Keeper Security Riconosciuta nel PAM Magic Quadrant™ e come la Seconda Azienda di Sicurezza in più Rapida Crescita a Livello Globale
Per sapere di piùSia Keeper che BeyondTrust sono leader riconosciuti nella gestione degli accessi con privilegi (PAM), ma differiscono notevolmente per architettura, crittografia, profondità di conformità, modelli di distribuzione e voci di sicurezza. Eccoli a confronto.
Keeper offre KeeperPAM® come piattaforma unica e unificata. Un'unica cassaforte, un'unica console di amministrazione e un unico motore di policy coprono la gestione delle password aziendali, la gestione dei segreti, la gestione delle sessioni privilegiate, l'isolamento del browser remoto (RBI) e la gestione dei privilegi sugli endpoint.
Tutte le funzionalità condividono la stessa architettura zero-knowledge, la stessa cassaforte crittografata e la stessa infrastruttura di reporting. Non ci sono prodotti separati da integrare né interfacce complesse da gestire e non sono necessari servizi professionali per raggiungere uno stato di operatività.
BeyondTrust è un leader affermato nel settore PAM, la cui suite di prodotti comprende Password Safe, Privileged Remote Access (PRA), Endpoint Privilege Management e la piattaforma Pathfinder, ognuno con la propria interfaccia, archiviazione dati e modello amministrativo.
BeyondTrust ha compiuto progressi significativi nell'unificare questi prodotti sotto la console Pathfinder, ma i prodotti sottostanti rimangono separati e l'integrazione tra di essi si basa su connessioni API.
Keeper è sviluppato su una vera architettura zero-knowledge e zero-trust. Tutta la crittografia viene eseguita sul lato client prima che i dati raggiungano i server di Keeper. Keeper non ha la capacità tecnica di accedere ai dati della cassaforte dei clienti, alle credenziali o ai segreti, e nessun altro può farlo. Ogni voce è protetta da una chiave di crittografia AES-256 unica, generata localmente sul dispositivo dell'utente.
In base alla documentazione disponibile pubblicamente, BeyondTrust non utilizza un modello di crittografia zero-knowledge.
Keeper ha implementato una crittografia quantu-resistant utilizzando l'algoritmo CRYSTALS-Kyber, uno standard crittografico post-quantistico certificato dal NIST, contribuendo a proteggere i dati dei clienti dalla minaccia di attacchi quantistici ai sistemi di crittografia attuali.
Il modulo crittografico di Keeper è inoltre convalidato secondo lo standard FIPS 140-3 dal NIST Cryptographic Module Validation Program.
In base alle informazioni disponibili pubblicamente ad aprile 2026, BeyondTrust non ha comunicato l'adozione o l'implementazione della crittografia post-quantistica.
BeyondTrust raggiunge la conformità FIPS 140-3 per i suoi prodotti Remote Support e Privileged Remote Access tramite l'uso di moduli crittografici validati da terze parti FIPS 140-3 all'interno dei suoi dispositivi, anziché tramite un modulo crittografico proprietario convalidato in modo indipendente.
Keeper è certificato FedRAMP High e autorizzato GovRAMP High, il più elevato livello di autorizzazione per enti governativi federali e statali. La soluzione è ospitata su AWS GovCloud, con archiviazione dei dati esclusivamente negli Stati Uniti e un team di supporto dedicato composto esclusivamente da personale statunitense autorizzato.
Keeper è convalidato FIPS 140-3, SOC 2 Tipo II, SOC 3 e certificato ISO 27001, 27017 e 27018, e supporta la conformità ITAR e FDA 21 CFR Parte 11.
In base alle informazioni disponibili pubblicamente, BeyondTrust dispone di un'autorizzazione FedRAMP Moderate e non risulta autorizzata FedRAMP High o GovRAMP High.
BeyondTrust detiene le certificazioni SOC 2 e ISO 27001 per le implementazioni aziendali commerciali.
Keeper non ha mai subito una violazione dei dati. L’architettura zero-knowledge e zero-trust di Keeper elimina la presenza di un archivio centrale di credenziali decifrabili, riducendo così un potenziale obiettivo per gli hacker. Anche in caso di compromissione a livello di server, i dati archiviati sull'infrastruttura di Keeper sono crittograficamente inaccessibili senza le chiavi di crittografia, che non lasciano mai il dispositivo dell'utente.
