Migliori password manager 2026: quale scegliere (e cosa evitare)

Se usi ancora LastPass, o se non hai mai cambiato il password manager dal 2021, questo articolo è scritto per te. Il mercato è cambiato (in meglio, per fortuna) ma ci sono cose che devi sapere prima di scegliere a chi affidare tutte le tue password.

Partiamo dall’elefante nella stanza.

Prima di tutto: cosa è successo a LastPass

LastPass era il password manager più consigliato del mondo. Probabilmente anche su questo sito, in una versione precedente di questo articolo. La situazione è cambiata nell’agosto 2022, quando l’azienda ha comunicato di aver subito un accesso non autorizzato. Sembrava un incidente contenuto. Non lo era.

È emerso nei mesi successivi che gli attaccanti hanno sfruttato le informazioni del primo breach per tornare a novembre 2022 e questa volta andare più a fondo: hanno copiato un backup completo delle cassaforti degli utenti dagli storage cloud di LastPass. Le cassaforti sono crittografate, ma i metadati – URL dei siti, nomi utente – erano in chiaro.

Le conseguenze concrete si sono viste nel 2023: ricercatori di sicurezza hanno collegato furti di criptovalute per oltre 35 milioni di dollari a utenti LastPass. Chi aveva usato una master password debole o vecchia – e LastPass non aveva obbligato i vecchi utenti ad aggiornarla quando ha alzato i requisiti nel 2018 – era esposto agli attacchi brute force sui dati rubati.

LastPass ha rafforzato la propria sicurezza dopo i breach. Ma se il tuo vault era già stato copiato prima di quei miglioramenti, il danno era fatto. Per capire se i tuoi dati sono stati coinvolti in una violazione, abbiamo una guida dedicata.

La domanda non è se LastPass sia sicuro oggi: è se ti fidi ancora di un’azienda che ha gestito quella crisi nel modo in cui l’ha gestita. La risposta, nella comunità della sicurezza informatica, è stata abbastanza netta. E per fortuna le alternative sono ottime.

Ha senso usare un password manager nel 2026?

Sì, più che mai. Anzi: il breach di LastPass dimostra esattamente perché i password manager sono necessari, non il contrario.

Il problema non è il concetto di password manager, è affidarsi a un servizio cloud senza capirne l’architettura. Un password manager con architettura zero-knowledge crittografa le tue password sul tuo dispositivo prima di inviarle ai server: anche se quei server vengono violati, chi li ha attaccati ottiene solo dati illeggibili. LastPass aveva questa architettura, il problema era nella gestione dei metadati e nell’iter di risposta all’incidente.

Senza un password manager, la realtà per la maggior parte delle persone è questa: stessa password dappertutto, o varianti minime come “Facebook2023” e “Instagram2023”. Un singolo breach su un sito qualsiasi espone tutti gli altri account. È uno dei vettori di attacco più comuni per il phishing e il furto d’identità.

I migliori password manager del 2026

Bitwarden – il migliore in assoluto (gratis o quasi)

Open source, verificato da audit indipendenti, zero-knowledge, disponibile su tutte le piattaforme. La versione gratuita permette password illimitate su dispositivi illimitati – cosa che i competitor fanno pagare. Se vuoi qualcosa in più (1 GB di storage crittografato, autenticatore TOTP integrato, accesso di emergenza), il piano premium costa 10 dollari all’anno. Non al mese: all’anno.

L’interfaccia non è la più elegante del mercato – è funzionale, solida, un po’ ingegneristica. Se vieni da LastPass potresti impiegarci qualche giorno ad abituarti. Vale la pena.

È il password manager che ti consiglio per primo se non hai vincoli particolari. Scarica Bitwarden

1Password – il migliore per chi vuole il top dell’esperienza d’uso

Esiste dal 2006 e si vede: l’interfaccia è la più rifinita del settore, il supporto multi-piattaforma (incluso Linux) è impeccabile, e ha una funzione che nessun competitor ha in modo equivalente: la Secret Key. Quando crei l’account, 1Password genera una chiave di 34 caratteri che deve essere presente – insieme alla master password – per accedere al vault da un nuovo dispositivo. Anche se un attaccante conosce la tua master password, senza la Secret Key non può fare nulla.

Non ha una versione gratuita, solo una trial da 14 giorni. Il piano individuale costa circa 2-3 dollari al mese (fatturazione annuale). Il piano famiglia copre 5 persone per circa 5 dollari al mese – ottimo rapporto.

