Scegliere un password manager nel 2026 significa decidere chi custodisce le chiavi della tua vita digitale. Da una parte c’è Bitwarden, il gestore cloud open source che sincronizza le credenziali su ogni dispositivo. Dall’altra c’è KeePassXC, il custode locale che tiene tutto dentro un singolo file cifrato sul tuo computer, senza mai toccare un server remoto. Entrambi sono gratuiti, entrambi sono open source, entrambi usano AES-256. Eppure rappresentano due filosofie opposte di sicurezza e privacy.
Questo confronto mette a nudo le differenze reali tra i due strumenti: architettura, crittografia, audit indipendenti, prezzi, supporto multipiattaforma, autenticazione a due fattori e casi d’uso concreti. Niente marketing, solo dati verificati del 2025 e 2026. Alla fine saprai con precisione quale dei due fa al caso tuo, che tu sia un utente privato a Milano, un team distribuito in Europa o un sistemista che vuole controllo totale sui propri dati.
Bitwarden vs KeePassXC: il confronto in sintesi
La distinzione fondamentale è questa: Bitwarden è un gestore di password basato sul cloud, mentre KeePassXC è un gestore puramente locale. Bitwarden cifra le tue credenziali sul dispositivo e poi le carica sui propri server, da dove vengono sincronizzate automaticamente su telefono, browser e desktop. KeePassXC, invece, salva tutto in un singolo file .kdbx che resta sul tuo disco: nessun server, nessuna sincronizzazione automatica, nessun account online.
Questa scelta architetturale determina tutto il resto. Bitwarden vince su comodità, accesso multipiattaforma e funzioni per i team. KeePassXC vince su privacy assoluta, indipendenza dai server di terzi e zero superficie di attacco lato cloud. Bitwarden offre un piano gratuito generoso e un Premium a 9,99 dollari l’anno (circa 9,10 euro). KeePassXC è gratuito al 100%, per sempre, senza piani a pagamento e senza limitazioni di funzioni.
Per chi cerca un equilibrio tra sicurezza e usabilità quotidiana su più dispositivi, Bitwarden è la risposta naturale. Per chi mette la privacy e il controllo dei dati al primo posto e non si spaventa davanti a una configurazione manuale, KeePassXC è imbattibile. Vediamo i numeri nel dettaglio.
Tabella comparativa completa: 14 parametri a confronto
Questa è la fotografia completa dei due gestori di password, aggiornata a giugno 2026. Ogni riga riporta le specifiche ufficiali pubblicate dai due progetti, senza stime né estrapolazioni.
| Parametro | Bitwarden | KeePassXC |
|---|---|---|
| Architettura | Cloud, sincronizzazione automatica | Locale, file .kdbx |
| Prezzo base | Gratuito | Gratuito (sempre) |
| Piano Premium | 9,99 $/anno (circa 9,10 €) | Non esiste |
| Piano Famiglie | 39,99 $/anno, fino a 6 utenti | Non applicabile |
| Cifratura vault | AES-256 (CBC) | AES-256 o ChaCha20 |
| Derivazione chiave (KDF) | PBKDF2 SHA-256 o Argon2id | Argon2id o AES-KDF |
| Licenza open source | AGPLv3 (server), GPLv3 (client) | GPLv2+ |
| App mobile ufficiale | Sì (iOS e Android) | No (solo app di terzi) |
| Estensione browser | Chrome, Firefox, Safari, Edge, Opera | KeePassXC-Browser |
| 2FA integrata | TOTP, FIDO2, YubiKey, passkey | YubiKey challenge-response |
| Generazione TOTP nel vault | Sì (Premium) | Sì (integrata, gratis) |
| Self-hosting | Sì (ufficiale e Vaultwarden) | Non necessario (è locale) |
| Giurisdizione società | Stati Uniti | Progetto comunitario, nessuna società |
| Supporto passkey 2025 | Sì, FIDO2/WebAuthn | Parziale, via plugin |
La tabella mostra subito la natura dei due strumenti. Bitwarden è un servizio completo e pronto all’uso, con app ufficiali ovunque e funzioni avanzate dietro un Premium economico. KeePassXC è un’applicazione desktop spartana ma potentissima, senza costi e senza dipendenze da terzi. La scelta dipende da quanto valore dai alla comodità del cloud rispetto al controllo totale del file locale.
