La Giornata Mondiale delle Password (World Password Day), celebrata ogni anno il primo giovedì di maggio, è un’occasione per riflettere sull’importanza di proteggere le nostre credenziali online.
In qualsiasi programma sul computer o app su smartphone, le password sono il principale strumento di accesso alla nostra vita digitale. Tuttavia sono spesso gestite in modo inadeguato, esponendoci a rischi di furto di informazioni e attacchi informatici.

Una recente indagine rileva che mediamente ogni utente ha oltre 150 password personali e 80 professionali da ricordare: per questo molti scelgono credenziali facili da ricordare o le riutilizzano su più servizi, aumentando notevolmente il pericolo di violazioni.

Le nuove linee guida NIST 2024

Il NIST (National Institute of Standards and Technology), come già abbiamo approfondito in un precedente articolo, ha recentemente rivoluzionato le proprie raccomandazioni sulle password. L’orientamento fondamentale è che la lunghezza conta più della complessità: è meglio una passphrase lunga e memorizzabile (“UnSoleSplendente_SullaCollina”) di una stringa breve con simboli complessi (“P@s5w0rd!”). Di conseguenza, il NIST suggerisce di creare password di almeno 12–14 caratteri, idealmente combinando parole significative fra loro. Altre indicazioni principali includono:

• Evitare parole o informazioni personali: non usare nomi comuni, date di nascita o parole facili da intuire. Queste possono essere indovinate con attacchi a dizionario che provano i termini più frequenti oppure dalle informazioni che rendiamo pubbliche sui socia, spesso senza nemmeno rendercene conto.
• Usare passphrase: frasi costituite da parole semplici ma inusuali nell’insieme (“QuandoèBuio_AccendoLaLuce”) sono lunghe e sicure, ma anche facili da ricordare.
• Non forzare cambi periodici inutili: il NIST elimina l’obbligo di cambiare password regolarmente a meno di compromissioni sospette. Ciò riduce lo stress dell’utente e incentiva scelte più sensate.
• Blacklist di password deboli: molte piattaforme bloccano ora automaticamente password troppo comuni o già compromesse, avvisando l’utente e impedendone l’uso.

Infine, il NIST ribadisce che l’uso di autenticazione multi-fattore (MFA/2FA) è essenziale. Affiancare alla password un secondo fattore (es. un codice via app o SMS, o un dato biometrico) protegge l’accesso anche in caso di violazione delle credenziali.

Linee guida ACN e Garante sulla conservazione delle password

Anche in ambito italiano si sono diffuse nuove raccomandazioni. L’Agenzia per la Cybersicurezza Nazionale (ACN), insieme al Garante della Privacy, ha pubblicato linee guida per la conservazione sicura delle password nelle organizzazioni. Il messaggio chiave è: mai salvare le password in chiaro.

È raccomandato invece utilizzare funzioni crittografiche robuste per l’hashing (trasformazione delle password in stringhe fisse) e custodire solo il risultato cifrato. Le linee guida consigliano specificamente algoritmi moderni e costosi dal punto di vista computazionale – come Argon2id o scrypt – per rendere più difficile un attacco brutale.
Si suggerisce anche di usare un sale (salt) lungo (almeno 128 bit, unico per ogni password) prima dell’hashing. In sintesi: password non leggibili in chiaro, hashing con algoritmi attuali e parametri sicuri, e gestione attenta di sale e “pepper” riducono drasticamente il rischio che le credenziali rubate vengano sfruttate.

Le password più usate (e pericolose) in Italia

Purtroppo molti utenti continuano a scegliere password semplicissime. In base a un’analisi di NordPass, la classifica italiana 2024 delle password più utilizzate riporta in testa “admin” seguito da “123456”, “password”, “12345678”, “qwerty” e altre stringhe similari.

Sono tutte password debolissime, facilmente indovinabili in pochi secondi con attacchi automatizzati. Anche altri report hanno rilevato scelte simili (ad esempio “123456”, “juventus”, nomi comuni come “francesco” o “andrea” risultano tra le più diffuse).

Queste combinazioni basilari vanno evitate assolutamente.

Come scegliere password efficaci

Per creare una password robusta:

