PDA

View Full Version : Bitwarden cancella "Always free" dal sito: cosa sta succedendo al password manager open source?


Redazione di Hardware Upg
15-05-2026, 16:16
Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/bitwarden-cancella-always-free-dal-sito-cosa-sta-succedendo-al-password-manager-open-source_153653.html

Bitwarden rimuove "Always free" dal sito, riscrive i valori GRIT cancellando Inclusion e Transparency, sostituisce CEO e CFO senza alcun comunicato ufficiale. Sullivan, nuovo amministratore, arriva da deal da un miliardo con Vista Equity e Hg

Click sul link per visualizzare la notizia.

mmorselli
15-05-2026, 16:23
Ma perché usare un prodotto commerciale che offre ANCHE un piano free, ovviamente veicolo per quello non free, quando esiste KeePass?

Hiei3600
15-05-2026, 16:26
Eh, come se non avessimo già abbastanza brutte notizie per la giornata :muro:

demon77
15-05-2026, 16:33
Personalmente ho sempre diffidato di questi servizi.. o meglio, ho sempre preferito fare da me, offline e per i fattacci miei.

File TXT ignorante con tutti gli account e password varie criptato con AXCRYPT.
La versione vecchia, offline e stand alone.

mozzarello
15-05-2026, 16:34
Eh, come se non avessimo già abbastanza brutte notizie per la giornata :muro:

Quali sono le altre?

Comunque, non ho capito, passano in mano a cinesi? O forse diventerà solo pagamento?

Chiedo perché nel primo caso cancello tutto istantaneamente, nel secondo aspetto mi dicano che devo pagare

mozzarello
15-05-2026, 16:35
Ma perché usare un prodotto commerciale che offre ANCHE un piano free, ovviamente veicolo per quello non free, quando esiste KeePass?

Presumo per lo stesso discorso su Google, perché è comodo.
Io prima avevo un keepass su cloud, ma vuoi mettere installare browser da zero, estensione bitwarden e loggarti ovunque senza problemi?

Va bè che io synco le password anche nel browser

mmorselli
15-05-2026, 16:55
File TXT ignorante con tutti gli account e password varie criptato con AXCRYPT.
La versione vecchia, offline e stand alone.

Sei esposto ai keylogger in questo modo, che sono facilissimi da prendere senza saperlo. Con un gestore serio invece ci sono già implementate tutte le tecniche per evitarli, e il file delle password a cui puoi anche infilare allegati, gli OTP di Google Authenticator (difficile questo in un txt) e creare automazioni, è crittato in AES-256

sempre stand-alone, portable, e un singolo file che puoi salvare ovunque se lo proteggi con una password decente

Hiei3600
15-05-2026, 17:07
Quali sono le altre?


Quella che Google ha ridotto a 5 GB lo spazio per i nuovi account non verificati da numero telefonico (non è un problema che mi riguarda personalmente ma mi ha dato comunque fastidio).

Altre brutte notizie sono più personali non apparse qui su hwupgrade(Tipo che la scheda grafica del mio PC mi sta morendo :cry: )

mmorselli
15-05-2026, 17:28
Quella che Google ha ridotto a 5 GB lo spazio per i nuovi account non verificati da numero telefonico

Io però è una vita che non riesco a creare account google senza associare un numero di telefono, un po' di tempo fa mi serviva di crearne uno o due al mese (che andavano a morire dopo aver ricevuto un paio di mail), ma mi toccava ruotare due numeri di telefono, perché non ti fa usare troppe volte lo stesso numero in tempi relativamente brevi.

Tasslehoff
15-05-2026, 17:40
Ma perché usare un prodotto commerciale che offre ANCHE un piano free, ovviamente veicolo per quello non free, quando esiste KeePass?Anch'io uso KeePass ma in termini di usabilità c'è un abisso.

Già usando KeepassXC le cose migliorano ma stai confrontando un servizio web based, gestito e perfettamente integrato con browser e mobile con uno locale, dove per fare anche solo la sincronizzazione devi fare le capriole, dove per usarlo mobile devi arrangiarti, etc etc...

Poi non c'è solo la tua casistica di utente singolo, ci sono tanti casi di utilizzo di gruppo, dove il password manager serve a diverse persone e deve prevedere accessi concorrenti.

Ci sono alternative a Bitwarden altrettanto valide e free, però alcune sono self-hosted (es Vaultwarden o Passbolt) e richiedono competenze che la gran parte degli utenti non ha.

Insomma non facciamo il solito errore di considerare la propria casistica come universale, parafrasando un celebre spot "Gli utenti sono tanti, milioni di milioni, la stella di..." ;)

demon77
15-05-2026, 17:46
Sei esposto ai keylogger in questo modo, che sono facilissimi da prendere senza saperlo. Con un gestore serio invece ci sono già implementate tutte le tecniche per evitarli, e il file delle password a cui puoi anche infilare allegati, gli OTP di Google Authenticator (difficile questo in un txt) e creare automazioni, è crittato in AES-256

sempre stand-alone, portable, e un singolo file che puoi salvare ovunque se lo proteggi con una password decente

Ti ringrazio per queste info.. in effetti è una cosa da tenere presente.
Certo devono anche fregarsi il file dal mio disco fisso ma comunque è una questione da considerare.

destroyer85
15-05-2026, 22:38
Ma dopo che qualche mese fa qualcuno ha smutandato questi servizi mostrando chiaramente che non esiste nessuna master key e che possono tranquillamente accedere ai dati, qualcuno gli da ancora credito?

mmorselli
15-05-2026, 23:14
Già usando KeepassXC le cose migliorano ma stai confrontando un servizio web based, gestito e perfettamente integrato con browser e mobile con uno locale, dove per fare anche solo la sincronizzazione devi fare le capriole, dove per usarlo mobile devi arrangiarti, etc etc...

integrazione con il browser: ottima, ci sono plugin per tutto
sincronizzazione del mio keyring: OneDrive
sincronizzazione multiutente con i colleghi: Git
mobile: ottimo client per android con cifratura biometrica che legge direttamente il file da OneDrive

I password manager sono per power user, gli utenti normali anche se gli dici che esistono non lo usano nemmeno se li minacci, quelli puntano sempre alla cosa più semplice, cioè il documento word con tutte le password in chiaro, oppure la stessa password per tutti i servizi che durerebbe 20 secondi con un attacco dizionario.