Architettura: sincronizzazione cloud contro file locale .kdbx
Qui sta il cuore della differenza. Bitwarden adotta un modello cloud-first con cifratura a conoscenza zero (zero-knowledge). Quando salvi una password, l’app la cifra localmente con la tua chiave derivata dalla master password, poi carica il blob cifrato sui server Bitwarden. Da lì, ogni tuo dispositivo scarica e decifra il vault. I server vedono solo dati cifrati: Bitwarden non possiede mai la tua master password né la chiave di cifratura.
Il vantaggio è enorme in termini di praticità. Aggiungi una credenziale dal browser sul portatile e la ritrovi sul telefono dopo due secondi, senza fare nulla. La sincronizzazione è automatica e trasparente. Lo svantaggio è che ti fidi di un server di terzi: anche se i dati sono cifrati, il blob è comunque ospitato altrove, e un eventuale incidente di sicurezza lato server resta una preoccupazione teorica, per quanto mitigata dalla cifratura.
KeePassXC ribalta completamente il paradigma. Tutte le tue credenziali vivono in un unico file .kdbx cifrato, salvato dove decidi tu: il disco locale, una chiavetta USB, una cartella di Nextcloud o Dropbox. Non esiste alcun server KeePassXC, perché il progetto non offre alcun servizio online. Sei tu il custode unico e assoluto del file. Se vuoi sincronizzarlo su più dispositivi, devi farlo manualmente, copiando il file o appoggiandoti a un servizio cloud di tua scelta.
Questo significa privacy quasi totale: nessuna azienda conosce la tua esistenza, nessun metadato lascia il tuo computer, nessun account è collegato a un’email. Il prezzo da pagare è la responsabilità. Se perdi il file e non hai backup, perdi tutto. Se sbagli la sincronizzazione manuale tra due dispositivi, rischi conflitti tra versioni. KeePassXC premia chi è disciplinato e penalizza chi è distratto. Per un confronto su come la cifratura locale protegge interi dischi, vale la pena leggere il nostro approfondimento su VeraCrypt contro BitLocker.
Crittografia e sicurezza: AES-256, Argon2id e PBKDF2
Sul fronte crittografico entrambi i gestori sono solidi, ma con sfumature importanti. Bitwarden cifra il vault con AES-256 in modalità CBC. La chiave deriva dalla master password tramite PBKDF2 con SHA-256, oppure tramite Argon2id, che dal 2023 è disponibile come opzione consigliata. Per il PBKDF2, Bitwarden usa di default 600.000 iterazioni, un valore allineato alle raccomandazioni OWASP più recenti, proprio per resistere agli attacchi a forza bruta su hardware moderno.
KeePassXC offre una scelta più ampia di cifrari: oltre ad AES-256 supporta ChaCha20, un algoritmo moderno e velocissimo su CPU senza accelerazione hardware. Per la derivazione della chiave, KeePassXC propone Argon2id (vincitore della Password Hashing Competition) come opzione consigliata per i nuovi database, con AES-KDF disponibile per retrocompatibilità. Argon2id resiste sia agli attacchi su GPU sia a quelli su ASIC grazie al suo elevato consumo di memoria configurabile.
La differenza pratica è sottile ma reale: KeePassXC ti dà controllo granulare su iterazioni, memoria e parallelismo di Argon2id, permettendoti di tarare la difficoltà in base al tuo hardware. Bitwarden astrae questi dettagli per semplicità, esponendo solo l’opzione di passare ad Argon2id. Chi vuole capire perché la scelta del KDF conta tanto può approfondire con la nostra guida all’hashing delle password con bcrypt in Node.js, che spiega i principi alla base di queste funzioni.
In entrambi i casi, la sicurezza reale dipende dalla forza della tua master password. AES-256 e Argon2id sono inattaccabili con la potenza di calcolo odierna, ma una master password debole vanifica qualsiasi algoritmo. Le linee guida OWASP sullo storage delle password restano il riferimento tecnico definitivo su questi parametri.
