Password manager nel 2026: quale scegliere e quali errori evitare

Il password manager 2026 non è più uno strumento “da smanettoni”, ma una delle difese più semplici per proteggere account personali, posta elettronica, servizi cloud e accessi aziendali. Il problema è che molti lo scelgono come si sceglie una cover per il telefono: guardando il prezzo, due stelline e magari il nome più famoso. Peccato che qui non stiamo parlando di estetica, ma delle chiavi di casa digitale.

Nel 2026 le password non sono sparite. Le passkey stanno crescendo molto e sono una soluzione più sicura perché non funzionano come una password tradizionale: non si digitano in un sito falso e non sono un “segreto” riutilizzabile dall’attaccante. Il National Cyber Security Centre britannico consiglia infatti l’uso delle passkey dove disponibili, perché riducono il rischio di phishing e furto delle credenziali.


Detto questo, nella vita reale abbiamo ancora decine di servizi che usano password. Siti vecchi, gestionali, pannelli hosting, account email, portali fornitori, servizi bancari, software aziendali. Ed è qui che entra in gioco il password manager.

Cos’è un password manager

Un password manager è un programma che conserva le password in un archivio cifrato, protetto da una password principale e, possibilmente, anche da un secondo fattore di autenticazione.

In pratica permette di:

  • creare password lunghe e diverse per ogni sito;
  • salvarle in modo ordinato;
  • sincronizzarle tra computer, smartphone e browser;
  • compilare automaticamente login e moduli;
  • condividere alcune credenziali con altre persone in modo controllato;
  • gestire codici 2FA, note sicure, carte, chiavi software e dati sensibili.

La cosa importante è questa: il password manager non serve solo a “ricordare le password”. Serve soprattutto a non riutilizzare sempre la stessa password ovunque, che è ancora uno degli errori più pericolosi.

Se usi la stessa password per email, gestionale, sito WordPress e account del corriere, basta che cada uno di quei servizi per mettere a rischio anche tutto il resto. Comodo, certo. Anche lasciare le chiavi nel bauletto della moto è comodo. Finché la moto c’è ancora.

Perché non basta salvare le password nel browser

Chrome, Edge, Safari e Firefox salvano le password e spesso lo fanno in modo più sicuro rispetto al passato. Per un utente privato può essere già meglio del foglio Excel sul desktop chiamato “PASSWORD NUOVE 2024 DEFINITIVO”.

Però in ambito aziendale il browser da solo spesso non basta.

Il problema non è solo salvare la password. Il problema è gestire:

  • chi può vedere una password;
  • chi può modificarla;
  • chi può condividerla;
  • cosa succede quando un dipendente lascia l’azienda;
  • come si revoca l’accesso;
  • dove sono i codici di recupero;
  • chi ha accesso agli account critici;
  • come si evita che una password finisca in chat, email o WhatsApp.

Un vero password manager aziendale permette di creare gruppi, raccolte condivise, ruoli, log attività e procedure di emergenza. Il browser, invece, è pensato soprattutto per l’uso personale.

Quale password manager scegliere nel 2026

Non esiste il migliore in assoluto. Esiste quello più adatto al caso d’uso.

TechRadar, nella sua guida aggiornata ai migliori password manager del 2026, cita tra le soluzioni più rilevanti NordPass, Keeper, Bitwarden, 1Password e Proton Pass, valutandole per sicurezza, facilità d’uso, prezzo e funzionalità.

Vediamo quindi come orientarsi senza trasformare la scelta in una gara da tifoseria.


Bitwarden: ottimo rapporto qualità/prezzo

Bitwarden è spesso una delle scelte più interessanti per utenti privati, professionisti e piccole aziende. Ha un piano gratuito molto valido, supporta la sincronizzazione tra dispositivi e offre funzioni avanzate nei piani a pagamento.

È apprezzato anche perché è open source, elemento importante per chi vuole maggiore trasparenza sul software utilizzato.

Può essere una buona scelta se:

  • vuoi spendere poco;
  • vuoi una soluzione flessibile;
  • hai utenti abbastanza ordinati;
  • vuoi iniziare senza creare un progetto aziendale mastodontico;
  • ti serve una gestione semplice ma completa.

Per molte PMI è uno dei candidati più sensati, soprattutto quando l’alternativa reale è “ognuno si arrangia come può”, cioè il metodo più diffuso subito dopo “metti tutto in un file Word”.

1Password: molto curato e adatto ai team

1Password è una soluzione molto solida, con un’interfaccia curata e funzioni pensate bene per famiglie, professionisti e aziende. È spesso apprezzato per l’esperienza utente, la gestione dei vault e le opzioni per la condivisione sicura.

Può essere una buona scelta se:

  • vuoi un prodotto molto rifinito;
  • hai utenti non tecnici;
  • vuoi ridurre al minimo la confusione;
  • ti serve una buona gestione di team e famiglie;
  • vuoi un sistema ordinato per separare accessi personali, aziendali e condivisi.