E per un power user organizzarsi keepass perché sia migliore di un servizio online è una passeggiata.

I servizi online supportano il 2FA con Authenticator? Chiedo, non li uso, ma a me scoccia molto dover tirare fuori lo smartphone per entrare nei tanti servizi in cui ho attivo un 2FA

Permettono di usare più di un keyring? Io per esempio devo averne 3 sempre aperti, il mio personale che uso da 20 anni, un di lavoro con password di livello amministrativo che abbiamo in 3 persone, un altro sempre di lavoro con password di livello developer che hanno gli sviluppatori

mmorselli
15-05-2026, 23:29
Ti ringrazio per queste info.. in effetti è una cosa da tenere presente. Certo devono anche fregarsi il file dal mio disco fisso ma comunque è una questione da considerare.

Il keylogger ti frega le password mentre le usi, perché se le tieni in un txt devi fare copia e incolla con la clipboard di windows. Keylogger è il nome storico, ma tutti i keylogger sono anche clippboard logger. Keepass invece si interfaccia con il browser tramite un canale sicuro e non passa per la clipboard, se la password deve finire in qualcosa che non è un browser (es. una shell o un programma locale) puoi usare autotype che invia i tasti in modo che un keylogger non capisca qual è la password completa. Se alla fine vuoi o devi comunque usare copia e incolla, primo ti consente di farlo senza esporre la password, secondo ti fa configurare un tempo a piacere, in genere 10-20 secondi, in cui la password scompare dalla clipboard. Questo non protegge da keylogger sofisticati, ma quelli semplici sì.

mozzarello
16-05-2026, 05:06
integrazione con il browser: ottima, ci sono plugin per tutto
sincronizzazione del mio keyring: OneDrive
sincronizzazione multiutente con i colleghi: Git
mobile: ottimo client per android con cifratura biometrica che legge direttamente il file da OneDrive

I password manager sono per power user, gli utenti normali anche se gli dici che esistono non lo usano nemmeno se li minacci, quelli puntano sempre alla cosa più semplice, cioè il documento word con tutte le password in chiaro, oppure la stessa password per tutti i servizi che durerebbe 20 secondi con un attacco dizionario.

E per un power user organizzarsi keepass perché sia migliore di un servizio online è una passeggiata.

I servizi online supportano il 2FA con Authenticator? Chiedo, non li uso, ma a me scoccia molto dover tirare fuori lo smartphone per entrare nei tanti servizi in cui ho attivo un 2FA

Permettono di usare più di un keyring? Io per esempio devo averne 3 sempre aperti, il mio personale che uso da 20 anni, un di lavoro con password di livello amministrativo che abbiamo in 3 persone, un altro sempre di lavoro con password di livello developer che hanno gli sviluppatori

Si infatti io in qualsiasi cosa "necessaria", che non mi piace fare, divento un utente normale, ma non ho capito il discorso sul 2FA. Io odio dover avere il telefono per gli authenticator, che spesso sono al PC, devo accedere a un servizio e ho il telefono dall'altra parte della casa. Tu hai chiesto prima se i servizi online supportano Authenticator, poi che ti scoccia tirare fuori il telefono. Quindi come useresti gli authenticator?

Comunque la comodità non è tanto col browser che fai copia e incolla, io uso così anche bitwarden, è più col telefonino, dove non so come funzioni keepass, ma bitwarden ha sia la sua app sia l'estensione per Firefox. Considera anche che molte volte ti serve la password ma non hai accesso all tuo Cloud.

Sul resto d'accordissimo, a parte usare OneDrive, meno multinazionali straniere ci sono nel mezzo meglio è

mozzarello
16-05-2026, 05:25
Se si legge l'articolo originale linkato c'è un update che dice che hanno rimesso la voce always online, e che dicono fosse una svista marketing (ah il marketing).

bertans
16-05-2026, 05:59
File TXT ignorante con tutti gli account e password varie criptato con AXCRYPT.
La versione vecchia, offline e stand alone.

Ciao, questa soluzione ha stuzzicato non poco la mia curiosità. Posso chiederti quale versione usi (ho cercato sul sito e qualcosa ho trovato tra i prodotti legacy)?

Al momento ho un file TXT senza alcuna cifratura ma mi rendo conto che sia una mezza follia... :help:

A

mozzarello
16-05-2026, 06:40
Però se dovete tenere in file txt allora perché non keepass? Io prima che tutto il reparto passasse a bitwarden ho usato quello al lavoro, syncato sul nostro next Cloud, senza problemi, è identico a un file txt, ma protetto e con più feature. A casa anche ma era in effetti una rottura rispetto a bitwarden con almeno 4-5 pc e un telefono, e sono poi passato a quello.

Certo, va aperto con la master password

marcram
16-05-2026, 07:46
Si infatti io in qualsiasi cosa "necessaria", che non mi piace fare, divento un utente normale, ma non ho capito il discorso sul 2FA. Io odio dover avere il telefono per gli authenticator, che spesso sono al PC, devo accedere a un servizio e ho il telefono dall'altra parte della casa. Tu hai chiesto prima se i servizi online supportano Authenticator, poi che ti scoccia tirare fuori il telefono. Quindi come useresti gli authenticator?
L'Autenticator è semplicemente un'app, che puoi avere sia sul telefono che sul pc...
Se salvi il seed in Keepass, lui ti fornisce i Totp sul pc nella stessa maniera che te li fornirebbe Aegis o Ente sul telefono...

lumeruz
16-05-2026, 07:58
Anch'io uso KeePass ma in termini di usabilità c'è un abisso.

adirittura? Io non lo vedo questo abisso, per me sei tu che non sai usarlo.