Audit di sicurezza indipendenti: chi ha verificato il codice
La fiducia in un password manager si misura sugli audit indipendenti, non sulle promesse. Bitwarden è stato sottoposto a verifiche da parte di Cure53, una delle società di penetration testing più rispettate in Europa, con sede in Germania. Gli audit più rilevanti risalgono al 2020 e al 2023: l’analisi del 2023 non ha rilevato vulnerabilità critiche nella logica di cifratura o di autenticazione. Bitwarden pubblica i report sulla propria pagina dedicata agli audit, un livello di trasparenza che pochi concorrenti commerciali eguagliano.
KeePassXC segue un modello diverso, tipico dei progetti comunitari. Non esiste un singolo audit ufficiale commissionato a una grande società, ma il codice è interamente pubblico su GitHub e sottoposto a revisione continua da parte della comunità di sviluppatori e ricercatori di sicurezza. Le vulnerabilità vengono individuate e corrette pubblicamente: nel 2024, ad esempio, è stata risolta una falla nel plugin per il browser, con divulgazione trasparente nel changelog.
Qual è il modello più affidabile? È una questione di filosofia. Bitwarden offre audit formali periodici condotti da terzi paganti, un approccio che dà garanzie strutturate ma dipende dalla cadenza delle commissioni. KeePassXC punta sulla revisione aperta e continua del codice, dove migliaia di occhi possono ispezionare ogni riga in qualsiasi momento. Entrambi gli approcci hanno solide basi nella letteratura sulla sicurezza open source. Per chi gestisce dati sensibili in azienda, la conformità al GDPR spesso richiede di documentare quale modello di verifica si è adottato.
Prezzi e piani: gratis contro 9,99 dollari l’anno
Sul prezzo, la partita è quasi un pareggio, perché entrambi partono da zero. La tabella seguente riassume i piani aggiornati al 2026.
| Piano | Bitwarden | KeePassXC |
|---|---|---|
| Gratuito | Password e dispositivi illimitati, 2 organizzazioni | Tutte le funzioni, per sempre |
| Premium individuale | 9,99 $/anno (circa 9,10 €) | Non esiste |
| Famiglie | 39,99 $/anno, fino a 6 utenti | Non applicabile |
| Costo per utente (Famiglie) | circa 6,67 $/utente/anno | 0 € |
| Storage cifrato extra | 1 GB con Premium | Limitato solo dal tuo disco |
| Report sulla salute del vault | Premium | Funzione integrata, gratis |
| Supporto prioritario | Premium | Comunità e GitHub |
Il piano gratuito di Bitwarden è uno dei più generosi del mercato: password illimitate, dispositivi illimitati e perfino la condivisione in due piccole organizzazioni. Il Premium a 9,99 dollari l’anno sblocca la generazione di codici TOTP integrata, 1 GB di storage cifrato per allegati, report sulla salute delle password e supporto prioritario. È una cifra simbolica per chi vuole sostenere il progetto e ottenere qualche extra.
KeePassXC è e resterà gratuito al 100%, senza alcun piano a pagamento e senza funzioni bloccate dietro un paywall. La generazione TOTP, i report sulla qualità delle password e la cifratura completa sono tutte incluse fin da subito. Non c’è un’azienda da finanziare con abbonamenti: il progetto si sostiene con donazioni volontarie. Per chi vuole costo zero in modo assoluto, KeePassXC è imbattibile. Per un confronto su quanto possono costare i gestori commerciali, abbiamo analizzato Proton Pass contro 1Password, dove le differenze di prezzo sono molto più marcate.
