono essere sottratte quando il vault è sbloccato.
Si devono quindi mantenere aggiornati il sistema operativo, il browser, le estensioni e il password manager. Si devono inoltre evitare software provenienti da fonti non affidabili.
Furto della sessione
Un attaccante non deve necessariamente conoscere la password se riesce a sottrarre una sessione già autenticata.
I cookie di sessione possono consentire l’accesso a un servizio senza richiedere nuovamente le credenziali. Questo tipo di attacco può coinvolgere anche account protetti da password complesse e autenticazione a più fattori.
Per questo motivo il password manager deve essere considerato una componente della sicurezza e non una protezione completa contro ogni minaccia.
Perdita del vault locale
Nel caso di una soluzione locale, la perdita del database può impedire l’accesso a tutte le credenziali.
Si devono predisporre copie di sicurezza cifrate e conservarle su dispositivi o posizioni differenti. Il backup deve essere verificato periodicamente, perché una copia danneggiata o non aggiornata potrebbe non essere utilizzabile.
Problemi del provider cloud
Un servizio cloud può subire indisponibilità, violazioni o interruzioni operative.
Anche se il vault risulta cifrato, un attaccante potrebbe sottrarne una copia e tentare successivamente di decifrarla attraverso attacchi offline.
La robustezza della Master Password diventa quindi essenziale. Una password debole può essere individuata più facilmente anche in presenza di una cifratura correttamente implementata.
Password manager e autenticazione a più fattori
Il password manager protegge e genera le credenziali. L’autenticazione a più fattori aggiunge invece un’ulteriore verifica durante l’accesso.
I due strumenti sono complementari e dovrebbero essere utilizzati insieme, soprattutto per gli account più importanti.
L’account del password manager dovrebbe essere protetto almeno con:
- una Master Password unica e robusta;
- l’autenticazione a più fattori;
- codici di recupero conservati separatamente;
- notifiche per i nuovi accessi;
- blocco automatico del vault dopo un periodo di inattività.
L’autenticazione a più fattori dovrebbe essere attivata anche sui pannelli che consentono di gestire domini, hosting, siti web e posta elettronica.
Per i servizi VHosting è possibile seguire la guida dedicata alla 2FA per l’area clienti.
Sono inoltre disponibili procedure specifiche per attivare la 2FA su cPanel, proteggere DirectAdmin con la 2FA e configurare la MFA su Plesk.

È opportuno salvare i codici TOTP nel password manager?
Alcuni password manager permettono di memorizzare anche i codici temporanei utilizzati per l’autenticazione a più fattori.
Questa soluzione risulta comoda perché permette di compilare automaticamente sia la password sia il codice TOTP. Tuttavia concentra nello stesso vault entrambi i fattori necessari per l’accesso.
Per gli account più critici può essere preferibile mantenere separati i due elementi. La password può essere conservata nel password manager, mentre il codice TOTP può essere generato da un’applicazione installata su un dispositivo differente oppure da una chiave hardware.
Non esiste una scelta adatta a ogni situazione. Si deve valutare il livello di rischio, la necessità di semplicità operativa e la capacità di gestire correttamente dispositivi e procedure di recupero.
Browser o password manager dedicato?
Un password manager integrato nel browser può essere sufficiente quando si utilizzano pochi dispositivi e non sono richieste funzioni avanzate.
Una soluzione dedicata offre generalmente una maggiore indipendenza dal browser e può includere:
- applicazioni per più sistemi operativi;
- condivisione controllata delle credenziali;
- gestione di vault personali e aziendali;
- audit delle password;
- note cifrate;
- gestione delle passkey;
- accesso di emergenza;
- politiche aziendali centralizzate.
La scelta dipende dal contesto. Per un uso personale semplice può bastare lo strumento integrato nel browser. Per professionisti, aziende e gruppi di lavoro può risultare più adatto un software dedicato.
Come scegliere un password manager
La scelta non dovrebbe basarsi soltanto sul prezzo o sulla disponibilità di un’estensione per il browser.