Già usando KeepassXC le cose migliorano ma stai confrontando un servizio web based, gestito e perfettamente integrato con browser e mobile con uno locale, dove per fare anche solo la sincronizzazione devi fare le capriole, dove per usarlo mobile devi arrangiarti, etc etc...
capriole? usarlo mobile devi arrangiarti? Ma di che parli?
KeePassXC (Windows/Linux) + KeePassDX (Android).
Lo messo a mio padre, su windows google drive sincronizza in automatico, su android gli ho detto che per aprirlo deve andare su drive e touch, in automatico scarica l'ultima versione e apre KeePassDX, password che si può salvare nel biometrico, quindi basta un dito e si apre. Hai la mentalità da boomer.


Poi non c'è solo la tua casistica di utente singolo, ci sono tanti casi di utilizzo di gruppo, dove il password manager serve a diverse persone e deve prevedere accessi concorrenti.

Non mi è mai servito così ma penso che si possa fare con google drive installato su più dispositivi, anche perchè a mio padre serve su smartphone e tablet lato androie e su PC lato window. Ma nulla togliere aggiurgene altri. Magari non supporta l'aggiornamento concorrente.

lumeruz
16-05-2026, 08:01
Al momento ho un file TXT senza alcuna cifratura ma mi rendo conto che sia una mezza follia...

Sto forum è pieno di boomer....

destroyer85
16-05-2026, 08:16
Se salvi il seed in Keepass, lui ti fornisce i Totp sul pc nella stessa maniera che te li fornirebbe Aegis o Ente sul telefono...

Ma va fatto con criterio, altrimenti equivale a non avere l'MFA.

mozzarello
16-05-2026, 08:35
Sto forum è pieno di boomer....

Per fortuna che i marmocchi moderni sono insopportabili

marcram
16-05-2026, 09:02
Ma va fatto con criterio, altrimenti equivale a non avere l'MFA.
Beh, l'unico criterio è non condividere il seed, che vai a maneggiare solo al momento della registrazione.
Sarebbe consigliabile, ma non necessario, non tenere password e totp nello stesso archivio.
Non vedo altro...

VanCleef
16-05-2026, 09:03
Ma nessuno si affida alla buona cara e vecchia memoria? Tanto avendola liberata dai numeri di telefono da sapere a memoria di spazio ce n'è... 😅

mozzarello
16-05-2026, 09:10
Ma nessuno si affida alla buona cara e vecchia memoria? Tanto avendola liberata dai numeri di telefono da sapere a memoria di spazio ce n'è... ��

E come fai a ricordarti una pwd diversa per ogni servizio, io poi ho anche email diversa per ogni servizio, quando le pwd sono stringhe di almeno 32 caratteri casuali tra lettere, maiuscole e minuscole, numeri e caratteri speciali? E si parla di dozzine di servizi

VanCleef
16-05-2026, 09:24
Basta ricordarsi un sistema unico di creazione password ed applicarlo:

Es google

3333!GgGgLlOoOoEe!3333

Es facebook
4444!FfCcBbKkAaEeOoOo!4444

Es Tiktok
4422!TtKkTtKkIiOo!4422

najmarte
16-05-2026, 09:56
passbolt self hosted se hai un nas o un microserver e hai una connessione decente con accesso via vpn sempre attiva. L'estensione browser funziona bene un pò ovunque, ma l'app non è proprio un fulmine su smartphone. Per evitare la tragedia: backup crittografato su qualche cloud e chiave di recupero su un pezzo di carta nascosto da qualche parte in casa. Per ora è un buon compromesso. Penso.

marcram
16-05-2026, 10:18
Basta ricordarsi un sistema unico di creazione password ed applicarlo:

Es google

3333!GgGgLlOoOoEe!3333

Es facebook
4444!FfCcBbKkAaEeOoOo!4444

Es Tiktok
4422!TtKkTtKkIiOo!4422
Se c'è uno schema ricorrente, al giorno d'oggi è facilmente scovabile.
Intercetti un paio di queste password, e le hai decifrate tutte.

In più, anche solo il processo di inserimento manuale di password di 20-30-40 caratteri diversi per 30-40-50-60 servizi diversi è un lavoro immenso.

A differenza di ricordarsi un'unica password per sbloccare un'archivio che contiene tutte le altre, lunghissime, casuali, rinnovabili periodicamente, e che puoi inserire con un paio di click...

destroyer85
16-05-2026, 10:30
Sarebbe consigliabile, ma non necessario, non tenere password e totp nello stesso archivio.

Proprio a questo mi riferivo, se tieni tutto insieme non è più multifactor.

Tasslehoff
16-05-2026, 11:24
integrazione con il browser: ottima, ci sono plugin per tutto
sincronizzazione del mio keyring: OneDrive
sincronizzazione multiutente con i colleghi: Git
mobile: ottimo client per android con cifratura biometrica che legge direttamente il file da OneDrive

Punto primo, quelli che definisci "power users" non sono dei super eroi che voglio/possono/sanno sbattersi a far funzionare Keepass come dio comanda.

Banalmente metà della gente con cui lavoro (sviluppatori, sistemisti, specialisti di prodotto) git non lo usano, non sanno usarlo o se lo usano vanno nel panico più completo al primo conflitto che richiede un merge.

Mi dirai che non sono power users, sono specialisti IT che lavorano su progetti milionari, ma se non sono sviluppatori e non pasticciano con git tutti i giorni banalmente non sanno e non hanno bisogno di usare un repository che faccia versioning.

Poi il fatto che tu abbia bisogno di git per sincronizzare non mi sembra la dimostrazione di un utilizzo poi così avanzato, ci sono mille altri modi molto più efficaci e user friendly che "committare, pushare e pullare" come se non ci fosse un domani. Banalmente usando i trigger di Keepass con un repository webdav o sftp, ma appunto i trigger di Keepass sono proprio uno degli aspetti un po' raffazzonati che andrebbe rifatto da zero.

