Gestore password, sono sicuri? Se si, quale?

Faggio · 2025-10-29T15:46:10+00:00

Ciao a tutti! Vorrei iniziare ad utilizzare un gestore per tutte le password che ho, così da averle su tutti i dispositivi sincronizzati. Per ora utilizzo...

francesco_ay

Ti segnalo Bitwarden, multipiattaforma e integra anche passkey, OTP a un prezzo onesto.

Faggio

francesco_ay

Qual è la differenza tra la versione free e la versione a pagamento?

Grazie

Braccoz

nessun gestore di password cloud e' sicuro ne' lo sara' mai

paradossalmente e' piu' sicuro il tuo file criptato messo su un cloud storage. Ma nemmeno cosi' e' sicuro.

E' decisamente piu' sicuro un file che ti tieni localmente.

aquathing

Braccoz nessun gestore di password cloud e' sicuro ne' lo sara' mai

Questo lo dici sulla base di cosa, esattamente?

Bitwarden cifra (a farla breve) i tuoi dati con la master password, quindi anche se un possibile attaccante dovesse accedere ai server di bitwarden, non avrebbero altro che un payload cifrato.

Faccio fatica ad immaginare uno scenario in cui una persona con 2FA attivo e una master password unica e sicura possa farsi rubare le password...

nicos18

Braccoz nessun gestore di password cloud e' sicuro ne' lo sara' mai

Può essere, ma intanto 1Password (ad ora), non è stato mai bucato, e nemmeno BitWarden per quello che so.

Faggio

Braccoz

Per curiosità.

Se dovessi scegliere un cloud tra OneDrive e iCloud, quale sarebbe meglio per salvare un file criptato?

V0LDY

Io uso Bitwarden da un po' e lo straconsiglio a tutti.

etmame o non mi faccio paranoie, uso quello di Google da anni, ho tutti i miei device ( 2 smartphone, tablet e 2 PC) sincronizzati. Quando ho cambiato telefono, computer o tablet nessun problema tutte le password erano al loro posto. Se vogliono spiarmi troveranno ben poco di interessante

Il difetto di quello di Google è che non è veramente un gestore di password ma è più una "feature" del tuo account che in automatico salva i login.
Oltretutto:

Non è open source, quindi non è verificabile la sicurezza del codice
È legato all'account Gmail, quindi si integra male con altri browser o con i programmi sul PC, ed è fatto apposta per chiuderti dentro all'cosistema Google. Insomma, se perdi l'accesso al tuo account Google per un qualunque motivo perdi anche tutte le tue password, il che non è proprio una gran cosa.

Per dire, io di recente sono tornato ad usare browser a base Firefox e non essere più legato al gestore di Google è una manna.

Braccoz paradossalmente e' piu' sicuro il tuo file criptato messo su un cloud storage. Ma nemmeno cosi' e' sicuro.

E' decisamente piu' sicuro un file che ti tieni localmente.

Un gestore di password degno di questo nome fa esattamente quello, i dati non vengono certo salvati in chiaro da nessuna parte.
Usare un gestore locale e poi caricare il file in cloud è solamente una scocciatura in più da gestire e ti espone agli stessi rischi.

Braccoz

nicos18 potrebbe benissimo essere stato bucato, non ne avresti mai la certezza finche' non venisse reso pubblico

aquathing
sulla base che tu dai le tue password in mano ad un soggetto terzo, di cui non saprai assolutamente mai nulla di come operi, e che inoltre e' un target estremamente ghiotto per cracker professionisti. In base a questi 2 elementi, statisticamente, la probabilita' che prima o poi vengano bucati c'e' e non e' nemmeno bassa

etmame

Io non mi faccio paranoie, uso quello di Google da anni, ho tutti i miei device ( 2 smartphone, tablet e 2 PC) sincronizzati. Quando ho cambiato telefono, computer o tablet nessun problema tutte le password erano al loro posto. Se vogliono spiarmi troveranno ben poco di interessante

stefano_77

etmame si.. anche io.

Crossway

Io da un po' di anni uso accoppiata KeePass con file su iCloud Drive. Mai un problema. Ho aggiunto per scrupolo uno script che mi fa il backup in locale del file ogni giorno.

Marco25

Faggio Se dovessi scegliere un cloud tra OneDrive e iCloud, quale sarebbe meglio per salvare un file criptato?

Se è criptato, ad esempio con Cryptomator, non c’è molta differenza. iCloud offre crittografia end-to-end (eccetto in UK) di suo senza aggiungere cryptomator (che comunque male non fa), mentre OneDrive no.

1Password lo ritengo superiore in termini di sicurezza a BitWarden in quanto il primo cripta i dati con una chiave segreta impossibile da indovinare oltre alla master password pertanto anche se la master password è poco sicura, si rimane comunque protetti dalla chiave segreta.

Braccoz potrebbe benissimo essere stato bucato, non ne avresti mai la certezza finche' non venisse reso pubblico

Il punto di criptare i dati sul client con una chiave nota solo all’utente, cosa che tutti i password manager decenti fanno, è proprio mantenere i dati protetti anche in caso di data breach.

aquathing

Braccoz sulla base che tu dai le tue password in mano ad un soggetto terzo

No, il payload viene cifrato con una chiave derivata da una password che sai solo tu e non viene mai trasmessa al server. Sai che questo succede perché il client è open source (lo è anche il server, ma anche se non lo fosse non è una trusted party quindi non importa).

