Come gestire le password è una di quelle questioni che fa venire il mal di testa a chiunque abbia una vita digitale anche solo minimamente attiva. Crearle, ricordarle, cambiarle periodicamente: un’attività noiosa, certo, ma assolutamente necessaria. Ogni giorno si inseriscono decine di credenziali, dalla posta elettronica ai servizi di streaming, passando per i social e l’home banking. C’è chi ancora le appunta su un’agendina di carta, e c’è chi invece si affida alle funzioni integrate nei browser o nei sistemi operativi, oppure a strumenti più evoluti come i password manager. Una cosa è chiara: gli strumenti da soli non bastano. Servono anche abitudini migliori per ridurre in modo drastico il rischio di furti di identità, phishing e accessi non autorizzati.
Ogni anno viene stilata la classifica delle password più usate in Italia, e il risultato è puntualmente scoraggiante: sul podio ci sono ancora “admin”, “password” e “123456”. Significa che un qualsiasi truffatore informatico può violare moltissimi account con pochissimo sforzo, visto che nella maggior parte dei casi il login coincide semplicemente con la mail dell’utente. Con la diffusione dell’intelligenza artificiale generativa le cose si sono complicate ulteriormente, almeno dal punto di vista della sicurezza. Le persone tendono a usare password brevi, con parole comuni, date, nomi propri o sequenze numeriche banali. E le IA possono essere addestrate a individuare le combinazioni più ricorrenti, sfruttando banche dati rubate e data breach già noti, rendendo gli attacchi più veloci e mirati.
Per questo sarebbe fondamentale creare password lunghe, complesse, con composizioni alfanumeriche casuali e caratteri speciali. Non si dovrebbe riuscire a ricavarne un significato o un collegamento con la propria identità personale. Il problema, ovviamente, è che più una password è complessa e più è facile dimenticarla. E poi c’è un’altra regola d’oro: non usare mai la stessa password per più servizi. Se venisse violata una sola volta, la compromissione potrebbe estendersi a macchia d’olio.
Le soluzioni integrate nei browser e nei sistemi operativi
Browser come Chrome, Safari, Firefox ed Edge, così come i sistemi operativi Windows, MacOS, Android e iOS, offrono già funzioni di creazione, memorizzazione e gestione delle password. Senza installare nulla, permettono di alzare il livello di sicurezza in modo piuttosto agevole. Durante la prima registrazione su un sito, suggeriscono di salvare username e password, per poi riempire automaticamente i campi di login nelle visite successive. Per chi volesse approfondire, basta cercare nelle Impostazioni una voce legata alla sicurezza o alle password.
Alcuni browser e sistemi operativi includono anche un generatore di password, un sistema di verifica delle credenziali compromesse e suggerimenti per cambiarle quando risultano troppo deboli o presenti in leak noti. La comodità è il punto forte di queste soluzioni. I limiti, però, esistono: spesso mancano funzionalità avanzate come audit dettagliati, condivisione sicura tra utenti o supporto alle passkey. La gestione su più dispositivi può risultare macchinosa e, in molti casi, la sicurezza dipende quasi interamente dall’account principale (Google, Microsoft, Apple), con meno controllo sulla chiave di cifratura rispetto a strumenti dedicati.
Password manager e autenticazione a due fattori: il livello successivo
I password manager più noti, come LastPass, 1Password, Bitwarden e NordPass, funzionano come una vera e propria cassaforte digitale cifrata. Archiviano password, username, note sicure, carte di pagamento, documenti e persino codici per l’autenticazione a due fattori (2FA), proteggendo tutto con una master password (o biometria) e crittografia robusta. Si installano sul dispositivo, si sbloccano tramite login oppure riconoscimento biometrico, e da quel momento in poi suggeriscono password complesse per ogni nuovo account o richiamano automaticamente quelle già salvate.
Ne esistono diverse tipologie: alcuni sincronizzano i dati tra dispositivi tramite server cifrati end to end, altri mantengono tutto in locale senza inviare nulla a server remoti, altri ancora combinano un’app con un dispositivo fisico per custodire le chiavi crittografiche. Il vantaggio principale è la possibilità di gestire molti account con password uniche e complesse. L’unico svantaggio reale è che, se si perde la master password e si sono ignorati i metodi di recupero, in alcuni casi i dati non sono più accessibili.
L’autenticazione a due fattori aggiunge un ulteriore livello di protezione, già implementato da moltissimi servizi tra cui l’home banking. Dopo aver inserito le credenziali, il sistema chiede un secondo fattore di verifica: può essere un codice a 6 cifre generato da un’app come Google Authenticator o Microsoft Authenticator, un codice ricevuto via SMS o email, oppure l’uso di un dispositivo fisico come una chiave di sicurezza FIDO2. Per attivarla basta accedere alle impostazioni del servizio e seguire la procedura guidata. Da tenere a mente: i codici via SMS sono meno sicuri rispetto alle app autenticatrici o alle chiavi fisiche, perché possono essere intercettati o clonati tramite attacchi telefonici.