Le tue password sono davvero sicure? Gli errori più comuni
Partiamo con una domanda scomoda: quanti dei tuoi account online condividono la stessa password?
Se la risposta è più di uno, non sei il solo. Gli studi mostrano costantemente che la persona media riusa le password su almeno cinque account. Molte persone usano la stessa password, o variazioni minime, su decine di servizi. Questo è uno dei rischi di sicurezza più grandi che la maggior parte delle persone affronta online, ed è del tutto prevenibile.
Il vero pericolo: violazioni di dati e credential stuffing
La maggior parte delle persone immagina l'hacking come qualcuno che prende di mira specificamente loro, indovinando la password o forzando l'accesso al loro account. La realtà è molto diversa.
La stragrande maggioranza delle compromissioni degli account avviene attraverso violazioni di dati. Un'azienda presso cui hai un account viene hackerata. Il loro database di nomi utente e password viene rubato e pubblicato online o venduto nel dark web. Questo succede a grandi aziende con frequenza allarmante.
Ecco dove il riuso delle password diventa catastrofico. Gli aggressori prendono le combinazioni email-password trapelate e le provano automaticamente su centinaia di altri servizi: Gmail, Amazon, siti bancari, social media. Questo si chiama credential stuffing e funziona perché così tante persone usano la stessa password ovunque.
Attenzione Se hai usato la stessa password per un piccolo forum online che è stato violato e per il tuo account email principale, un aggressore che ottiene il database del forum ha ora accesso alla tua email. Dalla tua email, può reimpostare le password di praticamente ogni altro account che possiedi.
Gli errori più comuni sulle password
1. Riusare le password
Questo è il peccato capitale della sicurezza delle password. Quando riusi una password, una violazione su un servizio compromette ogni servizio in cui hai usato quella password.
2. Usare password deboli
Nonostante anni di campagne di sensibilizzazione, le password più comuni restano scioccantemente semplici. "123456", "password", "qwerty" e "admin" sono costantemente in cima alle classifiche. Possono essere violate in meno di un secondo.
3. Schemi prevedibili
Molte persone pensano di essere furbe con schemi come:
- Aggiungere "1" o "!" alla fine di una parola comune
- Mettere in maiuscolo solo la prima lettera
- Usare una password base con il nome del sito aggiunto (es. "MiaPassword-facebook")
- Sostituire lettere con numeri ("p@ssw0rd")
Gli aggressori conoscono tutti questi schemi. I loro strumenti sono specificamente progettati per provare queste variazioni. Una password che sembra complessa a un essere umano può essere banale per uno strumento di cracking automatizzato.
4. Usare informazioni personali
Nomi di animali domestici, compleanni, anniversari, nomi dei figli, squadre del cuore. Tutte queste informazioni sono spesso disponibili pubblicamente sui social media. Se la tua password è "fuffi2019" e il tuo Instagram è pieno di foto di gatti con #FuffiIlGatto, non sei sicuro quanto pensi.
5. Non cambiare mai le password compromesse
Anche dopo essere stati avvisati di una violazione, molte persone non cambiano le password. Questo dà agli aggressori una finestra estesa per sfruttare le credenziali trapelate.
Lo sapevi? La più grande violazione di dati conosciuta ha esposto oltre 3,2 miliardi di combinazioni email e password in un singolo leak. C'è una probabilità significativa che almeno una delle tue password sia stata esposta in una violazione passata, anche se non sei mai stato avvisato.
Cosa rende una password forte?
Una password forte ha tre proprietà chiave:
- Lunghezza. Questo è il fattore più importante. Una password di 16 caratteri è esponenzialmente più difficile da violare di una di 8 caratteri, indipendentemente dalla complessità.
- Casualità. Non dovrebbe contenere parole del dizionario, nomi, date o schemi riconoscibili.
- Unicità. Deve essere usata per un solo account e un solo account.