BeyondTrust ha affrontato una serie di vulnerabilità critiche nei suoi prodotti di accesso remoto. Nel dicembre 2024, il gruppo Silk Typhoon, sostenuto dallo Stato cinese, ha sfruttato una vulnerabilità zero-day nella piattaforma BeyondTrust per violare il Dipartimento del Tesoro degli Stati Uniti.
Nel febbraio 2026, una seconda vulnerabilità critica di esecuzione di codice remoto senza autenticazione (CVE-2026-1731, CVSS 9.9) è stata divulgata in BeyondTrust Remote Support e Privileged Remote Access, è stata attivamente sfruttata in attacchi ransomware ed è stata aggiunta al catalogo delle vulnerabilità note sfruttate della CISA. Al momento della divulgazione, circa 8.500 istanze on-premise erano esposte a Internet. BeyondTrust ha applicato automaticamente la patch ai clienti cloud, mentre i clienti con hosting autonomo hanno richiesto un intervento manuale.
L'implementazione di Keeper si articola in tre fasi: provisioning degli utenti tramite Single Sign-On (SSO) e SCIM o Active Directory, impostazione delle policy basate sui ruoli e installazione di un gateway containerizzato leggero negli ambienti di destinazione. Il gateway è solo in uscita e non richiede modifiche al firewall in entrata, né server dedicati, né infrastrutture on-premise oltre al gateway stesso.
La maggior parte delle organizzazioni è completamente operativa nel giro di un giorno. Non è necessario ricorrere a servizi professionali, sebbene siano disponibili per migrazioni complesse.
BeyondTrust supporta sia l'implementazione sul cloud che on-premise. Le implementazioni cloud hanno semplificato il processo di configurazione, ma l'implementazione della suite completa di BeyondTrust, in particolare Password Safe e Privileged Remote Access, in genere richiede un'installazione multicomponente, un'infrastruttura dedicata e l'intervento di servizi professionali.
Keeper offre KeeperAI, un motore di IA agentica integrato in KeeperPAM che monitora le sessioni privilegiate attive in tempo reale, analizza i log delle sequenze di tasti e l'esecuzione dei comandi, classifica il comportamento in base al livello di rischio e termina automaticamente le sessioni quando viene rilevata una minaccia.
Basato sul framework Sovereign AI, il sistema consente a ogni organizzazione di mantenere la piena titolarità dei dati grazie a implementazioni LLM flessibili sia on-premise che su cloud, tra cui OpenAI, Azure OpenAI, Google Vertex AI e Anthropic.
BeyondTrust ha introdotto funzionalità di intelligenza artificiale attraverso il grafo True Privilege™, una visualizzazione basata sull'IA dei percorsi di attacco all'identità che aiuta i team di sicurezza a identificare e dare priorità ai percorsi nascosti di escalation dei privilegi tra identità umane e non umane.
BeyondTrust ha anche annunciato una soluzione di IA agentica per estendere i controlli PAM agli agenti IA.
Keeper offre KeeperDB, un'interfaccia di gestione del database integrata all'interno della cassaforte Keeper. Gli utenti con privilegi possono interrogare e gestire in modo sicuro i database MySQL, PostgreSQL e Microsoft SQL Server senza che le credenziali tocchino un dispositivo locale.
Ogni sessione viene eseguita all'interno di Keeper Remote Browser Isolation, è completamente registrata e regolata da criteri centralizzati di privilegio minimo con un audit trail completo da un'unica console.
In base alla documentazione disponibile pubblicamente, BeyondTrust supporta la gestione delle credenziali del database tramite Password Safe, incluse la memorizzazione delle credenziali, la rotazione automatica e la gestione delle sessioni per gli account del database.
BeyondTrust non offre un'interfaccia nativa di gestione del database basata su browser paragonabile a quella di KeeperDB.
Keeper Secrets Manager è una soluzione di gestione dei segreti completamente basata su cloud, zero-knowledge, che non richiede componenti on-premise. Protegge chiavi API, chiavi SSH, certificati e credenziali pipeline CI/CD con rotazione automatica integrata.
Keeper Secrets Manager si integra in modo nativo con Terraform, Kubernetes, GitHub Actions e Jenkins, supporta il Model Context Protocol (MCP) per l'integrazione di strumenti di IA e offre oltre 100 integrazioni DevOps pronte all'uso.
In base alla documentazione disponibile pubblicamente, BeyondTrust gestisce i segreti tramite Password Safe, che include la conservazione sicura delle credenziali, la rotazione automatica e la gestione dei segreti per l'infrastruttura. L'approccio di Password Safe è principalmente incentrato sulla cassaforte: le credenziali vengono create in anticipo, archiviate e ruotate in base a un programma o a parametri di policy, anziché essere generate dinamicamente su richiesta per ogni sessione.