I password manager sono per power user, gli utenti normali anche se gli dici che esistono non lo usano nemmeno se li minacci, quelli puntano sempre alla cosa più semplice, cioè il documento word con tutte le password in chiaro, oppure la stessa password per tutti i servizi che durerebbe 20 secondi con un attacco dizionario.

E per un power user organizzarsi keepass perché sia migliore di un servizio online è una passeggiata.

I servizi online supportano il 2FA con Authenticator? Chiedo, non li uso, ma a me scoccia molto dover tirare fuori lo smartphone per entrare nei tanti servizi in cui ho attivo un 2FA

Permettono di usare più di un keyring? Io per esempio devo averne 3 sempre aperti, il mio personale che uso da 20 anni, un di lavoro con password di livello amministrativo che abbiamo in 3 persone, un altro sempre di lavoro con password di livello developer che hanno gli sviluppatoriL'idea poi che un password manager sia uno strumento ad appannaggio di utenti specialistici, non ti offendere, ma a me sembra una assurdità.

E' vero l'esatto contrario, i password manager sono anzitutto strumenti pensati per chi non ha familiarità con la tecnologia e che quindi tende a fare tutti gli errori possibili e immaginabili nel definire, conservare e usare le proprie credenziali.

Quello che tu chiami "power user" per certe cose può anche sbattersi a usare meccanismi più solidi (chessò autenticazione mediante chiavi asimmetriche in tutte le forme possibili e immaginabili, dall'agent ssh alla chiave YoubiKey e simili) ma l'utente della strada deve avere uno strumento del genere che abbia un alto tasso di usabilità.

Infatti guardacaso servizi tipo LastPass o 1Password o Bitwarden hanno avuto un enorme successo, non sono certamente esenti da difetti ma l'alternativa per l'utente "della strada" non è Keepass, è il foglio Excel fatto a "membro di segugio" e salvato sul desktop... e per quanto possiamo criticare quei servizi hanno contribuito ENORMEMENTE a migliorare la gestione delle informazioni critiche.

marcram
16-05-2026, 11:32
Proprio a questo mi riferivo, se tieni tutto insieme non è più multifactor.
Certo, se sono insieme hai il rischio che, se ti viene rubato e decodificato il database, password e 2FA siano assimilabili ad un unico fattore.
Ma negli altri casi (ad esempio di password che venga intercettata mentre la scrivi o incolli) senza compromissione del database, che sono i più probabili, comunque sono due fattori diversi ed indipendenti di autenticazione.

Quindi preferibile sicuramente che siano su database separati, ma anche se fossero sullo stesso database sarebbe comunque meglio che non avere proprio il 2FA...

destroyer85
16-05-2026, 11:35
La gente normale usa il password manager del browser. Fine.

Tasslehoff
16-05-2026, 11:47
adirittura? Io non lo vedo questo abisso, per me sei tu che non sai usarlo.Io con Keepass faccio tutto e il contrario di tutto dal 2004, l'ho visto nascere ed evolvere negli anni, ho visto andare a venire così tante estensioni da browser (tra vulnerabilità, approcci furbi per interfacciarsi con keepass, approcci stupidi e banale, di tutto) da averne perso il conto, ho visto nascere i primi plugin per agent ssh, per storage remoto, per autenticazione biometrica, li ho visti forkare, chiudere, venir abbandonato qualunque cosa che vedi nella pagina dei plugin del progetto...

Tu da quanto lo usi?

Perchè mi pare che tu non abbia capito molto del mio reply, sai cos'è l'usabilità di un prodotto?

Non mi interessa cosa tu sai fare o cosa io so fare con quel prodotto, qui si sta discutendo di Keepass elevato a prodotto per le masse tipo Bitwarden.

capriole? usarlo mobile devi arrangiarti? Ma di che parli?
KeePassXC (Windows/Linux) + KeePassDX (Android).
Lo messo a mio padre, su windows google drive sincronizza in automatico, su android gli ho detto che per aprirlo deve andare su drive e touch, in automatico scarica l'ultima versione e apre KeePassDX, password che si può salvare nel biometrico, quindi basta un dito e si apre. Hai la mentalità da boomer.Prima di appiccicare etichette offensive a qualcuno ti converrebbe leggere meglio e cercare di comprendere meglio il testo a cui stai rispondendo.

Tu hai installato Keepass s tuo padre.
Tu hai configurato i trigger per sincronizzarlo su Google Drive.
Tu gli hai installato l'app per scaricare il db Keepass da Google Drive.
Tu gli hai attivato la login biometrica sulla app da smartphone.

Tuo padre sarebbe stato in grado di fare tutto questo da solo?

Evidentemente no, altrimenti non glielo avresti fatto tu, con prodotti tipo Bitwarden, LastPass o 1Password, tuo padre avrebbe potuto fare lo stesso senza te.

Oltretutto la superficialità della tua supposizione si vede anche da altro, esempio: se la sincronizzazione non fa a buon fine che succede?
Chi controlla? Chi interviene?

Se durante la sincronizzazione di Keepass da locale (pc o smartphone che sia) verso Google Drive si interrompe la rete (poco campo, cade la portante della linea di casa, si impalla l'applicazione) la scrittura del db in remoto si interrompe e Keepass non ha nessuna logica transazionale in questa fase (sempre che tu che dai del "boomer" agli altri sappia cosa vuol dire) e il db remoto rimane corrotto (cosa che si verifica spessissimo con Keepass), che fai? Chi interviene? Chi corregge? Tuo padre?

Il tuo discorso fa acqua da tutte le parti e dimostra molta superficialità, sia dal punto di vista tecnico e delle procedure, che dell'approccio al problem solving, sia della capacità di allargare il proprio sguardo alle possibili casistiche (della serie "quello che funziona per me va bene a tutti").

Prima di dare del boomer a gente che non conosci, leggi, ascolta e cerca di imparare.

