Come creare password sicure nel 2026: guida completa

Nonostante la diffusione della biometria e delle passkey, le password rimangono il metodo di autenticazione principale per la stragrande maggioranza degli account online. Secondo il rapporto Verizon Data Breach Investigations 2025, oltre l'80% delle violazioni legate all'hacking coinvolgono credenziali deboli o rubate. Ciò significa che la vostra password è spesso l'unica barriera tra i vostri dati privati e un attaccante.

Gli attaccanti moderni utilizzano strumenti di forza bruta accelerati dalla GPU che possono testare miliardi di combinazioni di password al secondo. Una semplice password di 8 caratteri minuscoli può essere decifrata in meno di 5 minuti. Tuttavia, una password ben costruita di 16 caratteri con tipi di caratteri misti richiederebbe secoli per essere violata con la tecnologia attuale.

La buona notizia è che creare una password sicura non richiede di memorizzare stringhe casuali di caratteri. Approcci moderni come le passphrase e i gestori di password rendono la sicurezza sia accessibile che pratica. Questa guida vi accompagna attraverso ogni tecnica raccomandata dai principali standard di sicurezza.

L'entropia è una misura matematica di quanto sia imprevedibile una password. Si misura in bit: una password con 40 bit di entropia ha 2^40 (circa 1 bilione) combinazioni possibili. Gli esperti di sicurezza raccomandano generalmente un minimo di 60 bit per account standard e 80+ bit per obiettivi di alto valore come il banking o l'email.

La formula è semplice: entropia = log2(dimensione_pool^lunghezza). Una password di 12 caratteri che usa lettere maiuscole (26), minuscole (26), cifre (10) e simboli (33) attinge da un pool di 95 caratteri. Ciò dà approssimativamente 79 bit di entropia — una protezione solida contro attacchi offline.

Tuttavia, l'entropia presuppone che la password sia veramente casuale. Una password come "Password123!" utilizza tecnicamente tutte e quattro le classi di caratteri ma ha un'entropia effettiva quasi nulla perché segue uno schema prevedibile. Gli attaccanti mantengono dizionari di milioni di tali schemi comuni e li testano per primi.

Il National Institute of Standards and Technology (NIST) ha aggiornato le sue Digital Identity Guidelines (SP 800-63B) per riflettere la ricerca moderna sulla sicurezza delle password. Queste linee guida sono diventate il gold standard per le organizzazioni di tutto il mondo.

Le raccomandazioni chiave del NIST includono: consentire password fino a 64 caratteri; richiedere un minimo di 8 caratteri (12+ raccomandato); NON imporre regole di complessità arbitrarie (come richiedere maiuscola + numero + simbolo); NON richiedere cambi periodici della password a meno che non ci siano prove di compromissione; verificare le password contro liste di password violate note; e supportare la funzionalità di incolla nei campi password.

La ragione per l'abbandono delle regole di complessità è convincente: la complessità forzata porta gli utenti a creare schemi prevedibili come "Spring2026!" o "P@ssw0rd" — password che soddisfano le regole ma vengono decifrate banalmente. Invece, il NIST enfatizza lunghezza e imprevedibilità come i principali fattori di sicurezza.

Il NIST raccomanda inoltre che le organizzazioni implementino il rate limiting sui tentativi di accesso, utilizzino l'autenticazione multifattore (MFA) e memorizzino le password con hash usando algoritmi moderni come Argon2id o bcrypt con fattori di lavoro appropriati.

Una passphrase è una sequenza di parole casuali concatenate, come "correct-horse-battery-staple" (il famoso esempio XKCD). Quando generata correttamente — usando una lista di almeno 7.776 parole (come la lista EFF Diceware) — ogni parola aggiunge approssimativamente 12,9 bit di entropia.

Una passphrase di quattro parole fornisce circa 52 bit di entropia, mentre una di sei parole raggiunge circa 78 bit — comparabile a una password casuale di 12 caratteri ma molto più facile da digitare e ricordare. Per account critici, usate cinque o sei parole.

Regole importanti per le passphrase: usate un metodo di selezione veramente casuale (dadi o un generatore crittografico — non scegliete mai le parole da soli); evitate citazioni famose, testi di canzoni o titoli di libri; aggiungete un carattere separatore tra le parole (trattini, punti o spazi); e considerate di mettere in maiuscolo una parola casuale o inserire una cifra per entropia aggiuntiva senza sacrificare la memorizzabilità.

Per gli account quotidiani, usate un gestore di password per generare e memorizzare password casuali uniche di 16 o più caratteri. Il vostro gestore gestisce la complessità, così ogni password può essere massimamente casuale senza alcuno sforzo di memorizzazione.

Per la vostra password master (l'unica password che dovete memorizzare), usate il metodo passphrase: lanciate dadi o usate un generatore crittografico per selezionare 5-7 parole casuali da una grande lista. Scrivetela e conservate il foglio in un luogo fisico sicuro finché non l'avrete memorizzata, poi distruggete il foglio.

Per account dove non potete usare un gestore (come l'accesso al computer o il PIN del telefono), create una passphrase facile da digitare velocemente. Esercitatevi a digitarla più volte per sviluppare la memoria muscolare. Una frase come "acero-tuono-giraffa-presa-22" è sia forte che facile da digitare.

Non riutilizzate mai le password tra diversi account. Se un servizio subisce una violazione, gli attaccanti proveranno automaticamente quelle credenziali su centinaia di altri siti — una tecnica chiamata credential stuffing. Una password unica per ogni account limita il raggio d'impatto di qualsiasi singola violazione.

Usare informazioni personali è l'errore più comune e pericoloso. Nomi di familiari, animali domestici, compleanni, anniversari, numeri di telefono e indirizzi sono facilmente scopribili attraverso i social media. Gli attaccanti costruiscono dizionari personalizzati dai vostri dati pubblici prima di tentare qualsiasi attacco di forza bruta.

Gli schemi da tastiera come "qwerty", "123456", "zxcvbn" o "1qaz2wsx" sembrano sicuri perché appaiono casuali, ma sono tra i primi schemi testati dagli strumenti di cracking. Allo stesso modo, le sostituzioni semplici (@ per a, 3 per e, 0 per o) non aggiungono praticamente nessuna sicurezza perché ogni strumento di cracking include queste trasformazioni leet-speak.

Incrementare le password durante i cambi forzati (Password1 → Password2 → Password3) non fornisce alcun miglioramento reale della sicurezza. Se un attaccante ottiene una qualsiasi versione, può banalmente indovinare le altre. Questo è proprio il motivo per cui il NIST ora raccomanda di non imporre cambi periodici obbligatori delle password.

Un gestore di password genera, memorizza e compila automaticamente password casuali uniche per ogni account. Le opzioni principali includono 1Password, Bitwarden (open source) e KeePass (offline). Ognuno utilizza la crittografia AES-256 per proteggere il vostro vault, con la password master come chiave di decrittazione.

Il vantaggio principale è l'eliminazione completa del riutilizzo delle password. Con un gestore, ogni account ottiene una password casuale unica di 20+ caratteri. Dovete memorizzare solo una password master forte. La maggior parte dei gestori vi avvisa anche quando le password compaiono in database di violazioni note.

Scegliete un gestore che supporti i vostri dispositivi e browser, offra accesso di emergenza per contatti fidati e sia stato sottoposto a audit di sicurezza indipendenti. Bitwarden è un'eccellente opzione gratuita con codice open source che chiunque può verificare. Per i team, 1Password Business o Bitwarden Organizations offrono funzionalità di vault condiviso.

Anche la password più forte può essere compromessa tramite phishing, keylogger o violazioni lato server. L'autenticazione multifattore (MFA) aggiunge un secondo passaggio di verifica — tipicamente una password temporanea basata sul tempo (TOTP) da un'app come Google Authenticator o Authy, o una chiave di sicurezza hardware come YubiKey.

Attivate l'MFA su ogni account che lo supporta, dando priorità all'email (il vostro centro di recupero), al banking, all'archiviazione cloud e ai social media. Le chiavi di sicurezza hardware (FIDO2/WebAuthn) offrono la protezione più forte contro il phishing perché verificano il dominio effettivo del sito web prima dell'autenticazione.

Conservate i vostri codici di backup MFA nel vostro gestore di password o in un'altra posizione sicura separata. Perdere l'accesso al dispositivo MFA senza codici di backup può bloccarvi permanentemente dai vostri account.