Per le aziende è interessante perché aiuta a creare una struttura più chiara: password personali da una parte, credenziali condivise dall’altra, accessi critici separati.

Keeper: forte sul lato aziendale

Keeper è una soluzione orientata molto anche al mondo business. Offre funzioni per la condivisione, il controllo degli accessi, la gestione degli utenti e l’organizzazione delle credenziali.

Può essere una buona scelta se:

  • hai più utenti da gestire;
  • vuoi criteri aziendali più rigidi;
  • ti servono controlli e report;
  • vuoi gestire accessi condivisi in modo ordinato;
  • hai reparti o gruppi con permessi diversi.

Per una PMI strutturata può essere una scelta interessante, soprattutto quando le password non sono più “quelle tre cose che sa il titolare”, ma un patrimonio aziendale vero e proprio.

NordPass: semplice e moderno

NordPass punta molto su semplicità, interfaccia pulita e facilità di utilizzo. Secondo TechRadar è una delle soluzioni più forti nel panorama 2026, anche per il buon equilibrio tra sicurezza, prezzo e funzioni.

Può essere una buona scelta se:

  • vuoi qualcosa di semplice da usare;
  • hai utenti poco tecnici;
  • vuoi una soluzione moderna e veloce;
  • vuoi funzioni business senza complicare troppo la gestione;
  • ti interessa un’interfaccia chiara anche su smartphone.

È una soluzione adatta a chi vuole ordine senza dover organizzare un corso interno di tre settimane su “come si salva una password senza distruggere l’azienda”.

Proton Pass: interessante per chi guarda molto alla privacy

Proton Pass è la soluzione del mondo Proton, lo stesso ecosistema di Proton Mail e Proton VPN. Può essere interessante per chi è già dentro quell’ambiente o per chi dà molta importanza alla privacy.

TechRadar segnala Proton Pass come una scelta adatta agli utenti attenti alla riservatezza, anche grazie all’integrazione con l’ecosistema Proton.

Può essere una buona scelta se:

  • usi già servizi Proton;
  • vuoi una soluzione orientata alla privacy;
  • ti interessa anche la gestione degli alias email;
  • vuoi ridurre il tracciamento legato agli indirizzi email;
  • preferisci un ecosistema coerente.

Per le aziende va valutato bene in base alle esigenze di gestione utenti, policy, integrazioni e recupero accessi.


Uso personale e uso aziendale: non sono la stessa cosa

Qui bisogna essere chiari: un conto è gestire le password personali, un conto è gestire quelle di un’azienda.

Per uso personale servono soprattutto:

  • una password principale molto robusta;
  • sincronizzazione tra dispositivi;
  • accesso da smartphone;
  • protezione con 2FA;
  • backup dei codici di recupero;
  • controllo delle password deboli o riutilizzate.

Per uso aziendale servono anche:

  • gestione centralizzata degli utenti;
  • gruppi e permessi;
  • vault condivisi;
  • revoca rapida degli accessi;
  • log delle attività;
  • procedure quando una persona cambia ruolo o lascia l’azienda;
  • account amministrativi separati;
  • piano di emergenza.

La differenza è enorme.

Nel personale il rischio è perdere i propri account. In azienda il rischio è che una password condivisa male apra posta, dominio, hosting, gestionale, banca, e magari anche l’account social dove qualcuno può pubblicare “siamo stati hackerati” con grande eleganza comunicativa.

La password principale deve essere davvero forte

Il password manager protegge tutto con una password principale. Se quella è debole, tutto il castello diventa meno sicuro.

La password principale deve essere:

  • lunga;
  • unica;
  • non riutilizzata altrove;
  • non collegata a dati personali;
  • facile da ricordare ma difficile da indovinare.

Meglio una passphrase lunga, composta da più parole, numeri e simboli, piuttosto che una password corta piena di caratteri strani ma impossibile da ricordare.

E no, “Azienda2026!” non è una password forte. È un invito.

Attivare sempre la 2FA

Il password manager deve essere protetto con autenticazione a due fattori.

Possibilmente meglio usare:

  • app di autenticazione;
  • chiavi hardware FIDO2;
  • passkey, se supportate;
  • metodi biometrici sul dispositivo.

Gli SMS sono meglio di niente, ma non sono la scelta più robusta. Per account critici, meglio una chiave fisica o un’app di autenticazione configurata correttamente.

Attenzione però: anche la 2FA va gestita. Se perdi telefono, chiave e codici di recupero, potresti restare fuori dal tuo stesso archivio. E a quel punto la sicurezza è perfetta: non entra nessuno, nemmeno tu.

Backup dei codici di recupero

Quando configuri un password manager o la 2FA su un servizio importante, quasi sempre vengono forniti codici di recupero.

Quei codici vanno salvati in modo sicuro.

Non vanno:

  • lasciati sul desktop;
  • mandati via email;
  • salvati in una chat;
  • fotografati e dimenticati nella galleria;
  • stampati e messi sotto la tastiera.

Per un privato può bastare una copia stampata conservata in un posto sicuro. Per un’azienda serve una procedura: chi li conserva, dove, con quale accesso, con quale controllo.


Condivisione password: mai via email o WhatsApp

Uno degli errori più comuni è usare il password manager per salvare le password, ma poi condividerle ancora nel modo peggiore possibile.

Esempio classico:

“Ti mando la password su WhatsApp.”

Perfetto. Abbiamo comprato l’armadio blindato e poi lasciato la chiave attaccata fuori.

Le password condivise devono passare dal password manager, usando vault condivisi, link sicuri con scadenza o permessi dedicati. In azienda ogni utente dovrebbe avere il proprio account, non un account condiviso da tutti.

Se una persona deve accedere a una password, le si dà accesso. Se non deve più accedere, si revoca. Fine.

Cosa fare quando un dipendente se ne va

Questo è uno dei punti più sottovalutati.

Quando un dipendente o collaboratore lascia l’azienda bisogna avere una procedura chiara:

  • disattivare il suo account nel password manager;
  • controllare quali password poteva vedere;
  • cambiare le password critiche a cui aveva accesso;
  • revocare sessioni attive;
  • verificare account email, cloud, gestionali e pannelli amministrativi;
  • rimuovere eventuali dispositivi autorizzati;
  • controllare eventuali codici 2FA associati al suo telefono.

Se l’azienda usa password condivise a caso, questa procedura diventa un incubo. Se invece usa un password manager aziendale configurato bene, diventa un controllo ordinato.

La sicurezza non è solo impedire agli estranei di entrare. È anche sapere cosa succede quando una persona autorizzata non deve più esserlo.



Password manager e passkey: uno non esclude l’altro

Le passkey stanno diventando sempre più importanti. Google le presenta come un’alternativa più semplice e sicura alle password, perché permettono l’accesso con impronta, volto o blocco schermo del dispositivo.

Questo però non significa che il password manager diventi inutile.

Anzi, molti password manager stanno integrando il supporto alle passkey. Questo permette di gestire sia le password tradizionali sia gli accessi moderni senza password.

La situazione reale del 2026 è ibrida:

  • alcuni servizi supportano le passkey;
  • altri supportano solo password e 2FA;
  • alcuni hanno implementazioni ancora immature;
  • in azienda ci sono spesso software vecchi che resteranno a password ancora per anni.

Quindi la strategia migliore è: usare le passkey dove possibile, usare password manager e 2FA dove le passkey non sono ancora disponibili.

Gli errori da evitare

1. Usare una password principale debole

Il password manager non fa miracoli. Se la password principale è banale, il rischio aumenta.

2. Non attivare la 2FA

Un password manager senza 2FA è come una porta blindata con la chiave sotto lo zerbino.

3. Salvare tutto ma non fare ordine

Se dentro ci sono 400 voci duplicate, password vecchie, account morti e nomi incomprensibili, prima o poi qualcuno userà la credenziale sbagliata.

4. Condividere password fuori dal sistema

Email, chat, post-it e screenshot sono il modo migliore per rovinare una buona configurazione.

5. Non prevedere il recupero account

Bisogna sapere cosa fare se si perde il telefono, se si rompe il PC o se chi aveva l’accesso amministrativo non è disponibile.

6. Usare account condivisi

Ogni persona deve avere il proprio utente. Le credenziali condivise vanno gestite tramite permessi, non con “usa questo login che lo usiamo tutti”.

7. Non aggiornare le password compromesse

Molti password manager segnalano password deboli, riutilizzate o coinvolte in violazioni. Ignorare questi avvisi significa comprare l’allarme e poi staccargli la corrente perché suona.

Quale scegliere quindi?

Per un utente privato o un professionista, Bitwarden, 1Password, NordPass e Proton Pass sono tutte opzioni valide, da scegliere in base a budget, semplicità, ecosistema e preferenze.

Per una PMI, la scelta va fatta guardando soprattutto:

  • gestione utenti;
  • gruppi e permessi;
  • condivisione sicura;
  • revoca accessi;
  • log;
  • recupero account;
  • supporto;
  • facilità per utenti non tecnici;
  • compatibilità con browser, smartphone e sistemi aziendali.

Il prezzo conta, ma non dovrebbe essere l’unico criterio. Risparmiare pochi euro al mese per poi gestire le password aziendali su un file condiviso è una di quelle economie creative che di solito finiscono con una telefonata urgente al tecnico.


Conclusione

Nel 2026 un password manager non è più un optional. È uno strumento base di igiene digitale, come l’antivirus, gli aggiornamenti e il backup.

Per gli utenti privati serve a evitare password deboli e ripetute. Per le aziende serve a gestire accessi, condivisioni, collaboratori e situazioni di emergenza.

La scelta non deve partire dalla domanda “qual è il migliore?”, ma da una domanda più utile: “come lo useremo davvero?”.

Perché il password manager migliore, configurato male, usato da metà azienda e ignorato dall’altra metà, non risolve molto. Quello giusto, invece, può evitare parecchi problemi prima ancora che diventino ticket, telefonate e giornate rovinate.



Condividi