:rolleyes:

marcram
16-05-2026, 13:13
La gente normale usa il password manager del browser. Fine.
Già. Purtroppo.
Che non è tanto diverso dal file txt sul desktop...

mmorselli
16-05-2026, 13:33
Si infatti io in qualsiasi cosa "necessaria", che non mi piace fare, divento un utente normale, ma non ho capito il discorso sul 2FA. Io odio dover avere il telefono per gli authenticator, che spesso sono al PC, devo accedere a un servizio e ho il telefono dall'altra parte della casa. Tu hai chiesto prima se i servizi online supportano Authenticator, poi che ti scoccia tirare fuori il telefono. Quindi come useresti gli authenticator?

Il protocollo usato da authenticator è standard, Keepass è in grado di leggere il qrcode, memorizzare il seed e darti il numerino da inserire direttamente in clipboard, tutto da pc. Ci sono anche vantaggi accessori, se per esempio due persone devono accedere ad un servizio dietro a 2FA è semplice condividere il seed per usarlo entrambi.

mmorselli
16-05-2026, 13:50
Magari non supporta l'aggiornamento concorrente.

keepass supporta anche il sync tra file diversi e ha un meccanismo di automazione basato su eventi, per cui potresti anche avere 10 persone con 10 file di password diversi e appena premono "salva" uno script sincronizza tutti i file tra di loro.

Usare lo stesso file salvato sul cloud è rischioso, perché all'avvio il file viene caricato in memoria e poi chiuso, se due persone aggiungono una password l'ultimo che salva sovrascrive i precedenti. In ufficio usiamo git per usare ognuno una copia locale di un file master, non ho implementato sincronizzazioni più sofisticate perché per le nostre esigenze va bene così, il file non viene modificato molto spesso (e 99% delle volte lo faccio io), ma se nasce l'esigenza si può fare tutto.

mmorselli
16-05-2026, 13:54
Sto forum è pieno di boomer....

Non credere, io sudo sette camicie per convincere sviluppatori under 30 a non salvare le password con blocco note, è una battaglia persa pari a quella contro il salvataggio dei progetti in cartelle sul desktop.

Tasslehoff
16-05-2026, 13:57
Già. Purtroppo.
Che non è tanto diverso dal file txt sul desktop...Ma nemmeno per idea, paragonare 1Password, LastPass o Bitwarden, o Vaultwarden o Passbolt a un file di testo, in chiaro, sul desktop è semplicemente assurdo.

Sappiamo tutti che piace a tutti qui dentro vantarsi di essere il non plus ultra dei guru della tecnologia e quello che usano gli altri la fuori è uno schifo, è preistoria, la fuori sono tutti utonti, scimmie etc etc...

Oppure che qualsiasi cosa complicata, self-hosted o che gira in locale è il top e tutto il resto è m3rda fumante... ma la fuori è pieno di gente che la roba che noi consideriamo il top non la può usare, non la userà mai e per quanto noi ripetiamo "ma guarda è facile, basta fare <segue sequenza di operazioni complesse di cui l'utente comune non sa nulla e non saprà mai nulla>" nessuno lo farà.

Quindi non veniamo qui a raccontare che i password manager managed con interfaccia web sono peggio di un file di testo, perchè è semplicemente una assurdità sotto ogni punto di vista, tecnico, di usabilità, di sicurezza etc etc...

mmorselli
16-05-2026, 14:03
Beh, l'unico criterio è non condividere il seed, che vai a maneggiare solo al momento della registrazione.


Ma pure se lo condividi, il 2FA non serve a garantire che l'utente sia unico, serve a separare i metodi di autenticazione in modo che non ci sia un legame ovvio tra di loro, se anche mi rubi un seed poi come fai a sapere a che servizio è legato e a quale account?

Ovviamente non lo condividi con un file txt con scritto "seed TOTP Google" :D

Tasslehoff
16-05-2026, 14:09
keepass supporta anche il sync tra file diversi e ha un meccanismo di automazione basato su eventi, per cui potresti anche avere 10 persone con 10 file di password diversi e appena premono "salva" uno script sincronizza tutti i file tra di loro.Vero, però i trigger e gli eventi di Keepass hanno tante limitazioni.

E qui sta uno dei grossi problemi di Keepass, se rendi più flessibili i trigger aumenti enormemente la complessità, col risultato che gli utenti faranno casino o non li useranno, se invece li semplifichi finisci per tagliarti fuori troppe casistiche.

Imho farebbero bene a lasciare una gestione degli eventi scriptata e totalmente flessibile per utenti avanzati che vogliono sbattersi e usarli, e un subset di casistiche specifiche (es sync tramite Google Drive/Onedrive/Webdav/SFTP) dove inserire i dati minimi indispensabili e lasciar gestire tutto a Keepass.

Usare lo stesso file salvato sul cloud è rischioso, perché all'avvio il file viene caricato in memoria e poi chiuso, se due persone aggiungono una password l'ultimo che salva sovrascrive i precedenti. In ufficio usiamo git per usare ognuno una copia locale di un file master, non ho implementato sincronizzazioni più sofisticate perché per le nostre esigenze va bene così, il file non viene modificato molto spesso (e 99% delle volte lo faccio io), ma se nasce l'esigenza si può fare tutto.Non risolvi comunque il problema principale, ovvero la concorrenza e i conflitti, semplicemente li sposti su git anzichè gestirli a livello di Keepass, e spesso questo comporta una maggiore complessità perchè gestire i merge e i conflitti su git va ben al di la delle competenze dei singoli, anche tecnici.

Comunque ti devo correggere perchè quello che descrivi non è il comportanto di Keepass.

Se più utenti hanno aperto lo stesso database ospitato su filesystem di rete o altro repository remoto, un utente fa una modifica e poi il secondo ne fa un'altra, al momento del secondo salvataggio Keepass rileva che c'è una modifica presente nel db remoto che non è presente in quello che si è caricato all'apertura e fa un merge delle due.