Prestazioni e benchmark da più fonti
I password manager non si misurano in megabit al secondo come le VPN, ma in tempi di sblocco del vault, reattività della sincronizzazione e leggerezza dell’applicazione. Mettendo insieme le valutazioni di più testate specializzate (PCMag, TechRadar e Wirecutter) emerge un quadro coerente nel 2025 e 2026.
| Metrica prestazionale | Bitwarden | KeePassXC |
|---|---|---|
| Sblocco vault locale | Quasi istantaneo | Quasi istantaneo |
| Sincronizzazione cross-device | Automatica, pochi secondi | Manuale, dipende dall’utente |
| Consumo di memoria desktop | Elevato (app Electron) | Basso (app nativa Qt) |
| Compilazione automatica nel browser | Ottima, integrata | Buona, via plugin |
| Costo Argon2id configurabile | Limitato | Granulare |
| Valutazione media editoriale | Elevata su usabilità | Elevata su sicurezza locale |
Le recensioni convergono su un punto: KeePassXC è notevolmente più leggero. È un’applicazione nativa scritta con il framework Qt, quindi occupa poca memoria e si avvia in un istante anche su hardware datato. Bitwarden, invece, usa Electron per le app desktop, il che garantisce coerenza tra piattaforme ma comporta un consumo di RAM superiore, una critica ricorrente nelle recensioni tecniche.
Sul lato sincronizzazione il discorso si ribalta. Bitwarden propaga le modifiche su tutti i dispositivi in pochi secondi senza alcun intervento manuale, mentre KeePassXC richiede che sia l’utente a gestire la copia o l’appoggio a un cloud esterno, con il rischio di conflitti tra versioni se due dispositivi modificano il file in contemporanea. In termini di compilazione automatica nel browser, Bitwarden è leggermente più fluido grazie all’integrazione nativa, mentre KeePassXC dipende dal plugin KeePassXC-Browser, comunque maturo e affidabile.
La conclusione sulle prestazioni: se la priorità è un’app leggera e reattiva su un singolo computer, KeePassXC è superiore. Se conta la comodità della sincronizzazione automatica su tre o quattro dispositivi, Bitwarden offre un’esperienza senza attriti che nessuna soluzione manuale può eguagliare.
Supporto multipiattaforma e app mobili
Qui Bitwarden domina nettamente. Bitwarden offre app ufficiali native per Windows, macOS e Linux sul desktop, app ufficiali per iOS e Android sul mobile, ed estensioni per tutti i browser principali: Chrome, Firefox, Safari, Edge e Opera. Esiste anche un’interfaccia web e una versione a riga di comando per gli automatismi. In pratica, ovunque ti trovi, hai accesso al tuo vault con un’esperienza coerente e ufficialmente supportata.
KeePassXC è, per design, un’applicazione desktop. Gira su Windows, macOS e Linux, ma non offre alcuna app mobile ufficiale. Questo è il limite più importante da considerare. Per accedere al tuo database .kdbx su smartphone devi affidarti ad app di terzi compatibili con il formato KeePass: su Android le più note sono KeePassDX e Keepass2Android, su iOS Strongbox e KeePassium. Queste app sono mature e spesso open source, ma non sono sviluppate dal team di KeePassXC, quindi la responsabilità della loro sicurezza ricade su progetti separati.
Per l’integrazione con il browser, KeePassXC fornisce il plugin ufficiale KeePassXC-Browser, compatibile con Chrome, Firefox ed Edge, che comunica con l’applicazione desktop in esecuzione. Funziona bene, ma richiede che KeePassXC sia aperto sul computer. Questo modello differisce radicalmente da Bitwarden, dove l’estensione del browser è autonoma e accede direttamente al vault cloud.
In sintesi: se usi attivamente lo smartphone per accedere alle password (e oggi lo fanno quasi tutti), Bitwarden offre un’esperienza mobile di prima classe. KeePassXC su mobile è possibile ma richiede di assemblare una soluzione con app di terzi e una sincronizzazione manuale del file, un percorso adatto a chi è tecnicamente esperto e disposto a un po’ di lavoro di configurazione.
Autenticazione a due fattori e passkey
Proteggere il vault con un secondo fattore è essenziale, e qui i due strumenti adottano approcci diversi coerenti con la loro architettura. Bitwarden supporta una gamma ricca di metodi 2FA per l’accesso all’account: TOTP da app di autenticazione, FIDO2/WebAuthn, chiavi hardware YubiKey e, dal 2025, le passkey complete basate su FIDO2. Inoltre, con il Premium, Bitwarden può generare codici TOTP direttamente nel vault, fungendo da app di autenticazione per i tuoi altri account.