Si dovrebbero verificare almeno i seguenti aspetti:
- algoritmi di cifratura utilizzati;
- modalità di derivazione della chiave dalla Master Password;
- presenza di un’architettura zero-knowledge;
- supporto dell’autenticazione a più fattori;
- compatibilità con i dispositivi utilizzati;
- possibilità di esportare il vault;
- procedure di backup e recupero;
- gestione delle vulnerabilità;
- frequenza degli aggiornamenti;
- trasparenza in caso di incidenti;
- disponibilità di audit di sicurezza indipendenti.
Un formato di esportazione documentato è importante perché riduce il rischio di dipendere completamente da un singolo fornitore. Deve essere possibile migrare le credenziali verso un altro software senza doverle ricreare manualmente.
Le migliori pratiche
Dopo l’installazione del password manager si dovrebbe procedere gradualmente, iniziando dagli account più importanti.
È opportuno modificare per prime le credenziali della posta elettronica, dei servizi finanziari, dei pannelli di hosting, degli account cloud e dei profili che consentono il recupero di altre password.
Ogni account dovrebbe utilizzare una password casuale e differente. Non si dovrebbero applicare schemi prevedibili o variazioni della stessa credenziale.
La Master Password deve essere lunga, unica e mai utilizzata altrove. Il vault dovrebbe bloccarsi automaticamente quando il dispositivo rimane inattivo o viene chiuso il browser.
L’autenticazione a più fattori deve essere attivata sul password manager e sugli account che la supportano. I codici di recupero devono essere conservati in una posizione separata e accessibile anche in caso di perdita del dispositivo principale.
Nel caso di un vault locale o self-hosted, si devono configurare backup regolari. Le copie devono essere cifrate e almeno una di esse dovrebbe essere conservata su un sistema differente da quello principale.
È inoltre utile controllare periodicamente il rapporto di sicurezza del password manager, correggendo password duplicate, deboli o associate a violazioni note.
Errori da evitare
Uno degli errori più comuni consiste nel salvare la Master Password in un file di testo sul desktop, in una nota non cifrata o all’interno della posta elettronica.
Non si dovrebbe lasciare il vault sbloccato per l’intera giornata, soprattutto su computer condivisi o portatili utilizzati fuori dall’ufficio.
Si dovrebbe evitare anche di installare estensioni non ufficiali. Un’estensione contraffatta potrebbe imitare l’interfaccia del password manager e sottrarre la Master Password.
Non è opportuno ignorare gli avvisi relativi alle credenziali compromesse. Quando una password risulta associata a una violazione, deve essere sostituita sul servizio interessato e su qualsiasi altro account nel quale sia stata riutilizzata.
Infine, non si dovrebbe considerare il password manager come un sostituto degli aggiornamenti, dell’antimalware, della prudenza durante la navigazione o dell’autenticazione a più fattori.
Cosa succede se si dimentica la Master Password?
Nei sistemi zero-knowledge il provider potrebbe non essere in grado di recuperare la Master Password o decifrare il vault.
Questa caratteristica aumenta la riservatezza dei dati, ma comporta anche il rischio di perdere definitivamente l’accesso alle credenziali.
Alcuni servizi prevedono procedure di recupero attraverso dispositivi autorizzati, contatti di emergenza, chiavi di recupero o amministratori aziendali. Le modalità cambiano in base al prodotto scelto.
Prima di utilizzare un password manager si dovrebbe quindi verificare con attenzione la procedura prevista in caso di smarrimento della Master Password.
Un unico archivio è davvero sicuro?
Conservare tutte le credenziali in un solo archivio può sembrare rischioso. In effetti il vault rappresenta un obiettivo importante e deve essere protetto con attenzione.
Il confronto corretto, però, non è tra un password manager perfetto e l’assenza di rischi. Il confronto è tra un archivio cifrato protetto da una Master Password robusta e la gestione manuale di decine di credenziali.
Senza un password manager si tende a riutilizzare le stesse password, scegliere combinazioni brevi oppure salvarle in documenti non cifrati. Queste pratiche espongono normalmente a rischi maggiori.
Un password manager correttamente configurato permette di utilizzare una credenziale casuale e unica per ogni servizio, riducendo l’impatto di una singola violazione.
Rimane comunque necessario proteggere i dispositivi, attivare l’autenticazione a più fattori, effettuare backup quando previsti e scegliere con attenzione la Master Password.


