News

Offline vs Cloud: il vero modello di minaccia nei password manager

Fabio Marano

2 min read

Quando si parla di password manager, la discussione si concentra spesso su algoritmi di cifratura, lunghezza delle chiavi o “zero-knowledge”.
Molto meno spesso si parla di una domanda più importante:

da chi sto cercando di proteggermi?

Senza un modello di minaccia chiaro, confrontare soluzioni diverse diventa inutile.

Cos’è un modello di minaccia

Un threat model non è una lista di feature.
È una descrizione esplicita di:

  • quali attacchi si vogliono prevenire
  • quali si accettano come fuori scope
  • quali assunzioni vengono fatte sull’ambiente

Ogni password manager, consapevolmente o meno, fa delle scelte.

Il modello cloud-first

I password manager cloud introducono un modello basato su:

  • sincronizzazione remota
  • backend sempre attivo
  • account utente
  • infrastruttura centralizzata

Questo approccio protegge bene da:

  • perdita del dispositivo
  • necessità di accesso multi-device
  • errori dell’utente (backup automatici)

Ma introduce nuove superfici di attacco:

  • compromissione del provider
  • bug nel backend
  • errori di configurazione server
  • dipendenze da terze parti
  • esposizione dei metadati

Anche con cifratura forte, il modello di rischio cambia nel momento in cui i dati esistono online.

Il modello offline-first

Un password manager offline elimina completamente:

  • server remoti
  • sincronizzazione automatica
  • account di recupero
  • backend API

Il risultato è un modello più semplice:

  • il vault esiste solo localmente
  • la sicurezza dipende dal dispositivo
  • la master password è l’unico segreto critico

Questo approccio protegge molto bene da:

  • attacchi remoti
  • breach di provider
  • compromissioni di terze parti
  • esposizione di metadati online

Ma richiede all’utente:

  • maggiore responsabilità
  • gestione consapevole dei backup
  • protezione del sistema operativo

Nessun modello è “migliore” in assoluto

Cloud ≠ insicuro
Offline ≠ invulnerabile

Sono modelli diversi, adatti a minacce diverse.

Il problema nasce quando:

  • si promette sicurezza totale
  • si nascondono le assunzioni
  • si confonde la comodità con la protezione

La scelta di OneCritto

OneCritto .adotta deliberatamente un modello offline e zero-knowledge.

Questo significa:

  • nessun server
  • nessun account
  • nessuna sincronizzazione forzata
  • nessun recupero remoto

La sicurezza non è delegata a un provider, ma rimane sotto il controllo diretto dell’utente.

È una scelta che riduce la superficie di attacco, ma che richiede consapevolezza.

Sicurezza come responsabilità, non come servizio

Un sistema che promette di “salvare sempre l’utente” introduce inevitabilmente meccanismi di bypass.
Un sistema che elimina questi bypass chiede più attenzione, ma offre un modello più prevedibile.

OneCritto non cerca di coprire ogni scenario possibile.
Cerca di essere chiaro su ciò che protegge e ciò che no.

Conclusione

La domanda giusta non è:

“Qual è il password manager più sicuro?”

Ma:

“Quale modello di minaccia è coerente con il mio rischio reale?”

La sicurezza non è una checklist.
È una scelta architetturale.