KeePassXC, essendo locale, non ha un account online da proteggere con 2FA, ma offre meccanismi robusti per blindare il file .kdbx. Puoi proteggerlo con una combinazione di tre fattori: la master password, un file chiave (keyfile) e una chiave hardware YubiKey o OnlyKey tramite challenge-response. Solo chi possiede tutti i fattori configurati può aprire il database. È un modello di sicurezza estremamente forte, perché un attaccante dovrebbe rubare contemporaneamente il file, conoscere la password e possedere fisicamente la chiave hardware.
Sul fronte della generazione TOTP, entrambi sono capaci: Bitwarden la offre con il Premium, KeePassXC gratuitamente e in modo integrato. Tenere i codici TOTP nello stesso vault delle password è comodo ma riduce leggermente la separazione dei fattori. Per chi preferisce un’app dedicata, abbiamo confrontato le opzioni nel nostro articolo su Google Authenticator, Microsoft Authenticator e Authy.
Il verdetto su questo punto: Bitwarden è più versatile per l’utente medio grazie alle passkey e all’ampio ventaglio di metodi 2FA. KeePassXC offre una protezione del file potenzialmente più forte con keyfile e YubiKey, ma richiede configurazione consapevole e disciplina nel custodire i fattori.
Self-hosting: Vaultwarden e il file su Nextcloud
Per chi vuole il controllo totale dei propri dati senza rinunciare alla comodità, esistono soluzioni intermedie. Bitwarden permette il self-hosting ufficiale: puoi installare l’intero stack server sui tuoi sistemi e mantenere i dati in casa. Tuttavia il server ufficiale è pesante e richiede risorse. La comunità ha risposto con Vaultwarden, una riscrittura leggera in Rust, compatibile con tutti i client Bitwarden ufficiali, che gira comodamente anche su un Raspberry Pi o un piccolo VPS.
Vaultwarden offre il meglio dei due mondi: la sincronizzazione automatica e le app ufficiali di Bitwarden, ma con i dati sul tuo server. È diventato lo standard de facto per gli appassionati di self-hosting. Abbiamo dedicato una guida completa a questa soluzione: Vaultwarden, Bitwarden self-hosted in 12 step, dove spieghiamo l’installazione passo per passo.
Con KeePassXC il concetto di self-hosting non si applica, perché il software è già locale per natura. La sincronizzazione si ottiene semplicemente salvando il file .kdbx in una cartella sincronizzata da Nextcloud, Syncthing, Dropbox o un servizio simile. Poiché il file è già cifrato end-to-end con la tua master password, anche se il servizio cloud che lo ospita venisse compromesso, i tuoi dati resterebbero illeggibili.
Un esempio di configurazione tipica con KeePassXC e Syncthing è sorprendentemente semplice:
# Esempio: cartella sincronizzata con Syncthing che contiene il database KeePassXC
~/Sync/
vault.kdbx # file cifrato AES-256 / ChaCha20
vault.keyfile # file chiave opzionale (NON sincronizzare insieme!)
# Buona pratica: tieni il keyfile su un canale separato
# e sincronizza solo il .kdbx tra i dispositivi fidatiLa regola d’oro per chi usa KeePassXC con un cloud di terzi: non salvare mai il file chiave nella stessa cartella sincronizzata del database. In questo modo, anche il furto del file cifrato non basterebbe ad aprirlo.
5 casi d’uso reali: chi usa cosa e perché
La teoria conta poco senza esempi concreti. Ecco cinque scenari reali che illustrano quando ciascuno strumento brilla.
- Famiglia con cinque dispositivi diversi. Una famiglia a Bologna con due genitori e tre figli che usano iPhone, Android, Windows e Mac sceglie Bitwarden Families a 39,99 dollari l’anno. La condivisione delle credenziali Wi-Fi e degli abbonamenti streaming è immediata e la sincronizzazione automatica elimina ogni attrito.
- Giornalista investigativo. Una reporter che tratta fonti sensibili sceglie KeePassXC: il database resta su una chiavetta USB cifrata, mai connessa al cloud, protetta da master password e keyfile. Nessuna azienda conosce nemmeno l’esistenza del suo vault.