BeyondTrust offre integrazioni con strumenti DevOps, tra cui un provider Terraform, una custom action per GitHub Actions e un’integrazione sidecar per Kubernetes. Tuttavia, queste funzionalità sono orientate al recupero di segreti già archiviati nella cassaforte, piuttosto che alla generazione di credenziali temporanee su richiesta.
Il gestore di password Keeper Enterprise è pensato per tutti gli utenti di un'azienda, non solo per gli amministratori IT. Accessibile tramite una cassaforte web, app desktop per Windows, Mac e Linux, app per dispositivi mobili iOS e Android ed estensioni del browser per tutti i principali browser, Keeper offre un'esperienza coerente e intuitiva su ogni piattaforma.
KeeperFill compila automaticamente le password, le chiavi di accesso e i codici 2FA. BreachWatch® monitora il dark web alla ricerca di credenziali esposte e ogni utente aziendale riceve un piano Keeper Family gratuito.
BeyondTrust Password Safe e la sua funzionalità Workforce Passwords si sono estese anche agli utenti non tecnici, ma la piattaforma resta progettata principalmente per il controllo amministrativo, la supervisione e la gestione degli accessi privilegiati.
BeyondTrust offre un'app mobile Password Safe per iOS e Android che copre credenziali privilegiate, segreti e password aziendali, ma richiede un'installazione aziendale di Password Safe e una configurazione amministrativa già esistente prima che qualsiasi utente possa accedervi.
Il Modulo per segnalazioni e avvisi avanzati (ARAM) di Keeper monitora oltre 300 eventi verificabili su tutta la piattaforma, tra cui attività nella cassaforte, sessioni privilegiate, accesso ai segreti e modifiche alle policy, con allerte in tempo reale e integrazione diretta con i sistemi di Gestione delle informazioni e degli eventi di sicurezza (SIEM) in CrowdStrike Falcon, Microsoft Sentinel, Google Security Operations e Splunk.
Il modulo Report di conformità di Keeper fornisce report consolidati e pronti per l'audit per SOC 2, HIPAA, PCI DSS e ISO 27001, il tutto dalla stessa console.
BeyondTrust offre funzionalità di reporting e audit in tutta la sua suite di prodotti, con integrazioni SIEM e registrazione delle sessioni. L'azienda ha deciso di affrontare il suo problema di frammentazione attraverso la piattaforma Pathfinder, che offre un accesso unico e una navigazione integrata tra tutti i suoi prodotti SaaS.
Tuttavia, i singoli prodotti mantengono le proprie interfacce di reporting e strutture di dati separate. I dati delle sessioni PRA, ad esempio, richiedono un client di integrazione dedicato e una propria connessione al database per essere visualizzati in BeyondInsight.
*Dati aggiornati al 14 aprile 2026
App Store iOS
4,9 su 5 e 224.000 recensioni
3,1 su 5 e 52 recensioni**
App su Microsoft Store
4,9 su 5 e 1.460 recensioni
No dedicated app
Estensione di Chrome
4,8 su 5 e 8.500 recensioni
3,3 su 5 e 4 recensioni
Android
4,7 su 5 e 110.000 recensioni
2,4 su 5 e 391 recensioni
*Dati aggiornati al 14 aprile 2026
Le valutazioni di BeyondTrust riflettono l'applicazione BeyondTrust Support.
KeeperPAM offre un'architettura zero-knowledge, una crittografia post-quantistica, un'autorizzazione FedRAMP High e il rilevamento delle minacce basato sull'IA, tutto in un'unica piattaforma cloud-native che si implementa in pochi minuti, non in mesi.
La differenza principale risiede nell'architettura e nel modello di implementazione. Keeper si basa su un'architettura zero-knowledge e zero-trust, il che significa che Keeper non ha la capacità tecnica di accedere ai dati della cassaforte dei clienti. BeyondTrust non offre la crittografia zero-knowledge, il che rappresenta una differenza significativa per gli ambienti regolamentati e per le organizzazioni che valutano il potenziale impatto di una violazione.
Keeper è anche certificazione FedRAMP High, mentre BeyondTrust è autorizzato FedRAMP Moderate. Keeper ha implementato una crittografia post-quantistica (CRYSTALS-Kyber); BeyondTrust no. KeeperPAM si implementa in pochi minuti come piattaforma unificata e cloud-native, senza la necessità di servizi professionali e infrastrutture multi-componente, come avviene solitamente con le implementazioni di BeyondTrust.
