Come migrare da LastPass a Bitwarden (o Proton Pass)

Perché avresti già dovuto migrare

LastPass ha avuto due gravi breach consecutivi nel 2022-2023:

• Agosto 2022: codice sorgente e informazioni tecniche proprietarie rubate
• Dicembre 2022: dati dei vault clienti rubati, inclusi vault password crittografati

Il breach di dicembre 2022 è la preoccupazione operativa. LastPass ha rivelato che gli attaccanti hanno ottenuto i dati dei vault clienti — crittografati, ma con i metadati esposti (URL, username). Per gli utenti con master password deboli o iterazioni di crittografia vault più vecchie, i vault crittografati sono vulnerabili ad attacchi brute-force con tempo e risorse di calcolo sufficienti.

Implicazione pratica: qualsiasi password memorizzata in LastPass prima di dicembre 2022 dovrebbe essere considerata potenzialmente compromessa. L’urgenza della migrazione varia per modello di minaccia — account ad alto valore (banca, email di lavoro) dovrebbero aver già ruotato le password; account a basso valore (login forum una tantum) sono meno urgenti ma comunque utili.

La domanda della migrazione 2026 non è ‘dovresti?’ — è risolta. È ‘verso quale alternativa?‘

Scegliere tra Bitwarden e Proton Pass

Entrambi sono credibili. La scelta dipende dalle tue priorità di sovranità:

Bitwarden (con sede USA, completamente self-hostable)

Pro:

• Il password manager open source più maturo
• Il più ampio ecosistema di integrazioni e client
• Il piano premium più economico (10 $/anno)
• Self-hostable su Hetzner via Vaultwarden per piena sovranità
• Battle-tested su scala enterprise

Contro:

• Sede USA (esposizione CLOUD Act per la versione hosted)
• Il self-hosting richiede capacità tecniche

Ideale per: la maggior parte degli utenti che vogliono UX raffinata, ampio ecosistema e prezzo più economico. Self-host su infrastruttura UE per piena sovranità.

Proton Pass (svizzero, completamente sovrano)

Pro:

• Giurisdizione legale svizzera (più forte del GDPR)
• Piano gratuito generoso con tutte le funzionalità sbloccate
• Integrato con l’ecosistema Proton (Mail, Drive, VPN)
• Crittografia end-to-end auditata
• Postura sulla privacy più pulita di Bitwarden

Contro:

• Più recente (lanciato 2023, meno maturo di Bitwarden)
• Ecosistema più piccolo di integrazioni di terze parti
• Non self-hostable
• Alcune funzionalità avanzate (SAML SSO, Active Directory) solo nei piani enterprise

Ideale per: utenti già nell’ecosistema Proton o che lo stanno considerando, utenti che danno priorità alla giurisdizione svizzera, consumatori e piccoli team.

Questa guida si concentra su Bitwarden come destinazione di migrazione più comune. La migrazione a Proton Pass segue gli stessi passi generali — entrambi hanno importer LastPass simili.

Passi dettagliati per la migrazione

Passo 1: Configura il tuo nuovo account

Per Bitwarden:

1. Visita bitwarden.com e crea un account
2. Scegli una master password forte — è l’unica password che dovrai ricordare; falla lunga e unica
3. Salva il tuo codice di ripristino in un posto sicuro (stampato, in una cassaforte ignifuga, NON in alcun password manager)
4. Opzionale: passa a Premium (10 $/anno) per 1 GB di allegati crittografati e accesso d’emergenza

Per Proton Pass:

1. Visita proton.me/pass e crea un account (o usa l’account Proton esistente)
2. Scegli una master password forte — stesse considerazioni di Bitwarden
3. Salva la frase di recupero in modo sicuro
4. Il piano gratuito copre la maggior parte degli usi personali; il piano Plus a 1,99 $/mese aggiunge funzionalità avanzate

Per Bitwarden self-hosted (avanzato):

Per organizzazioni o utenti tecnici che desiderano piena sovranità UE:

Hetzner CX22 (2 vCPU, 4 GB RAM): 5 €/mese
Vaultwarden (compatibile Bitwarden, più leggero): open source
Reverse proxy Caddy + SSL Let's Encrypt: gratuito

Costo totale di infrastruttura: ~60 €/anno per utenti illimitati, completamente sotto il tuo controllo.