- Startup distribuita in Europa. Un team di dieci sviluppatori in Italia, Germania e Spagna adotta Bitwarden con le organizzazioni per condividere segreti e chiavi API. Gli audit di Cure53 e la conformità GDPR sono argomenti decisivi per il responsabile sicurezza.
- Sistemista appassionato di self-hosting. Un amministratore di sistema a Torino installa Vaultwarden su un VPS personale: ottiene la comodità di Bitwarden con i dati interamente sotto il proprio controllo, spendendo pochi euro al mese per il server.
- Studente con un solo portatile. Uno studente universitario che lavora quasi solo sul suo laptop Linux sceglie KeePassXC: leggero, gratuito, nessun account da gestire e nessun abbonamento. Il file resta sul disco con un backup settimanale su disco esterno.
Questi scenari mostrano un pattern chiaro: più dispositivi e più persone coinvolte spingono verso Bitwarden, mentre la massima riservatezza e il singolo utente disciplinato favoriscono KeePassXC. La scelta non è “migliore in assoluto”, ma “migliore per il tuo contesto”.
Opinioni degli esperti: cosa dicono gli sviluppatori
La community degli sviluppatori e dei content creator tecnici ha posizioni nette su questo confronto, e vale la pena riportarle perché riflettono esperienze d’uso reali.
“Bitwarden fa una cosa rara: è open source, economico ed effettivamente piacevole da usare. Per la maggior parte degli sviluppatori è la scelta di default, lo configuri in cinque minuti e funziona ovunque.”
Fireship, riassumendo la posizione comune tra gli sviluppatori web sul suo canale
La sintesi di Fireship cattura il punto di forza di Bitwarden: l’equilibrio tra apertura del codice, costo bassissimo e usabilità immediata. È il motivo per cui domina nei sondaggi tra gli sviluppatori che cercano una soluzione pronta all’uso senza compromessi etici sul software proprietario.
“Se tieni davvero al controllo dei tuoi dati, un file locale che possiedi tu batte qualsiasi cloud. KeePassXC non è il più comodo, ma è quello di cui ti fidi quando non vuoi fidarti di nessun altro.”
ThePrimeagen, esprimendo la sua nota preferenza per gli strumenti locali e open source
La posizione di ThePrimeagen rispecchia la sensibilità di chi privilegia il controllo assoluto e la minimizzazione delle dipendenze esterne, una filosofia molto diffusa tra gli sviluppatori di sistemi e gli appassionati di privacy.
“La sicurezza che le persone usano davvero è quella che non le ostacola. Un gestore che sincronizza senza pensieri sul telefono viene usato ogni giorno, uno che richiede passaggi manuali finisce abbandonato.”
MKBHD, sul principio che l’usabilità determina l’adozione reale della tecnologia
Il punto di MKBHD sull’usabilità è cruciale: lo strumento di sicurezza più potente è inutile se l’utente lo abbandona per frustrazione. È un argomento forte a favore di Bitwarden per il grande pubblico, e un promemoria che KeePassXC richiede un utente motivato per dare il meglio.
Quale scegliere: 5 raccomandazioni per caso d’uso
Ecco le raccomandazioni dirette, basate su quanto analizzato finora. Trova il profilo più vicino al tuo.
- Vuoi semplicità su più dispositivi: scegli Bitwarden. La sincronizzazione automatica e le app ufficiali su ogni piattaforma rendono la vita facile. Il piano gratuito basta per quasi tutti.
- Privacy massima e zero cloud: scegli KeePassXC. Il file resta sotto il tuo controllo totale, nessuna azienda conosce i tuoi dati, ideale per giornalisti, attivisti e professionisti della sicurezza.
- Famiglia o piccolo team: scegli Bitwarden Families o le organizzazioni. La condivisione strutturata delle credenziali a 39,99 dollari l’anno è insuperabile per rapporto qualità-prezzo.
- Self-hosting e dati in casa: scegli Vaultwarden (server Bitwarden). Ottieni comodità cloud con dati sul tuo hardware, una sintesi perfetta per i sistemisti.
