Bitwarden e LastPass sono due dei password manager più noti – ma nel 2026 il confronto è sbilanciato. Uno è open source, verificato in modo indipendente e gratuito per dispositivi illimitati; l'altro è proprietario, ha limitato il suo piano gratuito e ha rivelato gravi violazioni nel 2022. Questa guida li confronta onestamente su prezzo, sicurezza e usabilità – e spiega dove LastPass può ancora avere senso.
Il verdetto in una riga
Bitwarden è la raccomandazione predefinita per la maggior parte delle persone nel 2026: open source, verificato, un piano gratuito che funziona davvero a vita e Premium a circa 10 $/anno. LastPass resta curato, ma le violazioni del 2022 e il piano gratuito limitato lo rendono difficile da raccomandare rispetto a Bitwarden.
| Criterio | Bitwarden | LastPass |
|---|---|---|
| Modello del codice | Open source (client + server), auto-ospitabile | Proprietario |
| Audit indipendenti | Sì, pubblicati | Pochi dettagli pubblici |
| Piano gratuito | Password illimitate, dispositivi illimitati, sync | Un solo tipo di dispositivo (dal 2021) |
| Prezzo Premium | ≈ 10 $/anno | Sensibilmente più alto |
| Grave violazione dell'infrastruttura | Nessuna documentata | Esfiltrazione dei backup delle cassaforti 2022 |
| Cifratura | Zero-knowledge, lato client (PBKDF2 / Argon2id opzionale) | Zero-knowledge, lato client (PBKDF2) |
| Ideale per | La maggior parte delle persone – prezzo, trasparenza, self-host | Utenti esistenti che apprezzano l'esperienza d'uso |
Prezzo
- Bitwarden: il piano gratuito copre password illimitate su dispositivi illimitati con sincronizzazione. Premium ≈ 10 $/anno. Il piano Famiglia è economico.
- LastPass: il piano gratuito è limitato a un solo tipo di dispositivo (mobile oppure computer, non entrambi) dal 2021. Premium è sensibilmente più costoso di quello di Bitwarden.
Sul rapporto prezzo-valore, Bitwarden vince nettamente – il solo piano gratuito copre ciò di cui molti utenti hanno bisogno.
Sicurezza e trasparenza
- Bitwarden: open source (client e server), verificato in modo indipendente e auto-ospitabile se vuoi il controllo totale. Nessuna grave violazione della sua infrastruttura.
- LastPass: proprietario e ha rivelato pubblicamente delle violazioni nel 2022 in cui dati cifrati delle cassaforti sono stati esfiltrati da un backup cloud di terze parti. Le cassaforti sono rimaste cifrate con le password principali degli utenti, ma l'incidente ha danneggiato la fiducia e spinto molti utenti verso alternative.
Entrambi cifrano la tua cassaforte lato client (zero-knowledge), quindi il fornitore non può leggere le tue password. La differenza è la verificabilità e lo storico – e lì Bitwarden è in posizione più solida.
Cosa è successo davvero nella violazione di LastPass
È importante perché è il motivo principale per cui le persone cambiano, quindi ecco i fatti documentati pubblicamente. Nell'agosto 2022, gli aggressori hanno rubato codice sorgente e informazioni tecniche di LastPass dal suo ambiente di sviluppo. Usando dati di quella prima intrusione, un incidente successivo (rivelato a novembre–dicembre 2022) ha compromesso un servizio di archiviazione cloud di terze parti ed esfiltrato i backup delle cassaforti dei clienti. Quei backup contenevano alcuni dati in chiaro – in particolare gli URL dei siti – accanto ai campi cifrati di nome utente e password. Le cassaforti stesse sono rimaste cifrate con la password principale di ogni utente (chiave derivata via PBKDF2), quindi non erano leggibili immediatamente. Il rischio pratico è il brute-forcing offline: un aggressore in possesso di una cassaforte rubata può tentare di indovinare la password principale con tutta calma, il che è pericoloso per chiunque avesse una password principale corta, riutilizzata o con poche iterazioni. Il consiglio standard dopo l'incidente – e resta valido nel 2026 – è che gli utenti colpiti dovrebbero trattare i segreti memorizzati come potenzialmente esposti: ruotare le password critiche, attivare la MFA ovunque e passare a un manager con uno storico più pulito. Nulla di tutto ciò significa che la cifratura di LastPass fosse stata «violata»; significa che era compromessa la fiducia operativa, che è esattamente ciò che un password manager vende.
Usabilità
LastPass ha un'interfaccia da tempo curata e un ampio supporto per browser e app. Le app di Bitwarden sono pulite e capaci, anche se leggermente più funzionali. Nell'uso quotidiano, entrambi compilano bene su browser e dispositivi mobili. L'esperienza d'uso è l'unico ambito in cui LastPass tiene testa – ma non abbastanza da superare prezzo e fiducia.
L'argomento onesto a favore di ciascuno
- Scegli Bitwarden se vuoi il miglior prezzo, la trasparenza open source, un piano gratuito illimitato o la possibilità di auto-ospitarlo. Questo vale per la maggior parte delle persone.
- Valuta di restare su LastPass solo se sei già investito, a tuo agio con la sua posizione di sicurezza post-violazione e apprezzi la sua esperienza d'uso – e allora usa una password principale lunga con una MFA robusta.
Se stai lasciando LastPass, consulta la nostra guida sulla migrazione da LastPass a Bitwarden e se LastPass è ancora sicuro.
Ottieni Bitwarden Premium →≈ 10 $/anno · open source · verificato · dispositivi illimitati anche nel piano gratuito→In conclusione
Nel 2026, Bitwarden batte LastPass sulle due cose che contano di più – prezzo e fiducia. È open source, verificato, gratuito per dispositivi illimitati ed economico da aggiornare. LastPass resta un manager capace con un'esperienza d'uso curata, ma le violazioni del 2022 e il piano gratuito limitato fanno di Bitwarden la scelta predefinita più sicura per quasi tutti.
Per approfondire
- La nostra recensione completa di Bitwarden 2026
- La nostra classifica dei migliori password manager 2026
- LastPass è sicuro?
Confronto editoriale basato sulle funzionalità documentate pubblicamente, sui livelli di prezzo e sugli incidenti di sicurezza LastPass del 2022 resi pubblici. I link commerciali riportano l'attributo rel="sponsored nofollow"; può applicarsi una commissione di affiliazione senza costi aggiuntivi per te.