Passo 2: Esporta da LastPass

LastPass richiede la master password per l’export:

1. Accedi al vault web di LastPass
2. Opzioni account → Avanzate → Esporta (sotto Gestisci il tuo vault)
3. Riautenticati con la master password
4. Scegli il formato LastPass CSV File
5. Salva su disco crittografato o chiavetta USB

Nota di sicurezza critica: il CSV esportato contiene tutte le tue password in chiaro. Trattalo come il file più sensibile che gestirai mai:

• Salva solo su disco crittografato (FileVault, BitLocker, LUKS)
• Non inviarlo via email
• Non caricarlo su nessun servizio cloud
• Non memorizzarlo su un dispositivo mobile
• Eliminalo immediatamente dopo la migrazione

Passo 3: Importa nella nuova piattaforma

Bitwarden:

1. Vault web Bitwarden → Strumenti → Importa dati
2. Seleziona origine: LastPass (csv)
3. Scegli il tuo file CSV esportato
4. Clicca su Importa dati

Bitwarden importa:

• Login (username, password, URL, note)
• Note sicure
• Cartelle → Cartelle Bitwarden
• Elementi di form fill → elementi Identità / Carta Bitwarden

Proton Pass:

1. Proton Pass web → Impostazioni → Importa
2. Seleziona LastPass
3. Scegli il tuo file CSV
4. Conferma l’import

Entrambi gestiscono il formato di export LastPass standard in modo pulito. Casi limite:

• I campi personalizzati potrebbero richiedere revisione manuale
• Elementi con caratteri strani negli URL potrebbero necessitare ricontrollo
• Gli indirizzi di form fill migrano ma potrebbero necessitare aggiustamento di formato

Passo 4: Configura l’autenticazione a due fattori

Questo è non negoziabile per la sicurezza del password manager:

Opzioni 2FA Bitwarden:

• App di autenticazione (Aegis, Raivo, Authy)
• Email (meno sicura)
• YubiKey (Premium, consigliata per uso ad alto rischio)
• Duo (Premium)
• FIDO2 WebAuthn (Premium)

Opzioni 2FA Proton Pass:

• App di autenticazione
• Chiave di sicurezza hardware (FIDO2)
• 2FA Proton integrata

Raccomandazione per entrambi: chiave di sicurezza hardware (YubiKey 5 NFC o simile, ~55 €) più app di autenticazione come backup. La combinazione è la più forte.

Salva i tuoi codici di recupero 2FA da qualche parte offline (stampati in una cassaforte ignifuga, NON nel tuo password manager).

Passo 5: Ricrea la struttura delle cartelle

Cartelle LastPass → Cartelle Bitwarden / cartelle Proton Pass. Il tuo import preserva questo nella maggior parte dei casi, ma rivedi:

• Tutte le cartelle sono state importate correttamente?
• Le cartelle annidate sono preservate?
• Le cartelle LastPass condivise sono rappresentate correttamente?

Per Bitwarden specificamente: le cartelle LastPass condivise devono essere ricreate come Collezioni di Organization Bitwarden (che è una funzione Premium per uso personale, o parte dei piani Family/Business).

Passo 6: Installa ovunque

Sia Bitwarden sia Proton Pass hanno copertura cross-platform completa:

• Estensioni del browser: Chrome, Firefox, Safari, Edge, Brave, Opera, Vivaldi
• App desktop: Windows, macOS, Linux
• App mobile: iOS, Android (sia App Store sia APK)
• CLI: per sviluppatori e scripting

Installa su ogni dispositivo dove attualmente usi LastPass. Accedi con la master password e verifica il 2FA su ogni dispositivo.

Passo 7: Testa i login critici

Prima di annullare LastPass, verifica che la migrazione funzioni:

1. Esci da 5-10 servizi critici (banca, email, strumenti di lavoro, social media)
2. Prova a rientrare usando solo l’autofill del nuovo password manager
3. Verifica che i codici TOTP siano generati correttamente (se memorizzi segreti TOTP nel password manager)
4. Testa su mobile — l’autofill funziona diversamente su iOS e Android, entrambi funzionano ma richiedono configurazione

Se qualcosa non funziona, torna a LastPass mentre risolvi il problema. Per questo è essenziale eseguire entrambi in parallelo per 30 giorni.

