La sicurezza delle password nel 2026 è molto più difficile rispetto a 5 anni fa. La combinazione di cracking basato sull’intelligenza artificiale, violazioni di dati di massa e attacchi di credential stuffing significa che la maggior parte delle password “sicure” sono già compromesse.
La verità sulle password:
- La password media è presente in 47 violazioni dei dati note (controlla la tua su Sono stato preso in giro)
- Le password di 8 caratteri con lettere maiuscole e minuscole + numeri + simboli si rompono in 39 minuti sulle GPU moderne
- Le password casuali di 16 caratteri impiegano più di 5 miliardi di anni per essere decifrate
- La cosa più importante è la LUNGHEZZA, non la complessità
La strategia a 3 livelli:
Livello 1: account critici (servizi bancari, posta elettronica, gestione password)
- Utilizza una password casuale univoca composta da oltre 25 caratteri
- Abilita 2FA con un'app di autenticazione (Authy, Aegis) - NON SMS
- Per email e servizi bancari, abilita anche una chiave di sicurezza hardware (YubiKey 5 — $50)
- Cambiare ogni 12 mesi
Livello 2: Account importanti (acquisti, social media, lavoro)
- Password casuali univoche di 18 caratteri
- 2FA abilitato
- Generato dal gestore password
Livello 3: account di basso valore (forum, strumenti gratuiti, iscrizioni una tantum)
- Password casuali univoche di 15 caratteri (ancora gestite dal gestore password)
- Salta 2FA se non viene offerto facilmente
- Utilizza alias email (SimpleLogin, Apple Hide My Email) per limitare l'esposizione
Gestori di password che vale la pena utilizzare:
- 1Password ($ 36/anno) – il migliore in assoluto, condivisione in famiglia, note sicure
- Bitwarden ($ 10/anno o gratuito) – open source, meno raffinato ma affidabile
- Portachiavi Apple (gratuito): va bene se sei un ecosistema Apple al 100%.
- NON LastPass (violazioni multiple, perdita di fiducia)
Autenticazione a due fattori classificata:
1. Chiave di sicurezza hardware (YubiKey, Titan): a prova di phishing
2. App di autenticazione (Authy, Aegis, 1Password TOTP)
3. SMS (vulnerabile allo scambio di SIM: da utilizzare solo se non c'è nient'altro disponibile)
4. 2FA basato su email (meglio di niente)
Miglior generatore di password gratuito: Generatore di password Wikishopline - genera password casuali sicure nel tuo browser, mai memorizzate, nessuna registrazione.
Miti comuni sfatati:
- "Cambia password ogni 90 giorni" → linea guida NIST obsoleta, più dannosa che utile
- "Non annotare le password" → va bene se bloccate fisicamente, ma non archiviarle digitalmente non crittografate
- "Misto maiuscole e simboli + rendono le password sicure" → la lunghezza conta molto di più
- "La compilazione automatica del browser va bene" → ok per gli account a basso rischio; usa un vero gestore di password per quelle importanti
Cosa fare in caso di violazione:
1. Controlla Sono stato preso in giro — identifica quali siti
2. Cambia la password sul sito violato + qualsiasi altro sito che utilizza la stessa password
3. Abilita 2FA su tutti gli account importanti
4. Corri Sono stato sottoposto al controllo della password per vedere se la TUA password appare specificamente nelle violazioni