L'81% delle violazioni aziendali e causato da password deboli o riutilizzate — lo dice il Verizon DBIR 2025, non noi. Eppure nella maggior parte delle PMI italiane la gestione delle password e ancora affidata alla buona volonta dei dipendenti: post-it sul monitor, "Password123!" usata ovunque, credenziali condivise su WhatsApp. Noi di BullTech Informatica, MSP a Vimercate (MB) dal 2009, vediamo queste cose ogni settimana. Questa guida e quello che spieghiamo ai nostri clienti quando ci chiedono "ma come facciamo a gestire le password in azienda?".
Perche la Gestione Password e Critica per le PMI
Partiamo dai numeri, che non mentono. Un dipendente medio gestisce tra 70 e 100 account lavorativi. Senza un sistema strutturato, succede esattamente quello che pensate: la stessa password viene riciclata su 10 servizi diversi. E quando uno di quei servizi subisce un data breach (e prima o poi succede), l'attaccante ha le chiavi di tutto.
Non e teoria. Abbiamo visto un'azienda manifatturiera di Monza con 35 dipendenti perdere l'accesso al gestionale, alla posta e al CRM in un colpo solo. L'attaccante aveva trovato le credenziali del responsabile commerciale su un database rubato — la stessa password usata per il gestionale, per Microsoft 365 e per il portale fornitori. Zero MFA, zero password manager. Danno: 4 giorni di fermo e 15.000 EUR tra intervento d'emergenza e mancata produttivita.
Il dato che fa riflettere
Il 59% dei dipendenti riutilizza la stessa password su account personali e lavorativi (LastPass Workforce Report 2025). Se la password di Netflix finisce in un data breach, l'attaccante la prova su Microsoft 365 della vostra azienda. E nel 30% dei casi funziona. Se non avete la MFA, siete gia dentro.
La gestione password non e un "nice to have". Con la NIS2 in vigore, le aziende soggette devono dimostrare di avere policy di gestione credenziali documentate e implementate. Il Garante Privacy puo sanzionarvi se dimostrate di non aver adottato misure tecniche adeguate. E un password manager aziendale e considerato una misura tecnica adeguata.
I Migliori Password Manager Aziendali a Confronto
Non tutti i password manager sono uguali. Ecco i quattro che implementiamo piu spesso per i nostri clienti, con pro, contro e prezzi reali:
| Password Manager | Prezzo/utente/mese | Pro | Contro |
|---|---|---|---|
| 1Password Business | 7,99 USD | Interfaccia intuitiva, Watchtower per dark web monitoring, ottime app mobile | Solo cloud, niente hosting on-premise |
| Bitwarden Teams | 4 USD | Open source, self-hosted possibile, costo basso, audit di sicurezza pubblici | Interfaccia meno rifinita, curva di apprendimento piu ripida |
| Keeper Business | 3,75 USD | Compliance-oriented (SOC 2, HIPAA), buon reporting per audit | Prezzo lievita con gli add-on (dark web, BreachWatch) |
| Dashlane Business | 8 USD | VPN integrata, cambio password automatico su molti siti, UX eccellente | Il piu costoso, alcune funzioni enterprise solo nel piano piu alto |
Il nostro consiglio? Per la maggior parte delle PMI italiane con 10-50 dipendenti, Bitwarden Teams e il miglior rapporto qualita-prezzo. Se avete utenti poco tecnici e volete un'adozione piu rapida, 1Password Business vale il sovrapprezzo. Per uno studio con 30 utenti: Bitwarden costa 120 USD/mese (~110 EUR), 1Password costa 240 USD/mese (~220 EUR). In entrambi i casi, meno del costo di un singolo incidente causato da password deboli.
Come Creare una Policy Password Efficace
Una policy password non e un documento di 30 pagine che nessuno legge. E un set di regole chiare, applicabili e — soprattutto — applicate tecnicamente. Ecco cosa mettiamo nelle policy dei nostri clienti:
Lunghezza minima: 14 caratteri
Non 8, non 12: almeno 14. Il NIST lo raccomanda dal 2024. Una password di 14 caratteri casuali richiede migliaia di anni per essere forzata con brute force. Una di 8 caratteri si cracka in poche ore con hardware moderno.