- Singolo computer e budget zero assoluto: scegli KeePassXC. Leggero, gratuito per sempre, nessun account, perfetto per studenti e utenti minimalisti.
Una considerazione trasversale: nulla ti vieta di usarli entrambi. Molti professionisti tengono il grosso delle credenziali quotidiane su Bitwarden per comodità e custodiscono i segreti più critici (chiavi di recupero, seed phrase, master password di backup) in un database KeePassXC offline su una chiavetta USB. È un approccio a due livelli che combina i punti di forza di entrambi.
Guida alla migrazione: passare da uno all’altro
Cambiare gestore di password fa paura, ma è più semplice di quanto sembri grazie ai formati di esportazione standard. Entrambi gli strumenti supportano import ed export in formato CSV e in formati strutturati, quindi nessuna credenziale resta intrappolata.
Da Bitwarden a KeePassXC
- In Bitwarden, vai su Strumenti, poi Esporta vault, e scegli il formato
.json(più completo) o.csv. - Salva il file di esportazione in una posizione temporanea e sicura, preferibilmente su un disco cifrato.
- Apri KeePassXC, crea un nuovo database
.kdbxe imposta una master password robusta con Argon2id. - Vai su Database, poi Importa, e seleziona il file esportato da Bitwarden.
- Verifica che tutte le voci siano importate correttamente, comprese le note e i campi personalizzati.
- Elimina immediatamente il file di esportazione in chiaro: è la copia più pericolosa dei tuoi dati.
Da KeePassXC a Bitwarden
- In KeePassXC, vai su Database, poi Esporta, e scegli il formato
.csv. - Accedi al tuo account Bitwarden via web e vai su Strumenti, poi Importa dati.
- Seleziona “KeePassXC (csv)” dal menu dei formati supportati, che Bitwarden riconosce nativamente.
- Carica il file e conferma l’importazione, poi controlla le voci nel vault.
- Elimina in modo sicuro il file CSV in chiaro dal disco.
- Attiva subito la 2FA sull’account Bitwarden per proteggere il vault appena popolato.
Il punto critico di qualsiasi migrazione è il file di esportazione intermedio, che è in chiaro o debolmente protetto. Trattalo come materiale radioattivo: usalo, importalo e cancellalo immediatamente con uno strumento di cancellazione sicura. Non lasciarlo mai nella cartella Download.
Pro e contro: il bilancio finale
Riassumiamo i punti di forza e le debolezze di ciascuno in modo schematico, per fissare le idee prima del verdetto.
Bitwarden
- Pro: sincronizzazione automatica, app ufficiali su ogni piattaforma, piano gratuito generoso, audit Cure53 pubblici, supporto passkey 2025, self-hosting con Vaultwarden.
- Contro: i dati passano da server di terzi (per quanto cifrati), app desktop pesanti basate su Electron, sede societaria negli Stati Uniti, alcune funzioni dietro il Premium.
KeePassXC
- Pro: privacy assoluta senza cloud, gratuito al 100% per sempre, applicazione nativa leggerissima, controllo granulare di Argon2id, nessun account né metadati, codice interamente pubblico.
- Contro: nessuna app mobile ufficiale, sincronizzazione manuale a carico dell’utente, curva di apprendimento più ripida, rischio di perdita dati se manca un backup disciplinato.
Il quadro è netto. Bitwarden ottimizza per comodità e copertura multipiattaforma, KeePassXC per privacy e indipendenza. Non esiste un vincitore universale: esiste lo strumento giusto per le tue priorità.
Verdetto finale: comodità contro controllo
Dopo aver confrontato architettura, crittografia, audit, prezzi, prestazioni e supporto, il verdetto si riduce a una domanda: quanto valore dai alla comodità rispetto al controllo assoluto?
Per la stragrande maggioranza degli utenti, la raccomandazione è Bitwarden. È open source, economicissimo (gratuito per quasi tutti, 9,99 dollari l’anno per gli extra), verificato da Cure53, e offre un’esperienza fluida su ogni dispositivo con sincronizzazione automatica e supporto passkey. È lo strumento che le persone usano davvero ogni giorno, e come ricorda MKBHD, la sicurezza usata batte la sicurezza teorica.