Non mi è mai capitato che questo merge coinvolgesse modifiche alla stessa entry per cui non so come si comporti in quel caso.

mmorselli
16-05-2026, 14:09
Basta ricordarsi un sistema unico di creazione password ed applicarlo

Entropia bassissima, e già solo l'idea di dover scrivere a mano password del genere mi deprime.

mmorselli
16-05-2026, 14:13
Se più utenti hanno aperto lo stesso database ospitato su filesystem di rete o altro repository remoto, un utente fa una modifica e poi il secondo ne fa un'altra, al momento del secondo salvataggio Keepass rileva che c'è una modifica presente nel db remoto che non è presente in quello che si è caricato all'apertura e fa un merge delle due.

Ah, non lo sapevo, grazie. Usandoli sempre in locale anche quando sono condivisi non mi ero mai accorto di questa funzionalità.

Adoro queste applicazioni scritte da nerd che ci infilano dentro ogni buona idea che gli viene, senza paura di spaventare qualcuno.

marcram
16-05-2026, 14:20
La gente normale usa il password manager del browser. Fine.Già. Purtroppo.
Che non è tanto diverso dal file txt sul desktop...Ma nemmeno per idea, paragonare 1Password, LastPass o Bitwarden, o Vaultwarden o Passbolt a un file di testo, in chiaro, sul desktop è semplicemente assurdo.

Sappiamo tutti che piace a tutti qui dentro vantarsi di essere il non plus ultra dei guru della tecnologia e quello che usano gli altri la fuori è uno schifo, è preistoria, la fuori sono tutti utonti, scimmie etc etc...

Oppure che qualsiasi cosa complicata, self-hosted o che gira in locale è il top e tutto il resto è m3rda fumante... ma la fuori è pieno di gente che la roba che noi consideriamo il top non la può usare, non la userà mai e per quanto noi ripetiamo "ma guarda è facile, basta fare <segue sequenza di operazioni complesse di cui l'utente comune non sa nulla e non saprà mai nulla>" nessuno lo farà.

Quindi non veniamo qui a raccontare che i password manager managed con interfaccia web sono peggio di un file di testo, perchè è semplicemente una assurdità sotto ogni punto di vista, tecnico, di usabilità, di sicurezza etc etc...
Datti una calmata e rileggi.
Stavamo parlando del "password manager del browser", non dei servizi online...

mmorselli
16-05-2026, 14:21
Mi dirai che non sono power users, sono specialisti IT che lavorano su progetti milionari


Ma infatti ho sempre visto una proporzionalità inversa tra valore dei progetti e competenza media di chi li sviluppa purtroppo, sanno fare due cose e spesso fatte male e zero voglia di imparare mezza cosa in più. Operai dell'informatica.

Poi il fatto che tu abbia bisogno di git per sincronizzare non mi sembra la dimostrazione di un utilizzo poi così avanzato

Non lo è infatti, ma va usato il modo più adatto che risolve il problema. Noi al contrario git lo usiamo continuamente per cui dire ai colleghi di aggiungere solo un altro repo mi toglie parecchio attrito, e come ho scritto il 99% delle volte io sono l'utente che lo usa in scrittura e gli altri in lettura. Non riesco a convincerli a mettere un git pull all'avvio del loro pc, questo no... così regolarmente cercano una password, non la trovano o la trovano sbagliata, fanno git pull e così hanno quella giusta... gli piace farsi del male, la mente umana è complicata :D

mozzarello
16-05-2026, 14:25
Datti una calmata e rileggi.
Stavamo parlando del "password manager del browser", non dei servizi online...

Io uso entrambi, mi sa che le mie password nel tempo le hanno brave, firefox e Edge, ma anche forse opera e Vivaldi, in pratica tutto il mondo.

mmorselli
16-05-2026, 14:33
Io uso entrambi, mi sa che le mie password nel tempo le hanno brave, firefox e Edge, ma anche forse opera e Vivaldi, in pratica tutto il mondo.

puoi testare qui per vedere se sono finite in dizionari pubblici, nel caso è meglio cambiarle

https://haveibeenpwned.com/Passwords

destroyer85
16-05-2026, 15:17
Ma nemmeno per idea, paragonare 1Password, LastPass o Bitwarden, o Vaultwarden a un file di testo, in chiaro, sul desktop è semplicemente assurdo.

https://www.hwupgrade.it/forum/showthread.php?t=3042986
Hai ragione con il file di testo sei in pericolo se te lo rubano, negli altri casi non ce n'è nemmeno bisogno, gliel'hai date tu le chiavi.

mozzarello
16-05-2026, 15:30
puoi testare qui per vedere se sono finite in dizionari pubblici, nel caso è meglio cambiarle

https://haveibeenpwned.com/Passwords

Le ho cambiate tutte nell'ultimo anno proprio quando ho iniziato a usare Firefox Relay e SimpleLogin e quindi bitwarden per generare pwd complesse e farle ricordare principalmente lì. Però siccome di natura sono più pigro di Homer Simpson alla fine la memorizzo anche sul browser e oltre a FF di sicuro ho provato brave e Vivaldi a inizio percorso, poi sono rimasto con FF perché per me è il migliore e non è chromium, oltre ad avere estensioni anche mobile

mozzarello
16-05-2026, 15:34
https://www.hwupgrade.it/forum/showthread.php?t=3042986
Hai ragione con il file di testo sei in pericolo se te lo rubano, negli altri casi non ce n'è nemmeno bisogno, gliel'hai date tu le chiavi.

Ma infatti il vantaggio non è la sicurezza, quella c'è solo staccando il cavo e spegnendo il router, il vantaggio è la comodità. Se hai dati che fanno gola a qualcuno, sta certo che te li fregano, se no basta la protezione dai soliti attacchi a casaccio dove è l'uomo da sempre l'anello debole. E usare pwd facili e non cambiarle mai è colpa dell'uomo, non del servizio. Alla fine è più facile indovinino una pwd facile che buchino un servizio e poi decrittino proprio la tua pwd e proprio di quel servizio

destroyer85
16-05-2026, 15:46
Quindi non te ne frega niente che tutti quei servizi che hai elencato abbiano la tua password.

