Bitwarden self-hosted (già trattato in un altro tutorial di questa sezione) resta comunque un server da mantenere, aggiornare, esporre con un certificato valido. Per chi vuole evitare del tutto questo livello di manutenzione, KeePassXC è l'alternativa storica e collaudata: un unico file di database cifrato (.kdbx), nessun server, nessun account cloud — la sincronizzazione tra dispositivi, se la vuoi, la gestisci tu con lo strumento che preferisci.
Perché ancora rilevante nel 2026
KeePass (e il suo fork multipiattaforma KeePassXC) esiste dal 2003 ed è stato controllato, decompilato e messo alla prova dalla comunità di sicurezza per oltre vent'anni senza vulnerabilità critiche nel formato del database in sé — un track record che pochi prodotti più recenti possono vantare. Il formato .kdbx usa AES-256 o ChaCha20 con una funzione di derivazione della chiave (Argon2) pensata specificamente per resistere ad attacchi a forza bruta anche con hardware dedicato.
Installazione e primo database
# Ubuntu/Debian
sudo apt install keepassxc
# Windows/macOS: installer da keepassxc.org
Al primo avvio, "Nuovo database" chiede una password principale (l'unica che dovrai davvero ricordare) e opzionalmente un file-chiave aggiuntivo — un file qualsiasi che agisce come secondo fattore: senza quel file specifico, la sola password principale non basta ad aprire il database, anche se corretta.
Sincronizzare il database tra più dispositivi
Essendo un singolo file, la sincronizzazione è responsabilità tua: le opzioni più comuni sono
- Un servizio di cloud storage generico (Nextcloud self-hosted, Syncthing, o anche Dropbox/Google Drive) che sincronizza semplicemente il file
.kdbx— il file è cifrato, quindi anche se il provider cloud venisse compromesso, il contenuto resta protetto dalla password principale. - Syncthing in particolare è la scelta preferita di chi vuole zero cloud di terzi: sincronizza il file direttamente tra i tuoi dispositivi via rete locale o attraverso relay cifrati, senza mai appoggiarsi a un server esterno che conserva una copia permanente.
L'unico rischio reale di questo approccio "file singolo sincronizzato" è la modifica concorrente: se apri e modifichi il database contemporaneamente da due dispositivi mentre la sincronizzazione è in corso, si genera un conflitto che KeePassXC segnala ma che va risolto manualmente scegliendo quale versione tenere — un'attenzione in più rispetto a un servizio cloud nativo multi-dispositivo come Bitwarden.
Browser integration: compilazione automatica dei form
KeePassXC-Browser (estensione per Chrome/Firefox/Edge) si collega all'applicazione desktop KeePassXC tramite un canale locale cifrato, permettendo la compilazione automatica delle credenziali nei siti web esattamente come farebbe un password manager cloud — la differenza è che l'estensione parla solo con l'app desktop in esecuzione sullo stesso computer, non con un server remoto.
Accesso da smartphone
Client compatibili con il formato .kdbx esistono per Android (KeePassDX, Keepass2Android) e iOS (KeePassium, Strongbox): aprono lo stesso file sincronizzato, con la stessa password principale — utile sapere che non sei vincolato a un client ufficiale unico come con molti servizi proprietari, il formato è aperto e supportato da più app indipendenti.
Il compromesso onesto rispetto a un servizio cloud
Nessuna sincronizzazione automatica "invisibile" nativa multi-dispositivo come Bitwarden/1Password, e la responsabilità del backup del file è interamente tua: se perdi l'unico file .kdbx senza copie, perdi tutte le password. In cambio ottieni zero dipendenza da un server esterno (proprio o di terzi) e un formato aperto verificato pubblicamente da vent'anni — un compromesso che ha senso per chi preferisce il controllo diretto alla comodità del "funziona e basta".