Quasi tutte le piccole agenzie con cui ho lavorato hanno lo stesso problema: le password vivono in un foglio di calcolo, in una pagina di Notion, nelle note di qualcuno, o in un Google Doc condiviso. Il giorno in cui un junior se ne va, nessuno si ricorda a quali credenziali aveva accesso. Il giorno in cui l'account di un cliente viene compromesso, nessuno sa quando è stata l'ultima rotazione. Il giorno in cui il laptop con il foglio si rompe, panico.

Un password manager risolve tutti e tre i problemi a 3 euro per utente al mese. Le differenze fra le opzioni principali sono più piccole di quanto il marketing voglia far sembrare. Scegline una, mettila in produzione, torna al lavoro vero.

Cosa deve fare davvero un password manager per un team

Le funzionalità che contano, in ordine di importanza:

  1. Ogni membro ha una vault personale: password che vede solo lui.
  2. Vault o collezioni condivise: password visibili a un gruppo definito (il team design, il team dev, tutti gli admin).
  3. Controllo degli accessi per credenziale: il login del CMS di questo cliente è condiviso con due persone specifiche, non con tutto il team.
  4. Audit log: chi ha aperto quale credenziale e quando, chi ha condiviso cosa con chi.
  5. Workflow di off-boarding: rimuovere chi se ne va con un click, senza perdere le credenziali a cui aveva accesso.
  6. Autofill nel browser che non si fa ingannare dalle pagine di phishing.
  7. Storage del 2FA per gli account team-shared che hanno il 2FA su una chiave TOTP.

Queste sono le basi. Tutto il resto (storage di passkey, gestione dei segreti per CI, dark-web monitoring, family plan) è bonus.

Le quattro opzioni vere

Bitwarden Teams / Enterprise

Server open source, versione hosted a 4 USD per utente al mese per Teams, 6 USD per Enterprise. Self-hostabile gratis se vuoi gestirla tu (Vaultwarden, la reimplementazione non ufficiale in Rust, è la scelta popolare). Forte sulle basi, debole sulla rifinitura. Le app mobile e desktop sono funzionali ma meno eleganti di 1Password.

Il buono: open source, audit pubblici, prezzo onesto, self-hosting possibile, supporta passkey e TOTP.

Il meno buono: la UI sembra di livello ingegneristico. Alcuni flussi richiedono più click del necessario. Il pannello admin del team è funzionale, non amichevole.

Consigliato per: team tecnici che valorizzano la trasparenza più della rifinitura. Chi vuole self-hostare.

1Password Teams / Business

Commerciale, codice chiuso. 8 USD per utente al mese per Business. La migliore UI della categoria. Native app forti, browser extension veloci, app mobile fluide, flussi di condivisione ben disegnati.

Il buono: la migliore esperienza utente con margine evidente. L'adozione è più rapida, il training più breve. La feature Watchtower segnala password riusate, password deboli, credenziali in breach. CLI per developer, integrazione con Terraform, GitHub Actions, AWS.

Il meno buono: codice chiuso, ti fidi dell'azienda 1Password. Prezzo più alto di Bitwarden.

Consigliato per: team in cui l'uso quotidiano fluido conta più dell'open source. Agenzie con membri non tecnici che resisterebbero a uno strumento spigoloso.

Dashlane

Commerciale. Circa 6 USD per utente al mese per Business. Meno popolare nei team tecnici dei due sopra, più popolare nelle organizzazioni con peso HR. UX decente, feature per developer più deboli, ecosistema minore.

Consigliato per: casi di nicchia in cui 1Password e Bitwarden non vanno bene, spesso per un requisito specifico di compliance.

Keeper

Commerciale, focus enterprise. Set di feature di compliance pesante, integrazioni con provider SSO, enforcement di MFA con chiavi hardware. Più caro dei precedenti. La scelta per organizzazioni con policy di sicurezza rigide (banche, sanità, fornitori della PA).

Consigliato per: ambienti regolati. Esagerato per una piccola agenzia.