!fazz
16-05-2026, 16:01
Non credere, io sudo sette camicie per convincere sviluppatori under 30 a non salvare le password con blocco note, è una battaglia persa pari a quella contro il salvataggio dei progetti in cartelle sul desktop.

beh dai i miei hanno fatto di peggio hanno messo una chiave aws direttamente su un git pubblico in chiaro nel codice, :D :D :D :D

se ne è accorta direttamentre amazon che ha fumato la chiave e fatto partire una procedura di remediation che dire martellante è dir poco

mozzarello
16-05-2026, 16:11
Quindi non te ne frega niente che tutti quei servizi che hai elencato abbiano la tua password.

Cioè? Io ho dozzine di password, tutte casuali e da 32/64 caratteri, non una uguale all'altra, uso almeno 5 PC differenti e un paio di telefonini tra una balla e l'altra, che alternative avrei? Portarmi dietro una chiavetta con un file txt? Un pizzino di 20 A4 in tasca?

Le alternative sensate sono keepass come ha detto morselli, che di suo è criptato e lo puoi tranquillamente tenere anche su un cloud gratuito (e mi pare abbia detto c'è un client mobile che legge da onedrive) o per chi non si vuole sbattere ci sono bitwarden o similari, online. Poi per ogni cosa di cui accetti la comodità devi accettarne anche i rischi. Teoricamente le pwd sono come minimo hash nel db loro, quindi teoricamente non sono recuperabili, per il resto il so operativo del dispotivo e il browser le sanno a prescindere dato che devi copiare e incollarle e devono mandarle in chiaro al servizio, si spera via https.

mozzarello
16-05-2026, 16:14
puoi testare qui per vedere se sono finite in dizionari pubblici, nel caso è meglio cambiarle

https://haveibeenpwned.com/Passwords

Sì, ma devi incollare la pwd, dopo la sanno loro :D

destroyer85
16-05-2026, 16:37
Cioè? Io ho dozzine di password, tutte casuali e da 32/64 caratteri, non una uguale all'altra, uso almeno 5 PC differenti e un paio di telefonini tra una balla e l'altra, che alternative avrei? Portarmi dietro una chiavetta con un file txt? Un pizzino di 20 A4 in tasca?

Le alternative sensate sono keepass come ha detto morselli, che di suo è criptato e lo puoi tranquillamente tenere anche su un cloud gratuito (e mi pare abbia detto c'è un client mobile che legge da onedrive) o per chi non si vuole sbattere ci sono bitwarden o similari, online. Poi per ogni cosa di cui accetti la comodità devi accettarne anche i rischi. Teoricamente le pwd sono come minimo hash nel db loro, quindi teoricamente non sono recuperabili, per il resto il so operativo del dispotivo e il browser le sanno a prescindere dato che devi copiare e incollarle e devono mandarle in chiaro al servizio, si spera via https.
Come prima cosa leggi e comprendi il link che ti ho passato.
Seconda cosa ti do la possibilità di rileggere il messaggio per trovare l'enorme castroneria che hai scritto e correggere.

mozzarello
16-05-2026, 16:42
Come prima cosa leggi e comprendi il link che ti ho passato.
Seconda cosa ti do la possibilità di rileggere il messaggio per trovare l'enorme castroneria che hai scritto e correggere.

Non ho tempo

Tasslehoff
16-05-2026, 18:03
Datti una calmata e rileggi.
Stavamo parlando del "password manager del browser", non dei servizi online...Scusa avevo inteso che intendeste l'uso di un password manager con interfaccia web tramite browser.

Comunque non sono per niente d'accordo, non siamo ai tempi di IE o di vecchie versioni di Chrome o Firefox dove erano salvate in chiaro in locale.

Il password manager di Chrome o di Firefox ad esempio è molto più sofisticato e sicuro di quanto pensi la gran parte delle persone.
Anzitutto nessuna credenziale è salvata in chiaro (sono tutte cifrate mediante API e keyring del sistema operativo), e già qui il confronto con il file di testo locale non regge nemmeno lontanamente.

Poi anche nel caso di Chrome e utilizzo di profilo Google per la sincronizzazione tra più dispositivi è possibile impostare una master password per cifrare la comunicazione end to end con il proprio database e quindi anche la scusa complottistica che molti avanzano del "Google conosce le mie password" decade completamente.

Insomma rispetto al file di testo in locale c'è un abisso.

Tasslehoff
16-05-2026, 18:11
Quindi non te ne frega niente che tutti quei servizi che hai elencato abbiano la tua password.Ma finiamola con questi luoghi comuni per cui i password manager SaaS "hanno le tue password".

Chiaro che il database/vault/keyring, chiamalo come vuoi, su cui risiedono le credenziali sta sui loro sistemi, ma se il servizio è ben fatto (es Bitwarden, ma lo stesso vale per qualsiasi altro password manager serio) si basa sul modello Zero-Knoweledge, ovvero il gestore non può accedere nemmeno volendo alle tue credenziali, quello che transita sui loro sistemi è il tuo database cifrato e decifrabile solo da te in locale con la tua passphrase.

Questo vuol dire che i password manager non possano avere criticità di sicurezza? Ma certo che no, però il modello logico con cui sono costruiti è tale per cui le credenziali sono sempre cifrate.

Per quanti bug, problemi o attacchi subisca un gestore di password manager, le credenziali gestite con esso saranno sempre gestite meglio rispetto a non utilizzare un password manager.

destroyer85
16-05-2026, 18:18
Ma Bioparco volete leggere quel cavolo di articolo!

colemar
16-05-2026, 19:31
Ci sono alternative a Bitwarden altrettanto valide e free, però alcune sono self-hosted (es Vaultwarden o Passbolt) e richiedono competenze che la gran parte degli utenti non ha.