Ecco come la lunghezza della password influenza il tempo di cracking per una password casuale:
| Lunghezza | Solo minuscole | Maiuscole + minuscole + numeri + simboli |
|---|---|---|
| 6 caratteri | Istantaneo | ~5 secondi |
| 8 caratteri | ~2 minuti | ~8 ore |
| 12 caratteri | ~200 anni | ~34.000 anni |
| 16 caratteri | ~3 milioni di anni | Praticamente inviolabile |
La conclusione è chiara: la lunghezza batte la complessità. Una password casuale di 16 caratteri con sole lettere minuscole è molto più forte di una password di 8 caratteri con maiuscole, numeri e simboli.
La soluzione: password manager e password uniche
Il modo più pratico per usare password forti e uniche per ogni account è usare un password manager. Un password manager conserva tutte le tue password in un archivio crittografato, protetto da una singola password principale. Devi ricordare solo una password; il manager gestisce il resto.
I password manager più diffusi includono Bitwarden (gratuito e open source), 1Password e KeePass. La maggior parte dei browser ha anche password manager integrati che funzionano ragionevolmente bene.
Come funziona un password manager
- Quando crei un account o cambi una password, il manager genera una password lunga e casuale.
- La password viene salvata nel tuo archivio crittografato.
- Quando visiti un sito web, il manager compila automaticamente le credenziali.
- Non hai mai bisogno di ricordare, digitare o nemmeno vedere le singole password.
Agisci oggi: due passi che puoi fare subito
Non hai bisogno di rivoluzionare tutta la tua vita digitale in una volta. Inizia con queste due azioni concrete.
Passo 1: controlla se le tue password sono state compromesse
Prima di tutto, scopri se le tue password esistenti sono già state esposte in violazioni di dati note. Questo ti dice quali account sono a rischio immediato.
Suggerimento Puoi verificare se le tue password compaiono in database di violazioni note adesso, gratuitamente: Verifica se la tua password è stata compromessa. Il controllo viene eseguito in modo sicuro — la tua password completa non viene mai inviata da nessuna parte.
Passo 2: genera password forti per i tuoi account più importanti
Inizia con gli account che contano di più: la tua email principale, la banca e qualsiasi account che conserva informazioni di pagamento. Sostituisci quelle password con password forti generate casualmente.
Suggerimento Usa il nostro generatore di password gratuito per creare password forti e uniche istantaneamente: Genera una password sicura. Puoi personalizzare lunghezza e tipi di caratteri per soddisfare i requisiti di qualsiasi sito.
Oltre le password: attiva l'autenticazione a due fattori
Anche la password più forte non è sufficiente se il servizio che la conserva viene violato. L'autenticazione a due fattori (2FA) aggiunge un secondo livello di protezione: dopo aver inserito la password, devi fornire anche un codice dal telefono, un'app di autenticazione o una chiave di sicurezza fisica.
Con il 2FA attivato, una password trapelata da sola non basta a un aggressore per accedere al tuo account. Attivalo su ogni account che lo offre, specialmente email, banca e social media.
Attenzione Il 2FA basato su SMS (codici inviati per messaggio) è meglio di niente ma è vulnerabile agli attacchi di SIM-swapping. Le app di autenticazione (Google Authenticator, Authy) o le chiavi hardware (YubiKey) sono significativamente più sicure.
Costruire abitudini migliori
La sicurezza delle password non è una soluzione una tantum. È una pratica continua:
- Usa un password manager per tutti gli account.
- Genera una password unica per ogni nuovo account.
- Attiva il 2FA ovunque disponibile.
- Controlla le violazioni periodicamente, almeno una o due volte l'anno.
- Cambia immediatamente le password compromesse quando vieni avvisato di una violazione.
Inizia a proteggere i tuoi account oggi:
Entrambi gli strumenti sono gratuiti, funzionano nel browser e non inviano mai i tuoi dati da nessuna parte.