L'architettura zero-knowledge di Keeper garantisce che tutta la crittografia avvenga sul dispositivo dell'utente prima che i dati raggiungano i server di Keeper. Keeper non può decifrare il contenuto della cassaforte, le credenziali o i segreti, e gli hacker non potrebbero decifrarli nemmeno se l'infrastruttura di Keeper fosse compromessa. Ogni voce è protetta dalla sua chiave AES-256 univoca generata localmente.
BeyondTrust non utilizza la crittografia zero-knowledge. Disponendo di un archivio centralizzato delle credenziali, BeyondTrust ha accesso tecnico ai dati memorizzati; qualora tale archivio venisse compromesso, gli hacker potrebbero accedere simultaneamente a password, chiavi SSH e token di sessione relativi ai sistemi più sensibili di un'organizzazione. Questa differenza architetturale è uno dei motivi per cui la piattaforma BeyondTrust è stata più volte presa di mira da gruppi sponsorizzati da stati, tra cui il caso del Dipartimento del Tesoro degli Stati Uniti del dicembre 2024 attribuito a Silk Typhoon e lo sfruttamento ransomware della vulnerabilità CVE-2026-1731 nel febbraio 2026.
Sì, Keeper è certificato FedRAMP High e GovRAMP High Authorization, il che lo colloca tra un ristretto numero di soluzioni autorizzate per i carichi di lavoro più sensibili del governo americano. Keeper è anche convalidato FIPS 140-3, SOC 2 Tipo II, SOC 3 e certificato ISO 27001, 27017 e 27018, e supporta i programmi di conformità ITAR e FDA 21 CFR Parte 11. Keeper Security Government Cloud è basato su AWS GovCloud, con archiviazione dati esclusivamente negli Stati Uniti e un team di supporto dedicato composto esclusivamente da personale statunitense autorizzato.
BeyondTrust possiede l'autorizzazione certificata FedRAMP Moderate. Per le agenzie e gli appaltatori per i quali l'autorizzazione FedRAMP High è un requisito di appalto, Keeper è la scelta ideale.
L'architettura zero-trust e zero-knowledge di Keeper limita radicalmente l'impatto di qualsiasi potenziale violazione. Poiché tutta la crittografia avviene sul dispositivo dell'utente e i server di Keeper contengono solo testo cifrato che non può essere decifrato senza le chiavi detenute dall'utente, una violazione a livello server non può esporre dati della cassaforte leggibili. Keeper vanta un curriculum impeccabile in materia di sicurezza.
I prodotti di accesso remoto di BeyondTrust hanno presentato una serie di vulnerabilità critiche. La vulnerabilità CVE-2026-1731, una falla di esecuzione di codice remoto senza autenticazione con un punteggio CVSS di 9,9, è stata resa nota nel febbraio 2026 ed è stata attivamente sfruttata in attacchi ransomware entro 24 ore dalla pubblicazione di un proof of concept. Ciò è avvenuto in seguito alla violazione subita dal Dipartimento del Tesoro degli Stati Uniti nel dicembre 2024 tramite una vulnerabilità zero-day di BeyondTrust. Al momento della divulgazione della vulnerabilità CVE-2026-1731, circa 8.500 istanze on-premise erano esposte a Internet. BeyondTrust ha applicato automaticamente la patch alle istanze cloud, mentre i clienti con hosting autonomo hanno richiesto un intervento manuale.
L'implementazione di KeeperPAM si articola in tre fasi: provisioning degli utenti tramite SSO e SCIM o Active Directory, impostazione delle policy basate sui ruoli e nella Console di amministrazione e installazione di un gateway containerizzato leggero negli ambienti di destinazione. Il gateway è solo in uscita e non richiede modifiche al firewall in entrata né server dedicati. La maggior parte delle organizzazioni è pienamente operativa entro un giorno, senza bisogno di servizi professionali.
Le implementazioni di BeyondTrust, in particolare quando si utilizza Password Safe insieme a Privileged Remote Access, in genere prevedono un'installazione multicomponente, un'infrastruttura dedicata e l'impiego di servizi professionali. È stato documentato che le migrazioni complete per gli ambienti aziendali più grandi possono durare diversi mesi. Per le organizzazioni che devono essere operative rapidamente o che non dispongono di grandi team IT dedicati per l'amministrazione PAM, questa differenza in termini di time to value è significativa.
Per usare la chat dal vivo è necessario abilitare i cookie.