Al resto delle affermazioni non rispondo perché sono fear mongering...

Carlin0

Io uso KeePassXC da diversi anni

NTT80

Carlin0 Anche io e mi trovo bene, l'ho scelto perchè Open Source

etmame

V0LDY Uso Google come password manager da anni anche perché uso Android e non ios. Chrome è il mio browser predefinito per scelta, in più con il password manager di Google ho anche tutte le password delle varie app. Nel caso di cambio telefono o hard reset ti ritrovi tranquillamente tutti gli accessi. In più i siti più sensibili hanno ormai la verifica a due fattori quindi anche dovessero spiare le mie password sarei relativamente al sicuro

Davidechp

V0LDY Per dire, io di recente sono tornato ad usare browser a base Firefox e non essere più legato al gestore di Google è una manna.

Pure io ma Bitwarden lo trovo veramente stupido nel caso in cui sto cambiando una password, non capisce che la sto cambiando e devo generarla e modificarla a mano nel vault.
Quello di google su questo punto era piuttosto automatico

Braccoz

parlate tutti come se l'unico metodo di attacco sia quello di bucare un database con i dati in chiaro... non e' cosi'...
anche la questione open source... certo, il sorgente e' pubblico, ma poi vi compilate il binario da soli? o lo scaricate precompilato?

si potrebbe andare avanti per ore ma non ha senso, se volete usare servizi di terze parti per le password siete liberissimi di farlo, solo non fateli passare come 100% sicuri perche' non lo sono per definizione

aquathing

Braccoz parlate tutti come se l'unico metodo di attacco sia quello di bucare un database con i dati in chiaro... non e' cosi'...
anche la questione open source

Puoi farmi un esempio di attack vector imputabile all'architettura dell'app e non all'utente (quindi, se il tuo attack vector è: "ti rubano la master password" non conta) che non sarebbe presente nella soluzione da te indicata?

Braccoz certo, il sorgente e' pubblico, ma poi vi compilate il binario da soli?

Personalmente no, però volendo si può fare. Il fatto è che anche se lo facessi, dovresti controllare manualmente ogni commit, visto che un supply-chain attack può iniziare anche dalla macchina di uno sviluppatore. Questo però avviene con qualsiasi strumento tu utilizzi, che sia il tuo sistema operativo, il tool che (almeno SPERO) utilizzi per cifrare il tuo file in locale, ogni programma che installi che abbia accesso alla RAM , ai file, ecc... Ad un certo punto bisogna scendere a compromessi, ma bisogna farlo con la consapevolezza tecnica di quello che si sta dicendo e facendo.

Braccoz solo non fateli passare come 100% sicuri perche' non lo sono per definizione

Non farli passare come non sicuri se poi non spieghi le motivazioni dietro le tue affermazioni. Nulla è 100% sicuro perchè potremmo dire che in un mondo ideale Bitwarden ti riconosce grazie alla magia nera e se qualcuno prova a rubarti i dati lo fermerebbe, però nel mondo reale abbiamo solo la crittografia e dobbiamo accontentarci di quella...

V0LDY

Braccoz parlate tutti come se l'unico metodo di attacco sia quello di bucare un database con i dati in chiaro... non e' cosi'...
anche la questione open source... certo, il sorgente e' pubblico, ma poi vi compilate il binario da soli? o lo scaricate precompilato?

Tu compili l'eseguibile di keepass o qualunque altro progamma usi per criptare il file? Se la risposta è no comunque devi fidardi di chi lo fa per te.

si potrebbe andare avanti per ore ma non ha senso, se volete usare servizi di terze parti per le password siete liberissimi di farlo, solo non fateli passare come 100% sicuri perche' non lo sono per definizione

Nessuno dice che siano sicuri al 100%, ma non sono più pericolisi di un file caricato nel cloud. Di sicuro però rispetto a quel metodo sono decisamente più comodi da gestire. C'è mio padre che usa Keepass, per farlo andare su Android e sincronizzarlo è una rottura di balle pazzesca, anche perché nemmeno esiste un client ufficiale.

Cmq considerando che perlomeno con Bitwarden è possibile fare tutto in self hosting con l'intera catena open source sarebbe anche più sicuro, ma per quanto mi piaccia smanettare su una cosa importante come le password non voglio rischiare di far casini.

giuse56

etmame io non lo consiglio a nessuno il gestore password di google chrome. A me hanno bucato varie volte (anche senza crack o giochi installati in modo illecito) le password con gli accessi agli account. Mi hanno copiato la sessione chrome per intero. Usate password manager degni come bitwarden o 1password, che sono decisamente migliori e cancellate sempre cache e sloggatevi dagli account sui browser che gli hacker non ci stanno niente ad usare vulnerabilità in chrome per rubare le vostre password

curlymoka

Bitwarden, gratuito, multipiattaforma e open source. Che si vuole di più.

jesse83

Biwarden selfhostato. Niente di meglio e sicuro.

pattagghiu

jesse83 detto che siamo OT viste le richieste iniziali 😆 io mi trovo discretamente bene con vaultwarden

DavideDaSerra

Per come sono io 2FA sempre,
per chi lo supporta uso le passkey o la chiavetta titan.

Le varie credenziali sono salvate nei portachiavi di google e di apple

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile