Un password manager è l upgrade cybersecurity con il più alto ROI. Una master password + password uniche forti per ogni sito = riduzione 90% del rischio violazione. Questa guida ti porta a setup in 30 minuti.

Step 1: Installa Bitwarden (5 min)

Iscriviti su bitwarden.com, scegli tier Free (sufficiente per la maggior parte). Installa:

  • Estensione browser per il browser che usi quotidianamente (Chrome, Firefox, Brave, Safari, Edge)
  • App mobile per iOS o Android
  • App desktop (opzionale, utile per accesso offline)

Opzionale: installa su un secondo dispositivo, la sync è automatica e cifrata.

Step 2: Crea la tua master password (10 min)

Questa è la unica password che memorizzerai. Falla bene.

Requisiti:

  • 24+ caratteri minimo
  • Memorabile per te, non indovinabile da altri
  • NON usata altrove, mai

Pattern che funziona: 4-5 parole non correlate + numeri + caratteri speciali.

Esempio (non usare questo): CorrectHorseBatteryStaple-2026-Aglio-Pecora!

Scrivila su carta. Conserva il foglio in luogo fisico sicuro (cassetta di sicurezza, taccato sotto un cassetto, ecc.). Se perdi la master password, il vault è irrecuperabile per design (architettura zero-knowledge). È una feature, non un bug.

Step 3: Migra le tue password esistenti (10 min)

Bitwarden importa da:

  • Chrome / Edge: chrome://settings/passwords -> Esporta password -> CSV
  • Safari (iOS/macOS): Impostazioni -> Password -> AirDrop o Esporta
  • LastPass: Account Settings -> Advanced -> Export -> CSV
  • 1Password: 1PUX export
  • Dashlane: Settings -> Export -> CSV
  • KeePass: KDBX o XML

Importa in Bitwarden: Tools -> Import Data -> seleziona sorgente.

Dopo import: rivedi duplicati (Bitwarden li flagga).

Step 4: Abilita 2FA su Bitwarden stesso (3 min)

Critico: proteggi Bitwarden con 2FA. Altrimenti la master password da sola potrebbe essere crackata.

Settings -> Two-step Login:

  • App authenticator (gratis, raccomandato): Authy, Aegis, 1Password TOTP, Bitwarden Authenticator
  • YubiKey (a pagamento premium 10 USD/anno, più forte): chiave hardware fisica

Evita 2FA via SMS su Bitwarden (rischio SIM swap).

Step 5: Pratica una volta + cancella password salvate nel browser (2 min)

Test: esci da un sito, rientra. L autofill Bitwarden dovrebbe funzionare senza intoppi.

Poi: cancella password salvate nel browser (chrome://settings/passwords -> Rimuovi tutto). Sono ora in Bitwarden, cifrate.

Workflow uso quotidiano

D ora in poi:

  • Nuovo account: Bitwarden suggerisce automaticamente password forte (24 char random) su form iscrizione
  • Account esistente: autofill Bitwarden al login
  • Viaggio: abilita Bitwarden sul telefono, la master password sblocca ovunque
  • Dispositivo perso: nessuno può leggere il vault senza la tua master password (e idealmente 2FA)

Cosa fare dopo

  • Audit delle password esistenti per riuso / debolezza / violate: Bitwarden -> Reports -> Vault Health (Premium) o haveibeenpwned.com manualmente
  • Sostituisci password deboli una alla volta in 60 giorni (non provare in un weekend, ti bruci)
  • Setup emergency access (Premium) se vuoi che una persona fidata possa accedere in caso di incapacità

Verdetto

30 minuti oggi = una vita di migliore cybersecurity. La singola azione più impattante che puoi fare. Non rimandare.