RUNWEBTOOLS
Italiano
Sicurezza & privacy

Come creare e gestire password robuste

Aggiornato 2026-07-06

Quasi tutti sanno che dovrebbero usare password robuste, eppure le più comuni sono ancora 123456 e password. Parte del problema sono i cattivi consigli: per anni ci hanno detto di usare un breve guazzabuglio di simboli e cambiarlo ogni mese, cosa che si rivela sia difficile da ricordare sia non particolarmente sicura. Questa guida spiega cosa rende davvero robusta una password e come gestirle senza impazzire.

Cosa rende robusta una password

Una password è robusta quando è difficile da indovinare e difficile da forzare a forza bruta — quando le possibilità sono così tante che provarle tutte è impraticabile. Due cose lo determinano: la lunghezza e l'imprevedibilità.

La lunghezza batte la complessità

Ogni carattere in più moltiplica il numero di password possibili, quindi la lunghezza è di gran lunga il fattore più potente. Una lunga passphrase di parole ordinarie è molto più robusta di una breve stringa criptica — e molto più facile da ricordare:

Più debole:  P@ss1!        (8 caratteri, sembra "complessa")
Più robusta: correct-horse-battery-staple   (lunga)

Quella criptica è più debole perché gli attaccanti conoscono tutti i soliti trucchi — sostituire a con @, aggiungere 1! alla fine — e il loro software prova prima quei pattern. La pura lunghezza batte le sostituzioni prevedibili.

Imprevedibilità (entropia)

L'altra metà è la casualità. Una password fatta di un mix davvero casuale di caratteri o di parole scelte a caso ha alta entropia — una misura di quanto è imprevedibile. Qualsiasi cosa basata su dettagli personali (il tuo nome, compleanno, animale, squadra del cuore) ha bassa entropia perché è indovinabile, anche se sembra disordinata.

Come gli attaccanti violano davvero le password

Capire la minaccia fa quadrare il consiglio:

  • Credential stuffing — quando un sito viene violato, gli attaccanti provano le coppie email/password trafugate su ogni altro sito. Ecco perché riutilizzare le password è così pericoloso.
  • Attacchi a dizionario — provare elenchi di password e parole comuni, incluse le sostituzioni prevedibili di cui sopra.
  • Forza bruta — provare ogni combinazione. La lunghezza è ciò che rende questo senza speranza per l'attaccante.

Le tre regole che contano di più

  1. Falle lunghe — punta a 16+ caratteri o a una passphrase di più parole.
  2. Rendi ognuna unica — non riutilizzare mai una password tra i siti, così una violazione non apre le altre.
  3. Rendile casuali — non basarle su nulla che ti riguardi.

Un modo rapido per generarne una che soddisfi tutte e tre è il nostro generatore di password: crea password casuali robuste interamente nel tuo browser (nulla viene inviato da nessuna parte) e ti fa regolare lunghezza e tipi di carattere. Per segreti da macchina a macchina come le chiavi API, un generatore di stringhe casuali fa lo stesso lavoro.

Come ricordarle tutte: non farlo

Le regole sopra sono impossibili da seguire a memoria su decine di account — ed è esattamente per questo che le persone riutilizzano le password. La risposta è smettere di provare a ricordarle:

  • Usa un gestore di password. Genera, memorizza e compila una password robusta e unica per ogni sito, e tu ricordi solo una password principale robusta.
  • Attiva l'autenticazione a due fattori (2FA). Anche se una password trapela, un secondo fattore (un codice dell'app o una chiave hardware) impedisce all'attaccante di accedere. Attivala ovunque sia offerta, soprattutto per email e banca.
  • Proteggi la tua email sopra ogni cosa. Il tuo account email può reimpostare la maggior parte delle altre password, quindi merita la tua password unica più lunga e la 2FA.

Cosa puoi smettere di fare

Le linee guida di sicurezza moderne (incluse quelle del NIST) hanno abbandonato due vecchie abitudini: i cambi periodici forzati (spingono le persone verso varianti deboli e prevedibili) e le regole obbligatorie di simboli/numeri come sostituto della lunghezza. Cambia una password quando c'è un motivo — una violazione, un dispositivo condiviso — non in base al calendario. Concentra le energie su lunghezza, unicità e un gestore di password, e sarai davanti alla stragrande maggioranza degli account online.

Altro su Sicurezza & privacy

Vedi tutte le guide di Sicurezza & privacy →

Strumenti citati in questa guida