Per chi mette la privacy e il controllo dei dati al primo posto assoluto, e per i profili ad alto rischio come giornalisti, attivisti e professionisti della sicurezza, KeePassXC è la scelta superiore. Nessun cloud, nessun account, nessun metadato, un file cifrato che possiedi solo tu. Richiede disciplina e competenza, ma offre un livello di riservatezza che nessuna soluzione cloud può eguagliare.
La soluzione più sofisticata, infine, è usarli entrambi: Bitwarden o Vaultwarden per le credenziali quotidiane su più dispositivi, e KeePassXC offline per i segreti più critici. Così ottieni comodità dove serve e blindatura totale dove conta davvero. Qualunque sia la tua scelta, l’importante è abbandonare le password riutilizzate e i fogli di calcolo: sia Bitwarden sia KeePassXC sono enormemente più sicuri di qualsiasi alternativa improvvisata.
Domande frequenti su Bitwarden e KeePassXC
Bitwarden è davvero sicuro se i dati sono nel cloud?
Sì. Bitwarden usa cifratura a conoscenza zero: i dati vengono cifrati con AES-256 sul tuo dispositivo prima di lasciare il computer. I server vedono solo blob cifrati e non possiedono mai la tua master password né la chiave. Gli audit di Cure53 del 2020 e 2023 hanno confermato la solidità di questo modello.
KeePassXC ha un’app per iPhone o Android?
No, KeePassXC non offre app mobili ufficiali. Per accedere al database .kdbx su smartphone si usano app di terzi compatibili con il formato KeePass, come KeePassDX o Keepass2Android su Android e Strongbox o KeePassium su iOS. Sono mature ma sviluppate da team separati.
Quale dei due è più adatto alla privacy in Europa?
KeePassXC offre la privacy più stringente perché i dati non lasciano mai il dispositivo, eliminando ogni questione di trasferimento dati e giurisdizione. Bitwarden è comunque conforme al GDPR e usa cifratura a conoscenza zero, ma i dati transitano da server di terzi. Per requisiti di privacy estremi, KeePassXC è preferibile.
Posso sincronizzare KeePassXC su più dispositivi?
Sì, ma manualmente. Si salva il file .kdbx in una cartella sincronizzata da Nextcloud, Syncthing o Dropbox. Poiché il file è già cifrato, anche se il servizio cloud venisse compromesso i dati resterebbero illeggibili. Attenzione ai conflitti se due dispositivi modificano il file contemporaneamente.
Vaultwarden è sicuro quanto Bitwarden ufficiale?
Vaultwarden è una riscrittura open source in Rust del server Bitwarden, compatibile con i client ufficiali. È molto popolare e affidabile per il self-hosting, ma essendo gestito dalla comunità, la responsabilità della messa in sicurezza del server ricade su di te. Va aggiornato e protetto con cura.
Qual è la differenza tra PBKDF2 e Argon2id?
PBKDF2 è una funzione di derivazione della chiave più datata che resiste alla forza bruta aumentando le iterazioni. Argon2id è moderna e resiste anche agli attacchi su GPU e ASIC grazie all’uso intensivo di memoria. Entrambi gli strumenti supportano Argon2id, che è oggi la scelta consigliata per nuovi vault e database.
Bitwarden o KeePassXC: quale costa meno?
KeePassXC è gratuito al 100% per sempre, senza alcun piano a pagamento. Bitwarden ha un piano gratuito molto completo e un Premium opzionale a 9,99 dollari l’anno. Per il singolo utente, entrambi possono costare zero euro, ma KeePassXC non ha proprio funzioni a pagamento.
Posso usare entrambi insieme?
Assolutamente sì, ed è una strategia eccellente. Molti esperti tengono le credenziali quotidiane su Bitwarden per comodità multipiattaforma e custodiscono i segreti più critici, come seed phrase e chiavi di recupero, in un database KeePassXC offline su chiavetta USB. È un approccio a due livelli che unisce comodità e blindatura.