Niente cambio forzato ogni 90 giorni
Sembra controintuitivo, ma il NIST ha eliminato questa pratica. Il cambio forzato spinge i dipendenti a usare pattern prevedibili: 'Password2026Q1!', 'Password2026Q2!'. Meglio una password forte cambiata solo in caso di compromissione. Se usate un password manager, il problema non si pone: genera password uniche di 20+ caratteri per ogni servizio.
Password unica per ogni servizio
Questa e la regola piu importante e la piu violata. Il password manager la risolve alla radice: genera, salva e compila automaticamente una password diversa per ogni sito. Il dipendente deve ricordare solo la master password del vault.
Blocklist di password comuni
Active Directory e Azure AD permettono di bloccare le password piu comuni (password, 123456, qwerty, il nome dell'azienda, eccetera). Attivatelo: costa zero e blocca il 20% delle password deboli prima che vengano create.
MFA obbligatoria, senza eccezioni
La MFA non e opzionale, nemmeno per l'amministratore delegato. Anzi, soprattutto per l'amministratore delegato: il suo account e il bersaglio numero uno per il BEC (Business Email Compromise). Microsoft Authenticator e gratuito, una YubiKey costa 50 EUR una tantum. Non ci sono scuse.
MFA e Autenticazione Multifattore: Guida Pratica
La MFA (Multi-Factor Authentication) e la singola misura di sicurezza con il miglior rapporto costo-efficacia che esiste. Microsoft lo dice chiaro: l'MFA blocca il 99,9% degli attacchi basati su credenziali rubate. Eppure il 40% delle PMI italiane non l'ha ancora attivata nemmeno sulla posta elettronica.
Come funziona in pratica? L'utente inserisce la password (fattore 1: qualcosa che sa) e poi conferma l'accesso con un secondo fattore: un codice dall'app Authenticator (qualcosa che ha), un'impronta digitale (qualcosa che e), o una chiave fisica USB come la YubiKey. Anche se l'attaccante ha rubato la password, senza il secondo fattore non entra.
App Authenticator (Microsoft, Google)
Sicurezza: AltaPush notification o codice TOTP. Gratuita, facile da usare, funziona anche offline. E il metodo che raccomandiamo per la maggior parte degli utenti. Setup in 2 minuti per utente.
Chiave FIDO2 (YubiKey, Feitian)
Sicurezza: Molto altaToken fisico USB/NFC, resistente al phishing per design (verifica il dominio automaticamente). Costa 50-70 EUR per chiave. Consigliata per admin, C-level e utenti con accesso a dati sensibili.
SMS / Telefonata
Sicurezza: MediaMeglio di niente, ma vulnerabile al SIM swapping. Il NIST la sconsiglia come metodo primario dal 2023. Usatela solo come fallback per utenti che non possono usare l'app Authenticator.
Windows Hello / Biometria
Sicurezza: AltaImpronta digitale o riconoscimento facciale integrato nel PC. Non trasmette dati biometrici in rete (restano nel TPM del dispositivo). Perfetto come secondo fattore combinato con l'Authenticator per il passwordless.
Dove attivare la MFA? Ovunque, ma se dovete dare delle priorita: Microsoft 365 (email e documenti), VPN (accesso remoto alla rete), pannelli di amministrazione (firewall, server, cloud), gestionali con dati sensibili. In quest'ordine.
Active Directory e Single Sign-On
Se la vostra azienda ha piu di 10 PC, probabilmente avete Active Directory (AD) — o dovreste averlo. AD e il cervello della gestione identita in azienda: controlla chi accede a cosa, applica le policy password centralmente e gestisce i permessi su file, stampanti e applicazioni.
Con Azure AD (ora Microsoft Entra ID) potete estendere Active Directory al cloud e implementare il Single Sign-On (SSO): un unico login per accedere a Microsoft 365, al gestionale, al CRM, alla intranet. L'utente si autentica una volta con MFA e accede a tutto. Meno password da ricordare, meno ticket all'help desk per "ho dimenticato la password", meno rischio di credenziali riutilizzate.
Il SSO con Azure AD e incluso nelle licenze Microsoft 365 Business Premium (22,00 EUR/utente/mese) che la maggior parte delle aziende ha gia. Per le app che non supportano SAML/OIDC nativamente, si usa Azure AD Application Proxy. Il costo aggiuntivo e praticamente zero se avete gia le licenze giuste. Noi di BullTech configuriamo SSO + Conditional Access + MFA come pacchetto standard per tutti i clienti Microsoft 365.