Grazie per avermi fatto scoprire Vaultwarden. In mezza giornata ho installato il server sulla macchina linux che ho noleggiato all'estero ed ho esportato tutto il vault da Bitwarden Premium al mio Vaultwarden senza perdere mezza feature.
Stessi client di prima (Android, Windows, estensione del browser), cambiato account, l'esperienza utente non cambia di una virgola.
Ovviamente la macchina estera mi serve per molte altre cose, altrimenti non ne valeva la pena.

colemar
16-05-2026, 19:43
Sì, ma devi incollare la pwd, dopo la sanno loro :D

No, della password viene fatto un hash localmente nel browser, poi un pezzo di questo (mi pare i primi 5 caratteri) viene inviato al server remoto che cerca se ci sono corrispondenze con hash di password conosciute, se ne trova alcuni li rimanda al browser il quale li confronta con l'hash iniziale e se ne trova uno che corrisponde ti dice che la tua password è nota al mondo intero.
Con il solo hash non si può ricostruire la password, figuriamoci con solo i primi 5 caratteri.

O almeno così dicono, ma qualcuno avrà pur controllato il codice javascript.

mozzarello
16-05-2026, 20:02
No, della password viene fatto un hash localmente nel browser, poi un pezzo di questo (mi pare i primi 5 caratteri) viene inviato al server remoto che cerca se ci sono corrispondenze con hash di password conosciute, se ne trova alcuni li rimanda al browser il quale li confronta con l'hash iniziale e se ne trova uno che corrisponde ti dice che la tua password è nota al mondo intero.
Con il solo hash non si può ricostruire la password, figuriamoci con solo i primi 5 caratteri.

O almeno così dicono, ma qualcuno avrà pur controllato il codice javascript.

Ah così ha senso, interessante come implementazione, il JS sarà stato sicuro controllato, se no fai presto a estrarlo e darlo in pasto a un LLM.

marcram
17-05-2026, 11:15
Scusa avevo inteso che intendeste l'uso di un password manager con interfaccia web tramite browser.

Comunque non sono per niente d'accordo, non siamo ai tempi di IE o di vecchie versioni di Chrome o Firefox dove erano salvate in chiaro in locale.

Il password manager di Chrome o di Firefox ad esempio è molto più sofisticato e sicuro di quanto pensi la gran parte delle persone.
Anzitutto nessuna credenziale è salvata in chiaro (sono tutte cifrate mediante API e keyring del sistema operativo), e già qui il confronto con il file di testo locale non regge nemmeno lontanamente.

Poi anche nel caso di Chrome e utilizzo di profilo Google per la sincronizzazione tra più dispositivi è possibile impostare una master password per cifrare la comunicazione end to end con il proprio database e quindi anche la scusa complottistica che molti avanzano del "Google conosce le mie password" decade completamente.

Insomma rispetto al file di testo in locale c'è un abisso.
Non più di tanto, dal mio punto di vista.
Sono cifrate dalle API del sistema operativo, il che vuol dire che chi ha accesso al profilo può tranquillamente decriptare le password.
Anche il file txt, oggigiorno, tende ad essere criptato da bitlocker...
Quindi che tu lasci il computer sbloccato a qualcuno, o un malware abbia accesso al tuo profilo, le password salvate nel browser sono a sua disposizione.
La differenza è poca se le avesse lasciate su un file txt sul desktop con cifratura del disco...

Edge, ad esempio, decripta tutte le password salvate nel database appena lo avvii e le tiene in chiaro in memoria. Apri il browser per vedere il meteo, e lui ti decripta tutte le password di ogni account che hai salvato. Un semplice dump del processo ti dà tutte le password facilmente. E MS ha dichiarato che è una feature...:rolleyes:

fraussantin
17-05-2026, 20:16
Personalmente ho sempre diffidato di questi servizi.. o meglio, ho sempre preferito fare da me, offline e per i fattacci miei.

File TXT ignorante con tutti gli account e password varie criptato con AXCRYPT.
La versione vecchia, offline e stand alone.

Personalmente uso google per i siti minori e quelle poche pw importanti stanno su un foglio di carta .
L'unico modo per sniffarle è un keylogger.

mmorselli
17-05-2026, 20:44
Anche il file txt, oggigiorno, tende ad essere criptato da bitlocker...

Dipende, dovrebbe attivarsi automaticamente se ti logghi con un account Microsoft durante l'installazione, perché MS vuole salvare la chiave sull'account MS, probabilmente non vuole gente incazzata che non riesce più ad accedere ai suoi dati.

Il mio attuale PC è stato installato da zero a Ottobre 2025, e bitlocker non ce l'ho attivato di default su nessun disco. Uso un account MS, ma non ricordo in che fase dell'installazione l'ho inserito.

Ma nessuno ti smonta il disco del PC, se ti rubano il file delle password txt è perché hai un virus, un password manager è più protetto da questo tipo di attacchi.

mozzarello
18-05-2026, 08:58
Personalmente uso google per i siti minori e quelle poche pw importanti stanno su un foglio di carta .
L'unico modo per sniffarle è un keylogger.

Che vuol dire usu Google? Intendi Chrome?

Su carta io non saprei come fare avendo 134 login differenti tra email e password, intendo proprio tutte le email differenti e le password tutte tra 32 e 64 caratteri, anche di siti minori. E mi può servire dovermi loggare ovunque, quindi dovrei sempre aver dietro tutto.

Giuss
18-05-2026, 10:21
Anch'io ho usato sempre il foglio di carta almeno per quelle importanti, è più sicuro

Bitwarden lo provai una volta localmente su docker ma non sono riuscito a farlo andare e ho lasciato perdere

fraussantin
18-05-2026, 10:56
Che vuol dire usu Google? Intendi Chrome?

Su carta io non saprei come fare avendo 134 login differenti tra email e password, intendo proprio tutte le email differenti e le password tutte tra 32 e 64 caratteri, anche di siti minori. E mi può servire dovermi loggare ovunque, quindi dovrei sempre aver dietro tutto.

Intendo google pw che vedi con chrome ma anche sul telefono android separato da chrome stesso

Con 8000 account è l'unico sistema.

Ma banca carte spid ecc stanno su carta