Perché ti serve un password manager nel 2026 (anche con l'arrivo delle passkey)
Le passkey si stanno diffondendo sul web, ma nel 2026 la copertura è ancora parziale. Un password manager gestisce passkey, OTP e la lunga coda di password legacy. Ecco l'analisi onesta.
Cosa fa un password manager
Un password manager genera una password casuale unica per ogni account, archivia quelle password cifrate con una chiave derivata da un'unica master password e compila automaticamente le credenziali al momento dell'accesso. L'architettura elimina il riutilizzo delle password — il comportamento più facilmente sfruttabile negli attacchi di furto di account. Tutti e cinque i manager confrontati su questo sito (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) implementano la cifratura zero-knowledge: il server del fornitore, se compromesso, conserva solo blob cifrati che non possono essere decifrati senza la master password dell'utente.
Le passkey non sostituiscono i password manager nel 2026
Le passkey (FIDO2 / WebAuthn) sono credenziali resistenti al phishing che si legano crittograficamente a un'origine specifica. Sono un netto miglioramento rispetto alle password dove sono supportate. Il problema è la diffusione: nel 2026 il supporto alle passkey tra i principali siti è ancora parziale e incoerente. Banche, servizi pubblici, SaaS di nicchia e la maggior parte dei vecchi sistemi aziendali si affidano ancora alle password. I principali password manager (Bitwarden, 1Password, Proton Pass) ora archiviano le passkey accanto alle password, quindi il manager rimane la sede giusta per entrambe.
Scegliere il primo manager
Tre opzioni coprono la maggior parte degli utenti. Bitwarden Free copre password illimitate con un'implementazione open-source sottoposta ad audit (secondo github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free è simile, con giurisdizione svizzera (secondo proton.me/pass/pricing). KeePassXC è l'opzione esclusivamente locale, senza alcuna componente cloud (secondo keepassxc.org). Scegli quello che corrisponde alle tue preferenze di sincronizzazione (cloud sottoposto ad audit vs locale), importa le password salvate nel browser e abilita la 2FA sull'account del manager stesso.
Perché la master password conta più della scelta del manager
Ogni password manager zero-knowledge sottoposto ad audit protegge la tua cassaforte con una chiave derivata dalla master password tramite una KDF memory-hard (Argon2id è l'attuale best practice; PBKDF2 con un numero elevato di iterazioni è lo standard più datato). Se la master password è corta o facilmente indovinabile, la robustezza della cifratura è irrilevante — un aggressore che ruba il blob cifrato può forzarlo offline. La soluzione è una passphrase: 4-6 parole casuali da dizionario forniscono all'incirca 50-80 bit di entropia, più di qualsiasi password abbastanza corta da poter essere digitata comodamente.
Fonti
Audit Bitwarden: bitwarden.com/help/is-bitwarden-audited. Codice sorgente Bitwarden: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (vincitore della Password Hashing Competition): password-hashing.net/argon2-specs.pdf. Tutti gli URL consultati il 2026-04-30.