Quanto Costa un Password Manager Aziendale
Ecco i costi reali per una PMI con 30 dipendenti, basati sui preventivi che facciamo ai nostri clienti:
| Voce | Costo mensile (30 utenti) | Note |
|---|---|---|
| Password manager (Bitwarden Teams) | ~110 EUR/mese | 4 USD/utente, fatturazione annuale |
| Password manager (1Password Business) | ~220 EUR/mese | 7,99 USD/utente, fatturazione annuale |
| MFA con Microsoft Authenticator | Incluso in M365 | Gratuito se avete gia Microsoft 365 |
| Chiavi FIDO2 (per admin/C-level) | ~350 EUR una tantum | 5-7 chiavi YubiKey a 50-70 EUR l'una |
| Setup e configurazione iniziale | 500-1.500 EUR una tantum | Deploy, formazione utenti, migrazione credenziali |
| TOTALE PRIMO ANNO (Bitwarden) | ~2.170-3.170 EUR | Circa 180-265 EUR/mese ammortizzato |
Per confronto: un singolo incidente causato da password rubate costa in media 15.000-50.000 EUR tra intervento d'emergenza, fermo produttivo, consulenza legale e eventuale notifica al Garante. Un password manager aziendale si ripaga dopo il primo attacco evitato. E prima o poi, quell'attacco arriva.
Domande Frequenti sulla Gestione Password Aziendale
Qual e il miglior password manager per un'azienda con 20-50 dipendenti?
Per una PMI con 20-50 utenti, i due piu usati sono 1Password Business e Bitwarden Teams. 1Password costa circa 7,99 USD/utente/mese e ha un'interfaccia molto intuitiva, ottima per utenti non tecnici. Bitwarden Teams costa 4 USD/utente/mese ed e open source, con hosting anche on-premise se volete tenere tutto in casa. Entrambi supportano MFA, condivisione sicura delle credenziali e integrazione con Active Directory. Noi di BullTech li implementiamo entrambi: la scelta dipende dal budget e dalle competenze interne.
L'autenticazione a due fattori (MFA) rallenta il lavoro dei dipendenti?
No, se configurata bene. Con Microsoft Authenticator o una chiave FIDO2, l'MFA aggiunge 3-5 secondi al login. Con il conditional access di Azure AD, potete chiedere il secondo fattore solo quando l'utente accede da una rete non aziendale o da un dispositivo nuovo. In pratica, in ufficio non cambia nulla. Da remoto, bastano 5 secondi in piu per bloccare il 99,9% degli attacchi basati su credenziali rubate. Ne vale la pena.
Ogni quanto dovremmo cambiare le password aziendali?
Il NIST (l'ente americano di riferimento per la cybersecurity) ha aggiornato le linee guida nel 2024: non serve piu cambiare le password ogni 90 giorni. Se usate password lunghe (minimo 14 caratteri), uniche e abbinate a MFA, potete cambiarle solo in caso di sospetta compromissione. Il cambio forzato ogni 3 mesi porta i dipendenti a usare password deboli tipo 'Password2026!' — che e peggio di una password forte usata per 12 mesi.
Come faccio a sapere se le credenziali aziendali sono state rubate?
Ci sono servizi di dark web monitoring che controllano se le email aziendali compaiono in database di credenziali rubate. 1Password ha Watchtower integrato, Bitwarden ha il check sulle password compromesse. Per un controllo piu approfondito, noi usiamo strumenti professionali che monitorano il dark web in tempo reale e vi avvisano entro 24 ore se trovano credenziali della vostra azienda. Il primo check lo facciamo gratis durante l'assessment iniziale.
Il Single Sign-On (SSO) e sicuro o e un rischio?
Il SSO e piu sicuro dell'alternativa, cioe avere 15 password diverse (di cui 10 uguali tra loro). Con il SSO, l'utente ha un solo punto di accesso protetto da MFA forte, e voi avete un solo punto da monitorare, proteggere e controllare. Se un dipendente se ne va, disattivate un account e perde l'accesso a tutto. Senza SSO, dovete ricordarvi di disattivarlo su 15 servizi diversi — e inevitabilmente ne dimenticate qualcuno. Il rischio del SSO e che se quel singolo account viene compromesso, l'attaccante accede a tutto. Ecco perche l'MFA sul SSO non e opzionale: e obbligatoria.