Gestore password, sono sicuri? Se si, quale?

Faggio · 2025-10-29T15:46:10+00:00

Ciao a tutti! Vorrei iniziare ad utilizzare un gestore per tutte le password che ho, così da averle su tutti i dispositivi sincronizzati. Per ora utilizzo...

curlymoka

Bitwarden, gratuito, multipiattaforma e open source. Che si vuole di più.

jesse83

Biwarden selfhostato. Niente di meglio e sicuro.

pattagghiu

jesse83 detto che siamo OT viste le richieste iniziali 😆 io mi trovo discretamente bene con vaultwarden

aquathing

Braccoz parlate tutti come se l'unico metodo di attacco sia quello di bucare un database con i dati in chiaro... non e' cosi'...
anche la questione open source

Puoi farmi un esempio di attack vector imputabile all'architettura dell'app e non all'utente (quindi, se il tuo attack vector è: "ti rubano la master password" non conta) che non sarebbe presente nella soluzione da te indicata?

Braccoz certo, il sorgente e' pubblico, ma poi vi compilate il binario da soli?

Personalmente no, però volendo si può fare. Il fatto è che anche se lo facessi, dovresti controllare manualmente ogni commit, visto che un supply-chain attack può iniziare anche dalla macchina di uno sviluppatore. Questo però avviene con qualsiasi strumento tu utilizzi, che sia il tuo sistema operativo, il tool che (almeno SPERO) utilizzi per cifrare il tuo file in locale, ogni programma che installi che abbia accesso alla RAM , ai file, ecc... Ad un certo punto bisogna scendere a compromessi, ma bisogna farlo con la consapevolezza tecnica di quello che si sta dicendo e facendo.

Braccoz solo non fateli passare come 100% sicuri perche' non lo sono per definizione

Non farli passare come non sicuri se poi non spieghi le motivazioni dietro le tue affermazioni. Nulla è 100% sicuro perchè potremmo dire che in un mondo ideale Bitwarden ti riconosce grazie alla magia nera e se qualcuno prova a rubarti i dati lo fermerebbe, però nel mondo reale abbiamo solo la crittografia e dobbiamo accontentarci di quella...

DavideDaSerra

Per come sono io 2FA sempre,
per chi lo supporta uso le passkey o la chiavetta titan.

Le varie credenziali sono salvate nei portachiavi di google e di apple

V0LDY

Braccoz parlate tutti come se l'unico metodo di attacco sia quello di bucare un database con i dati in chiaro... non e' cosi'...
anche la questione open source... certo, il sorgente e' pubblico, ma poi vi compilate il binario da soli? o lo scaricate precompilato?

Tu compili l'eseguibile di keepass o qualunque altro progamma usi per criptare il file? Se la risposta è no comunque devi fidardi di chi lo fa per te.

si potrebbe andare avanti per ore ma non ha senso, se volete usare servizi di terze parti per le password siete liberissimi di farlo, solo non fateli passare come 100% sicuri perche' non lo sono per definizione

Nessuno dice che siano sicuri al 100%, ma non sono più pericolisi di un file caricato nel cloud. Di sicuro però rispetto a quel metodo sono decisamente più comodi da gestire. C'è mio padre che usa Keepass, per farlo andare su Android e sincronizzarlo è una rottura di balle pazzesca, anche perché nemmeno esiste un client ufficiale.

Cmq considerando che perlomeno con Bitwarden è possibile fare tutto in self hosting con l'intera catena open source sarebbe anche più sicuro, ma per quanto mi piaccia smanettare su una cosa importante come le password non voglio rischiare di far casini.

Braccoz

V0LDY Nessuno dice che siano sicuri al 100%, ma non sono più pericolisi di un file caricato nel cloud.

lo sono perche' nel momento in cui viene compromesso il sistema del fornitore hanno sia i dati che il modo per decriptarli

con il file su uno storage cloud devono separatamente venire in possesso del file e di un modo per decriptarlo (a meno di non bucare il dispositivo client)

dadep

V0LDY C'è mio padre che usa Keepass, per farlo andare su Android e sincronizzarlo è una rottura di balle pazzesca, anche perché nemmeno esiste un client ufficiale.

Beh, non e' proprio vero.
Io uso keepass sul PC e keepas2Android sul telefono con db condiviso su Dropbox.
Mai avuto un problema di sincronizzazione.

E' vero che la curva di apprendimento di Keepass e' abbastanza ripida, ma una volta impostato per le mie esigenze non ha mai perso un colpo.

Faggio

Ma quindi?

Tra Bitwarden e 1password?

Ci mettereste anche le password delle banche?
Tenendo presente che tutte hanno la seconda verifica tramite app stessa della banca.

V0LDY

Braccoz lo sono perche' nel momento in cui viene compromesso il sistema del fornitore hanno sia i dati che il modo per decriptarli

No, non hanno nessun modo per decriptarli se non il brute forcing, esattamente come un file criptato in cloud.

Faggio Ma quindi?

Tra Bitwarden e 1password?

Ci mettereste anche le password delle banche?

Guarda, io per paranoia le uniche cose che non metto sul gestore sono la password della mail con la quale posso resettare la maggior parte delle altre password e quella della banca perché alla fine ricordarsene 2 o 3 non è una tragedia... però fai conto che sono programmi che hanno sezioni apposta per salvare anche carte di credito, documenti etc.

