Le password sembrano un residuo del passato digitale, eppure restano una delle principali barriere tra gli utenti e il furto di account, dati personali, profili social, email e servizi bancari. La crescita delle passkey, dell’autenticazione biometrica e dei sistemi senza password non ha ancora eliminato la necessità di creare credenziali robuste, uniche e difficili da indovinare.
Un approfondimento pubblicato da Panda Security il 15 aprile 2026 riporta nove strategie pratiche per creare password sicure ma facili da ricordare: acronimi ricavati da frasi personali, passphrase composte da parole casuali, generatori di password, autenticazione a due fattori e uso di password manager. Il punto centrale è chiaro: la sicurezza non dipende da una formula magica, ma da un insieme di abitudini coerenti.
Il problema delle password deboli
Le password deboli restano uno dei bersagli più semplici per i criminali informatici. Date di nascita, nomi di animali, parole comuni, squadre del cuore e sequenze come “123456” hanno un difetto evidente: possono comparire nei profili social, nei vecchi data breach o nei dizionari usati dagli strumenti automatici di attacco.
Il rischio cresce quando la stessa password viene usata per più servizi. Se un sito subisce una violazione e le credenziali finiscono online, gli attaccanti possono provare la stessa combinazione email-password su caselle di posta, piattaforme social, e-commerce e servizi cloud. È il meccanismo alla base del credential stuffing, una tecnica che sfrutta il riuso delle credenziali invece di forzare ogni singolo account da zero.
Il problema non è teorico. Una ricerca della FIDO Alliance pubblicata nel 2025 indica che il 36% degli intervistati ha subito almeno una compromissione di account a causa di password deboli o rubate. Lo stesso report segnala che il 48% ha abbandonato un acquisto online dopo aver dimenticato la password. Il dato descrive bene il nodo: sicurezza e usabilità devono convivere, altrimenti gli utenti adottano scorciatoie rischiose.
La password sicura oggi: lunga, unica, casuale
Per anni agli utenti è stato chiesto di creare password con maiuscole, numeri e simboli, spesso con cambio obbligatorio ogni 60 o 90 giorni. Le linee guida moderne hanno spostato l’attenzione. La priorità è la lunghezza, poi arrivano unicità e casualità.
Il NIST, nelle linee guida SP 800-63B, indica che i servizi non dovrebbero imporre regole arbitrarie di composizione, come l’obbligo di usare un certo mix di caratteri, e non dovrebbero richiedere cambi periodici della password senza evidenza di compromissione. La rotazione forzata può portare a varianti prevedibili, come l’aggiunta di un numero finale.
Anche OWASP raccomanda controlli basati su password lunghe, assenza di tagli silenziosi, possibilità di usare passphrase, blocco delle password comuni o già comparse in violazioni note e uso della MFA. Le password inferiori a 8 caratteri sono considerate deboli con MFA attiva; senza MFA, OWASP indica come deboli quelle sotto i 15 caratteri.
Passphrase: perché più parole casuali aiutano davvero
Una soluzione pratica è la passphrase, cioè una sequenza di parole casuali facile da ricordare per l’utente e difficile da indovinare per un attaccante. Il National Cyber Security Centre britannico consiglia l’uso di tre parole casuali perché aumenta la lunghezza della password e resta più gestibile per la memoria rispetto a sequenze complesse di caratteri.
Il metodo funziona se le parole sono davvero scollegate tra loro. Una frase come “CaneCasaRoma2026” è debole se contiene elementi personali o prevedibili. Una combinazione più efficace può nascere da parole non correlate, magari con un separatore e una lunghezza adeguata. L’obiettivo non è creare qualcosa di “furbo”, ma qualcosa che resista agli attacchi automatici.
Il NCSC avverte anche che le sostituzioni più note, come la “o” al posto dello zero o la “a” al posto della chiocciola, sono conosciute dagli attaccanti. Questi trucchi possono complicare la vita all’utente senza aumentare davvero la sicurezza in modo significativo.
Il ruolo del password manager
Il consiglio più solido resta l’uso di un password manager affidabile. Un gestore di password permette di creare credenziali lunghe e casuali per ogni account, archiviarle in una cassaforte cifrata e compilarle nei moduli di accesso. L’utente deve ricordare una sola password principale, che a sua volta deve essere lunga, unica e protetta con autenticazione multifattore.