1Password è anche la scelta di gran parte dei professionisti della sicurezza informatica che conosco. Questo dice qualcosa. Prova 1Password

Proton Pass – la scelta se la privacy è la tua priorità assoluta

Lanciato nel 2023, è già uno dei player più seri del settore. Viene da Proton – l’azienda svizzera dietro Proton Mail e Proton VPN – e porta lo stesso approccio: server in Svizzera, giurisdizione favorevole alla privacy, codice open source, audit di Cure53.

La funzione più interessante è l’email alias integrato: invece di registrarti ai siti con la tua vera email, Proton Pass genera un alias che reindirizza a te. Meno spam, meno tracciamento, meno rischio se quel sito viene violato. La versione gratuita include fino a 10 alias. Il piano a pagamento (circa 24 euro l’anno) li rende illimitati.

Se usi già Proton Mail o Proton VPN, Proton Pass si integra nell’ecosistema in modo naturale. Se parti da zero, è comunque una scelta eccellente. Prova Proton Pass

Google Password Manager – va bene, ma con limiti evidenti

Sì, il gestore password integrato in Chrome e Android funziona. È comodo perché è già lì, si aggiorna da solo e non richiede nessuna configurazione. Per un utente che usa solo Chrome su dispositivi Google è una soluzione accettabile.

Il problema è la portabilità: sei legato all’ecosistema Google. Se un giorno vuoi passare a Safari su iPhone o usare Firefox, esportare le password non è immediato. E soprattutto, stai affidando le tue credenziali a Google, che ha un modello di business basato sull’advertising. Non cè un rischio diretto – Google non legge le tue password – ma è un concetto diverso dall’architettura zero-knowledge di Bitwarden o 1Password.

Se vuoi approfondire come funziona Google Password Manager nello specifico, abbiamo una guida dedicata.

Cosa fare se usi ancora LastPass

Prima cosa: controlla se la tua master password era debole o se avevi un vault vecchio con poche iterazioni di hashing. In quel caso, cambia le password dei tuoi account più importanti come email, banking, servizi di pagamento, indipendentemente da tutto il resto.

Poi: esporta il vault da LastPass (Impostazioni → Avanzate → Esporta), importalo in Bitwarden o 1Password (entrambi supportano l’importazione da LastPass in modo diretto), e cancella il vault LastPass dall’interno dell’app prima di chiudere l’account.

La migrazione richiede meno di 30 minuti. Non cè motivo di rimandare.

Le funzioni che valgono davvero il costo premium

La versione gratuita di Bitwarden copre il 90% delle esigenze di un utente normale. Ma ci sono funzioni premium che, una volta usate, è difficile rinunciare:

• Autenticatore TOTP integrato: invece di usare un’app separata come Google Authenticator, il password manager genera i codici 2FA direttamente. Meno app, meno punti di fallimento.
• Dark web monitoring: il password manager controlla se le tue email sono apparse in database di credenziali rubate. Utile, ma puoi ottenere lo stesso risultato gratis con Have I Been Pwned.
• Accesso di emergenza: puoi designare una persona di fiducia che può accedere al tuo vault in caso di emergenza, con un delay configurabile. Funzione sottovalutata ma importante.
• Storage crittografato: archivia documenti sensibili (passaporto, carta d’identità, documenti assicurativi) nel vault. Disponibile su Bitwarden Premium e 1Password.

Una password manager non basta: il contesto più ampio

Un password manager risolve il problema delle password deboli e riutilizzate. Non risolve il phishing e se inserisci la tua master password su un sito falso, il vault è compromesso. Non risolve le vulnerabilità del dispositivo, se hai un keylogger sul computer, registra la master password mentre la digiti (ed è esattamente così che è andato il breach di LastPass: tramite un keylogger sul PC di un dipendente).

Le misure complementari più importanti: attiva la verifica in due passaggi ovunque sia possibile, mantieni il sistema operativo aggiornato, e leggi la nostra guida completa alla sicurezza informatica per il quadro completo. Per capire come costruire una master password che sia davvero robusta, leggi anche come creare una password complessa ma facile da ricordare.

Il verdetto

Per iniziare gratis con il meglio disponibile: Bitwarden Free.

Per l’esperienza d’uso più rifinita: 1Password (da circa 2$/mese).

Per chi mette la privacy al centro e vuole l’ecosistema Proton: Proton Pass (gratis o circa 2€/mese).

Se usi solo Chrome e dispositivi Google e non vuoi pensarci: Google Password Manager funziona, ma considera i limiti.

LastPass: sconsigliato. Non per quello che è oggi, ma per la gestione di quello che è successo.

Tutto il resto è marketing. Stay tech 🦾