• Lunghezza e unicità: puntate a una password lunga (almeno 12 caratteri) e diversa per ogni servizio. Non riutilizzate la stessa password per più account, perché una compromissione metterebbe a rischio anche gli altri. Se, ad esempio, l’elenco degli utenti e password viene esfiltrato da un sito o un app dove siete registrati (purtroppo capita molto spesso), verranno rivenduti quei dati di accesso al mercato nero e se avete usato la stessa password in un altro servizio siete a rischio.
• No a informazioni personali: evitate nome proprio, data di nascita, hobby o riferimenti facilmente reperibili. Un semplice bot automatico può leggere i vostri profili social pubblici e catalogare facilmente un numero incredibile di informazioni personali. Questi dati sono i primi che un attaccante proverà.
• Varietà nei caratteri: se possibile, integrate lettere maiuscole e minuscole, numeri e qualche simbolo. Tuttavia, ricorda che la lunghezza è più importante della complessità obbligata.
• Passphrase: utilizzare frasi composte da parole casuali (es. “CaffèSenzaZuccher0!”) garantisce lunghezza e memorizzabilità.
• Router Wi-Fi: cambia subito la password predefinita del router. Quella del produttore è spesso banale e nota agli hacker in quanto generata da un algoritmo noto. Accedi all’interfaccia del router (di solito via browser a 192.168.x.x), modifica le credenziali di accesso amministrative e imposta una nuova chiave Wi-Fi robusta (almeno 12 caratteri con lettere, numeri e simboli). Consulta il nostro articolo approfondito.

Password manager e autenticazione a due fattori

Per gestire in sicurezza numerose password uniche, i gestori di password (password manager) sono una risorsa preziosa. Questi software dedicati generano, memorizzano e compilano automaticamente password complesse, nascondendole dietro un’unica master password o autenticazione biometrica. Al contrario di semplici “salva password” del browser, offrono maggiori protezioni integrando, ad esempio, cifratura locale.
Usare un password manager significa non dover ricordare ogni password e poterle rendere tutte forti e diverse.

Allo stesso modo, attivate sempre che potete l’autenticazione a due fattori (2FA): accedere a un account non richiede solo la password, ma anche un codice temporaneo inviato via SMS o generato da un’app di autenticazione, o un dato biometrico. Questo secondo passo protegge l’account anche se la password viene rubata.
In pratica, password forti e un secondo fattore di login sono il metodo più efficace per tenere al sicuro i vostri dati.

Passkey: l’autenticazione senza password

Una tecnologia emergente è l’autenticazione senza password basata su passkey. Con questo metodo, al momento della registrazione un dispositivo (computer o smartphone) genera una coppia di chiavi crittografiche univoca. Solo la chiave pubblica viene inviata al server, mentre quella privata resta custodita sul dispositivo. In questo modo non si digitano né si trasmettono password su Internet, eliminando il rischio di phishing o furto di credenziali.

Lo standard FIDO2/WebAuthn su cui si basano le passkey garantisce alti livelli di sicurezza: una volta abilitata la passkey (ad esempio con impronta digitale o riconoscimento facciale sul dispositivo), l’accesso avviene “in background” e nessun codice segreto viaggia in rete.

Sebbene non tutti i servizi lo supportino ancora, questa modalità rappresenta il futuro della sicurezza delle autenticazioni.

Strumenti per verificare le tue credenziali

Per sapere se le tue credenziali sono state compromesse, puoi usare strumenti affidabili di controllo delle fughe di dati. Un esempio molto noto è “Have I Been Pwned”: si tratta di un database gestito dall’esperto Troy Hunt con oltre 2 miliardi di account compromessi.

Basta inserire il tuo indirizzo email o username e il sistema ti segnala se è comparso in qualche violazione passata

Il servizio offre anche notifiche automatiche in caso di nuovi leak. Molti password manager o browser (come Chrome o Firefox) integrano funzioni simili di “controllo password” che avvisano se le tue credenziali sono state esposte. Utilizza sempre questi strumenti per monitorare la sicurezza dei tuoi account, cambiando immediatamente la password se risulta coinvolta in un attacco.

Conclusioni: custodisci le tue password

In sintesi, la sicurezza dei dati comincia da una buona gestione delle password. Seguendo le linee guida NIST e ACN, ricordiamoci di creare credenziali lunghe, uniche e non basate su informazioni comuni, e di affiancare sempre un ulteriore fattore di autenticazione.

Passare a soluzioni moderne come passkey e utilizzare i gestori di password aiutano a ridurre l’errore umano e le esposizioni. In questo World Password Day, prenditi un momento per verificare e rinnovare le tue password: una password lunga e unica, combinata con l’autenticazione a due fattori, è il modo migliore per tenere al sicuro i tuoi dati.

Se hai altre curiosità sull’argomento segui i nostri canali social: Facebook, Instagram, TikTok e YouTube dove pubblichiamo periodicamente guide e suggerimenti per sfruttare al meglio la tua connessione.

aFibra AntennADSL fornisce internet senza linea fissa ad alta in velocità anche nelle zone non coperte da fibra grazie alla tecnologia FWA e connessioni in pura fibra FTTH su rete Open Fiber.

Per verificare se la tua casa o la tua attività sono coperte dal nostro servizio clicca su: Verifica Copertura

Scopri le nostre promozioni per internet senza linea fissa in Fibra-Radio per privati o aziende.

Per maggiori informazioni contattaci via email, WhatsApp o chiamaci al numero 0761/17.62.900