Per i paranoici l'altro trucchetto è usare il gestore per salvare la prima parte della password, e poi aggiungere a mano un semplice suffisso in modo che se qualcuno dovesse mai riuscire ad arrivare alla password non sarebbero comunque utilizzabili perché ne manca una parte che conosce solo il proprietario 😁 È comunque un po' macchinoso perché vuol dire aggiungere a mano roba ogni volta che devi fare un login, perdando parte della comodità di avere l'autofill.

Cmq io uso Bitwarden e mi ci trovo molto bene, il mio consiglio è provarli e vedere quale ti piace di più come interfaccia, estensioni per browser, app mobile, etc, tanto le password da uno all'altro è facile esportarle.

Braccoz

V0LDY No, non hanno nessun modo per decriptarli se non il brute forcing, esattamente come un file criptato in cloud.

ripeto, continuate a pensare veramente in piccolo.
Basta che l'attaccante comprometta anche i binari dell'app inserendo un payload che spara le password direttamente dal vostro dispositivo in un qualsiasi posto dove poi vengono recuperate e gg

fra55

la soluzione piu' sicura a parte il quaderno cartaceo

rikyxxx

Io uso il portachiavi di Apple.

E ci lascio anche la password della banca, tanto anche nel caso remoto che ne entri in possesso qualcuno, non ci fa nulla con quella e basta.

MentalBreach

Faggio Voi quale preferite?

Io ho iniziato con un .docx protetto da password inserito dentro un archivio .rar cifrato con seconda password, e sincronizzato su OneDrive.

Quest'estate ho deciso di provare BitWarden (versione EU) e Proton Pass e mi sono trovato bene.
Proton gestisce anche la generazione e la compilazione gratuita dei codici a 2 fattori (2FA, a.k.a. OTP); mentre BitWarden EU lo fa a pagamento.

Per le cose meno importanti (ad esempio utente e password del forum) mi sto spostando sul gestore online; quelle più personali (ad esempio degli account e-mail, istituti di pagamento, ecc.) continuo ad usare il mega-file e la memoria (finchè non mi abbandona).

giuse56

etmame io non lo consiglio a nessuno il gestore password di google chrome. A me hanno bucato varie volte (anche senza crack o giochi installati in modo illecito) le password con gli accessi agli account. Mi hanno copiato la sessione chrome per intero. Usate password manager degni come bitwarden o 1password, che sono decisamente migliori e cancellate sempre cache e sloggatevi dagli account sui browser che gli hacker non ci stanno niente ad usare vulnerabilità in chrome per rubare le vostre password

simonebortolin

giuse56 Mi hanno copiato la sessione chrome per intero.

Questa falla è stata risolta da anni, o hai il TPM disabilitato e quindi chrome (e qualsiasi browser) non riesce a garantire la sicurezza della tua sessione oppure puoi stare più che al sicuro.

Faggio Sconsiglio vivamente di tenere gli otp della MFA nella stessa app delle password.

Luso84 Evitiamo queste perle di insicurezza per non andare troppo OT.

stefano_77

etmame si.. anche io.

Luso84

Io utilizzo le mie solite 3 o 4 password per tutto e me le ricordo...la cronologia e le password che salvo ogni tanto su chrome le cancello dopo qualche giorno...tengo tutto il piu pulito possibile e vivo sereno.
Oppure, se proprio si vuole, si può fare un bel libretto...biro e carta...e si segnano li 😉

Cal

Luso84 le mie solite 3 o 4 password

Questo è rischiosissimo.

Tu non sai se i vari servizi salvino le password correttamente (salt, bcrypt, etc etc) e non hai nessuna voglia di indagarlo. Il leak di una password quanti account ti comprometterebbe?

Simo-S

Luso84 Io utilizzo le mie solite 3 o 4 password per tutto e me le ricordo

Che follia🤦🏻🤦🏻🤦🏻

Filippo94

Senza dubbio BitWarden in quanto open source e disponibile per qualsiasi dispositivo oltre che da web.
Se usi solo prodotti Apple puoi restare in iCloud con Password.

Davidechp

V0LDY Per dire, io di recente sono tornato ad usare browser a base Firefox e non essere più legato al gestore di Google è una manna.

Pure io ma Bitwarden lo trovo veramente stupido nel caso in cui sto cambiando una password, non capisce che la sto cambiando e devo generarla e modificarla a mano nel vault.
Quello di google su questo punto era piuttosto automatico

Lic

Da anni uso bitwarden a pagamento. L'unica accortezza è quella di non tenere i codici otp nella stessa app altrimenti servono a poco come protezione in caso rubino i dati...
A lavoro usiamo passbolt, sempre open source s self hosted

fabioferrero

Lic Sembra interessante... io uso KeePass con soddisfazione, ma e' sempre bene guardarsi intorno...

Faggio

Lic

Ma per OTP cosa intendete?

Perchè quelli delle banche ad esempio arrivano automaticamente.

Ad esempio quello di Microsoft? Authentificator?

Flukas88

Una sola parola: bitwarden

fra55

fabioferrero KeePass

Idem, lo uso da anni conservato in locale

crik91

Bitwarden, anche se di recente sono tornato ad utilizzare il comodo gestore password Apple in quanto ben integrato con tutto l'ecosistema.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile