Come creare e gestire password robuste
Aggiornato 2026-07-06
Quasi tutti sanno che dovrebbero usare password robuste, eppure le più comuni sono ancora 123456 e password. Parte del problema sono i cattivi consigli: per anni ci hanno detto di usare un breve guazzabuglio di simboli e cambiarlo ogni mese, cosa che si rivela sia difficile da ricordare sia non particolarmente sicura. Questa guida spiega cosa rende davvero robusta una password e come gestirle senza impazzire.
Cosa rende robusta una password
Una password è robusta quando è difficile da indovinare e difficile da forzare a forza bruta — quando le possibilità sono così tante che provarle tutte è impraticabile. Due cose lo determinano: la lunghezza e l'imprevedibilità.
La lunghezza batte la complessità
Ogni carattere in più moltiplica il numero di password possibili, quindi la lunghezza è di gran lunga il fattore più potente. Una lunga passphrase di parole ordinarie è molto più robusta di una breve stringa criptica — e molto più facile da ricordare:
Più debole: P@ss1! (8 caratteri, sembra "complessa") Più robusta: correct-horse-battery-staple (lunga)
Quella criptica è più debole perché gli attaccanti conoscono tutti i soliti trucchi — sostituire a con @, aggiungere 1! alla fine — e il loro software prova prima quei pattern. La pura lunghezza batte le sostituzioni prevedibili.
Imprevedibilità (entropia)
L'altra metà è la casualità. Una password fatta di un mix davvero casuale di caratteri o di parole scelte a caso ha alta entropia — una misura di quanto è imprevedibile. Qualsiasi cosa basata su dettagli personali (il tuo nome, compleanno, animale, squadra del cuore) ha bassa entropia perché è indovinabile, anche se sembra disordinata.
Come gli attaccanti violano davvero le password
Capire la minaccia fa quadrare il consiglio:
- Credential stuffing — quando un sito viene violato, gli attaccanti provano le coppie email/password trafugate su ogni altro sito. Ecco perché riutilizzare le password è così pericoloso.
- Attacchi a dizionario — provare elenchi di password e parole comuni, incluse le sostituzioni prevedibili di cui sopra.
- Forza bruta — provare ogni combinazione. La lunghezza è ciò che rende questo senza speranza per l'attaccante.
Le tre regole che contano di più
- Falle lunghe — punta a 16+ caratteri o a una passphrase di più parole.
- Rendi ognuna unica — non riutilizzare mai una password tra i siti, così una violazione non apre le altre.
- Rendile casuali — non basarle su nulla che ti riguardi.
Un modo rapido per generarne una che soddisfi tutte e tre è il nostro generatore di password: crea password casuali robuste interamente nel tuo browser (nulla viene inviato da nessuna parte) e ti fa regolare lunghezza e tipi di carattere. Per segreti da macchina a macchina come le chiavi API, un generatore di stringhe casuali fa lo stesso lavoro.
Come ricordarle tutte: non farlo
Le regole sopra sono impossibili da seguire a memoria su decine di account — ed è esattamente per questo che le persone riutilizzano le password. La risposta è smettere di provare a ricordarle:
- Usa un gestore di password. Genera, memorizza e compila una password robusta e unica per ogni sito, e tu ricordi solo una password principale robusta.
- Attiva l'autenticazione a due fattori (2FA). Anche se una password trapela, un secondo fattore (un codice dell'app o una chiave hardware) impedisce all'attaccante di accedere. Attivala ovunque sia offerta, soprattutto per email e banca.
- Proteggi la tua email sopra ogni cosa. Il tuo account email può reimpostare la maggior parte delle altre password, quindi merita la tua password unica più lunga e la 2FA.
Cosa puoi smettere di fare
Le linee guida di sicurezza moderne (incluse quelle del NIST) hanno abbandonato due vecchie abitudini: i cambi periodici forzati (spingono le persone verso varianti deboli e prevedibili) e le regole obbligatorie di simboli/numeri come sostituto della lunghezza. Cambia una password quando c'è un motivo — una violazione, un dispositivo condiviso — non in base al calendario. Concentra le energie su lunghezza, unicità e un gestore di password, e sarai davanti alla stragrande maggioranza degli account online.
Altro su Sicurezza & privacy
Vedi tutte le guide di Sicurezza & privacy →Strumenti citati in questa guida