Passo 8: Aggiorna le password deboli e compromesse

La migrazione è il momento perfetto per ruotare le password che avrebbero dovuto essere ruotate:

Per gli utenti LastPass specificamente: le password memorizzate prima di dicembre 2022 dovrebbero essere considerate potenzialmente compromesse. Rotazione prioritaria:

1. Servizi bancari e finanziari (massima priorità)
2. Account email (questi sbloccano tutto il resto)
3. Account legati al lavoro (implicazioni di compliance e sicurezza)
4. Cloud storage e servizi di backup
5. Account commerciali principali (Amazon, eBay, ecc.)
6. Social media (specialmente se li usi per SSO)

Usa il generatore di password di Bitwarden o Proton Pass per creare password forti e uniche. Entrambi hanno rilevamento di breach che segnala automaticamente le password compromesse.

Per account a priorità inferiore (siti di shopping una tantum, forum), raggruppa questo lavoro o accetta il rischio. Tempo realistico di investimento per la rotazione completa di 100+ account: 4-6 ore in una settimana o due.

Passo 9: Configura il monitoraggio della salute delle password

Entrambe le piattaforme includono il controllo della salute delle password:

Bitwarden Reports (Premium):

• Report password esposte (verificato contro Have I Been Pwned)
• Report password riutilizzate
• Report password deboli
• Report 2FA inattiva
• Report sito web non sicuro

Proton Pass Pass Monitor:

• Monitoraggio dark web
• Rilevamento password deboli
• Rilevamento password riutilizzate
• Raccomandazioni 2FA

Esegui i report mensilmente all’inizio, trimestralmente in seguito. Ogni risultato è un’azione: ruota, abilita 2FA o aggiorna credenziali.

Passo 10: Annulla LastPass ed elimina l’export in modo sicuro

Dopo 30 giorni di sicurezza:

1. Verifica che tutti i login siano accessibili nella nuova piattaforma
2. Verifica i codici TOTP per le configurazioni 2FA critiche
3. Annulla l’abbonamento LastPass dalle impostazioni dell’account
4. Elimina in modo sicuro l’export CSV:
   • macOS: srm -v file.csv (macOS meno recente) o usa svuota cestino sicuro nel Finder
   • Linux: shred -u file.csv
   • Windows: eliminazione file sicura di BleachBit
   • Oppure sovrascrivi semplicemente il file ripetutamente con dati casuali, poi eliminalo

Non saltare il passo di eliminazione sicura. Il CSV contiene tutte le tue password; l’eliminazione ordinaria lascia tracce recuperabili.

Consigli per una migrazione fluida

• Pianifica un weekend per questo. Due ore di lavoro di migrazione focalizzato sono meglio di due settimane di ‘lo farò più tardi’.
• Le chiavi di sicurezza hardware valgono i 55 €. YubiKey 5 NFC abbinata a Bitwarden o Proton Pass fornisce autenticazione resistente al phishing davvero difficile da compromettere.
• Vault familiari / condivisi richiedono attenzione. Se hai un piano LastPass Families con cartelle condivise, ricrea la condivisione in Bitwarden Family (40 $/anno per 6 utenti) o Proton Family.
• Per gli sviluppatori, la CLI conta. La CLI Bitwarden (bw) è eccellente per script e gestione segreti CI/CD. La CLI Proton Pass è più recente.
• Il self-hosting di Bitwarden è davvero fattibile. Vaultwarden su un server Hetzner a 5 €/mese ti dà gestione password completamente sovrana. Il compromesso è la responsabilità operativa — uptime, backup, patch di sicurezza.
• Non usare la stessa master password di LastPass. Alcuni utenti lo fanno ‘per memoria muscolare’. Non farlo. Scegli una master password diversa e più forte per la nuova piattaforma.
• L’archiviazione TOTP nel password manager ha un compromesso. Convenienza (un solo posto) vs sicurezza (singolo punto di failure). Sia Bitwarden Premium sia Proton Pass supportano l’archiviazione TOTP; per gli account più sensibili, considera di mantenere il TOTP in un’app di autenticazione separata.
• L’accesso d’emergenza è importante. Configura l’accesso d’emergenza di Bitwarden Premium (o l’equivalente Proton) così una persona fidata può richiedere accesso al tuo vault se ti succede qualcosa. Questo è l’equivalente digitale di un testamento.
• La storia dell’ecosistema Proton conta se sei già lì. Se usi Proton Mail e Proton Drive, l’integrazione di Proton Pass potrebbe giustificarlo rispetto a Bitwarden. Se non sei nell’ecosistema Proton, l’insieme più ampio di funzionalità di Bitwarden potrebbe contare di più.