Questa scelta riduce il riuso delle credenziali, uno dei comportamenti più pericolosi. Permette anche di aggiornare rapidamente le password esposte in un data breach e di individuare account con credenziali deboli o duplicate. Le password salvate in note, fogli di calcolo, chat personali o email inviate a sé stessi rappresentano un bersaglio molto più fragile.
Il password manager non elimina ogni rischio. Come ogni software, va scelto con attenzione, aggiornato e protetto con MFA. Tuttavia, per la maggior parte degli utenti, resta una soluzione più sicura rispetto alla memorizzazione manuale di decine di password diverse.
L’autenticazione a due fattori non è opzionale
Una password forte può essere rubata tramite phishing, malware, keylogger o data breach. Per questo la MFA, spesso chiamata anche 2FA, deve essere attiva almeno sugli account principali: email, banca, social network, cloud, strumenti di lavoro e servizi collegati ai pagamenti.
La MFA aggiunge un secondo passaggio di verifica: app di autenticazione, notifica sul dispositivo, chiave fisica di sicurezza, biometria o codice temporaneo. Secondo CISA, l’autenticazione multifattore rende l’accesso molto più sicuro perché richiede un controllo ulteriore oltre alla password.
Non tutti i metodi hanno lo stesso livello di protezione. I codici via SMS sono meglio di nessuna MFA, ma possono essere esposti a SIM swap, intercettazioni o phishing in tempo reale. Per gli account più sensibili, le app di autenticazione e le chiavi hardware offrono un livello più solido.
Passkey: il futuro senza password è già iniziato, ma non basta ancora
Le passkey rappresentano una delle evoluzioni più importanti dell’autenticazione. Al posto della password, l’accesso avviene tramite una coppia di chiavi crittografiche: una resta sul dispositivo dell’utente, l’altra viene registrata dal servizio. L’utente conferma l’accesso con impronta, riconoscimento del volto, PIN o altro metodo locale.
Il vantaggio principale è la resistenza al phishing. Una passkey è legata al dominio del servizio e non può essere inserita per errore in una pagina falsa come avviene con una password tradizionale. FIDO Alliance segnala una crescita dell’adozione delle passkey tra utenti e piattaforme, ma le password restano ancora necessarie per molti account e procedure di recupero.
Per questo la strategia più realistica oggi è ibrida: usare passkey dove disponibili, mantenere password uniche e robuste dove servono ancora, proteggere tutto con MFA e conservare le credenziali in un password manager.
Cosa devono fare aziende e sviluppatori
Il tema non riguarda soltanto gli utenti. Le aziende devono abbandonare policy obsolete che obbligano a password complesse ma brevi, cambi periodici senza motivo e limiti che impediscono l’uso di passphrase. Un buon sistema dovrebbe accettare password lunghe, bloccare quelle presenti in elenchi di credenziali violate, attivare controlli anti brute-force e proporre MFA in modo chiaro.
Sul piano tecnico, le password non devono mai essere salvate in chiaro. OWASP raccomanda l’uso di algoritmi moderni e adattivi per l’hashing delle password, come Argon2id, scrypt, bcrypt o PBKDF2 in contesti specifici. Il salting rende più difficile il cracking massivo perché aggiunge un valore casuale e unico a ogni password prima dell’hash.
La sicurezza delle password, quindi, non dipende solo dall’utente finale. Serve un ecosistema coerente: interfacce chiare, controlli anti-abuso, recupero account sicuro, MFA, protezione delle sessioni e archiviazione corretta delle credenziali.
Regole pratiche per non sbagliare
Una password sicura dovrebbe essere lunga, unica e non basata su informazioni personali. Per gli account poco sensibili può bastare una passphrase ben costruita; per email, banca, social e lavoro è meglio usare password casuali generate da un password manager.
Ogni account deve avere una credenziale diversa. La password principale del password manager merita particolare attenzione: deve essere lunga, memorabile, non riutilizzata altrove e protetta con MFA. In caso di sospetto accesso non autorizzato o notifica di data breach, la password va cambiata subito.
Il cambio periodico senza motivo, invece, non è più una buona regola universale. Le linee guida moderne puntano su credenziali solide fin dall’inizio, controlli contro le password compromesse e interventi mirati quando compare un rischio reale.