Quello che metterei in piedi il primo giorno

Per una piccola agenzia o un team di 5 persone che parte da un Google Doc:

Scegli: Bitwarden Teams se almeno una persona del team è a suo agio con Linux/CLI; 1Password Business altrimenti. Funzioneranno entrambi; la domanda è quale si adatta meglio al comfort quotidiano del team.

Imposta la struttura:

  • Una collezione condivisa per cliente. Dentro: hosting, registrar, admin del CMS, FTP, mailbox se separata.
  • Una collezione condivisa "Interno" per gli strumenti del team (org GitHub, Cloudflare, gestionale, abbonamenti di design).
  • Vault personali per tutto quello che è dell'individuo.

Politica di accesso: di default tutti nel team possono leggere la collezione "Interno". Ogni collezione cliente è condivisa solo con le persone su quel progetto. L'admin (tu) vede tutto.

Onboarding: ogni nuovo membro ottiene la propria vault personale e accesso a "Interno". L'accesso ai clienti viene aggiunto per progetto.

Off-boarding: quando qualcuno se ne va, ruota ogni credenziale a cui aveva accesso. Il password manager rende la lista immediata. Poi lo rimuovi.

Le funzionalità che la gente salta e poi rimpiange

Qualche dettaglio che sembra opzionale ma ripaga in fretta:

Recovery: ogni password manager ha un flusso di recupero account. Leggilo prima di averne bisogno. Bitwarden ha la "Emergency Access", dove un altro membro può richiedere il recupero e accedere alla tua vault dopo un ritardo che imposti tu. 1Password ti dà una Secret Key all'iscrizione che devi conservare separatamente. Se salti questo passaggio e perdi l'accesso, la vault è irrecuperabile. Gli strumenti non possono aiutarti perché la cifratura è lato client.

Storage del TOTP: quasi tutti i password manager possono memorizzare il segreto TOTP accanto alla password e fare autofill del codice al login. Comodo. Il compromesso è che chi ha accesso alla master password ha entrambi i fattori. Per gli account ad alto valore, conserva il TOTP separato (Aegis, 2FAS, chiave hardware).

Lock dell'estensione del browser: l'estensione si blocca dopo un certo tempo di inattività. Il default è spesso troppo lungo. Mettilo a 15 minuti per le postazioni condivise, 1 ora per i dispositivi personali.

Report di audit: lancia il report di salute delle password ogni mese. Mette in luce le credenziali riusate fra servizi, quelle che sono comparse in breach noti, quelle deboli. Sistemale.

Quanto costa rispetto a quanto costa un breach

Un team di 5 persone su 1Password Business sono 40 USD al mese, 480 USD all'anno. Bitwarden Teams sono 240 USD all'anno. In entrambi i casi sei a tre cifre all'anno per tutta l'azienda.

Una singola compromissione di un account cliente costa di solito:

  • Diverse ore di investigazione e recupero.
  • Reset di ogni credenziale che l'agenzia aveva di quel cliente.
  • Una conversazione difficile con il cliente.
  • Danno reputazionale che può sopravvivere o no a seconda del rapporto.

Il password manager si ripaga la prima volta che eviti questo scenario. Quasi tutte le agenzie hanno già vissuto lo scenario almeno una volta. Non aspettare la seconda.

Una migrazione pratica

Se oggi stai migrando da un foglio di calcolo:

  1. Iscrivetevi allo strumento scelto. 30 minuti.
  2. Importa il foglio nella tua vault personale. Quasi tutti gli strumenti accettano CSV. 30 minuti.
  3. Sposta le credenziali dei clienti in collezioni condivise per cliente. 1 ora per una piccola agenzia tipica.
  4. Invita il team. 15 minuti.
  5. Pianifica una sessione di formazione di 30 minuti: vault, estensione browser, flusso di condivisione, recupero. Fatto.
  6. Cancella il foglio di calcolo. Davvero. Svuota cestino, pulisci la cronologia di versione del cloud, rimuovilo da qualunque backup.

Totale: mezza giornata, una volta. Poi anni senza preoccuparsi di dove vive la password del registrar.