IT
Torna al blog

Come creare una password sicura (nel modo giusto)

Per creare una password sicura, falla lunga e casuale: punta ad almeno 16 caratteri generati da una fonte crittograficamente sicura, e usane una diversa per ogni account. Sono la lunghezza e l’imprevedibilità a fermare davvero gli aggressori, non il numero di punti esclamativi che ci infili. Il modo più rapido per ottenerne una è lasciare che la costruisca uno strumento al posto tuo, come il Generatore di password di Andev, che crea le password direttamente nel tuo browser e non le invia mai da nessuna parte.

Grafico che confronta la difficoltà di violazione delle password: una password corta e complessa contro una più lunga e casuale, mostrando che la lunghezza aumenta i tentativi necessari molto più dei simboli aggiunti

Cosa rende davvero sicura una password

Una password è sicura quando è difficile da indovinare e difficile da forzare con la forza bruta. Due fattori guidano questo:

  • La lunghezza. Ogni carattere in più moltiplica il numero di combinazioni possibili che un aggressore deve provare. Questa moltiplicazione è esponenziale, quindi ogni carattere che aggiungi conta più del precedente.
  • La casualità. I caratteri devono essere genuinamente imprevedibili. Una password costruita da una parola, un nome, una data di nascita o uno schema sulla tastiera è facile da indovinare per un software, per quanto lunga possa sembrare.

In parole semplici: una password lunga e casuale è sicura. Una corta e “ingegnosa” non lo è. Tutto il resto — quali simboli usi, dove metti la lettera maiuscola — è un dettaglio trascurabile rispetto a questi due fattori.

Il mito lunghezza contro complessità

Per anni il consiglio standard è stato “usa una password complessa”: mescola maiuscole, minuscole, numeri e simboli. Quel consiglio ha prodotto password come P@ssw0rd!, che sembrano complesse ma sono in realtà deboli, perché gli aggressori conoscono esattamente le sostituzioni che fanno le persone (la a diventa @, la o diventa 0, un punto esclamativo finisce in fondo).

La matematica racconta una storia più chiara. Aggiungere un carattere in più a una password moltiplica il numero di tentativi di cui ha bisogno un aggressore per la dimensione del tuo set di caratteri. Aggiungere un simbolo speciale allarga quel set solo di poco. Quindi una password più lunga batte quasi sempre una più corta e “complessa”: come mostra il grafico qui sopra, la lunghezza spinge la difficoltà verso l’alto molto più in fretta che spargere qua e là un po’ di punteggiatura.

È per questo che una passphrase di diverse parole casuali può essere allo stesso tempo sicura e memorabile. Una sequenza di parole scelte a caso e non correlate è lunga, difficile da indovinare e più facile da digitare di un muro di simboli. La parola chiave è casuale: una frase che hai scelto perché per te ha un significato è esattamente il genere di cosa che la wordlist di un aggressore contiene già.

Le regole di complessità hanno comunque il loro posto

Molti siti impongono un mix di tipi di carattere, e una password generata soddisferà comunque quelle regole. Il punto non è evitare i simboli, ma smettere di affidarsi a essi come fonte di sicurezza. Imposta bene prima la lunghezza e la casualità, e la complessità si sistema da sé.

Perché “generarla” batte “inventarsene una”

Gli esseri umani sono pessimi generatori di numeri casuali. Ci aggrappiamo a parole, date, nomi di animali domestici e schemi, e ci ripetiamo da un account all’altro. Gli aggressori sfruttano proprio queste abitudini.

Un buon generatore elimina l’incertezza attingendo a una fonte di casualità crittograficamente sicura. In un browser, quella fonte è la Web Crypto API, nello specifico crypto.getRandomValues(), progettata per essere imprevedibile. È molto diverso dalle semplici funzioni “casuali” usate per cose come mischiare una playlist, che sono abbastanza prevedibili da non dover mai essere usate per la sicurezza.

Il Generatore di password di Andev è costruito esattamente su questo. Produce le password in locale, nel tuo browser, usando la Web Crypto API. Poiché il lavoro avviene sul tuo dispositivo, la password generata non viene mai inviata da nessuna parte: non c’è alcun server che la veda, la registri o possa lasciarla trapelare. Ottieni una password sicura senza affidare il risultato a terze parti.

Una checklist pratica

Segui questi punti e avrai coperto le cose che contano davvero:

  • Vai sul lungo. Usa almeno 16 caratteri. Più è meglio, e il costo per te è quasi nullo una volta che a digitare ci pensano un generatore e un gestore di password.
  • Rendila casuale. Generala da una fonte crittograficamente sicura anziché inventartene una da solo.
  • Non basarla mai su informazioni personali. Niente nomi, date di nascita, indirizzi, squadre del cuore o qualsiasi cosa che qualcuno potrebbe trovare o indovinare su di te.
  • Usa una password unica per ogni sito. Un account per ogni password. Se un singolo sito viene violato, il danno si ferma lì.
  • Non riutilizzare mai le password. Il riutilizzo è il modo in cui una sola password trapelata si trasforma in molti account compromessi tramite il “credential stuffing”, in cui gli aggressori riutilizzano le credenziali trapelate su altri siti.
  • Conservale in un gestore di password. Non sei tenuto a memorizzare decine di stringhe casuali da 16 caratteri: è il lavoro del gestore. Le compila anche al posto tuo, così la lunghezza smette di essere un fastidio.
  • Attiva l’autenticazione a due fattori (2FA). Una password sicura è la tua prima linea di difesa; la 2FA è una seconda serratura che regge anche se la password viene in qualche modo esposta.

Come crearne una in pochi secondi

  1. Apri il Generatore di password.
  2. Imposta la lunghezza a 16 o più (più lunga per gli account a cui tieni davvero).
  3. Scegli i tipi di carattere che vuoi: alla maggior parte dei siti va bene un mix completo.
  4. Copia la password generata nel tuo gestore di password mentre crei o aggiorni l’account.
  5. Attiva la 2FA ovunque l’account la offra.

Questo è l’intero flusso di lavoro. Il generatore si occupa della casualità, il gestore di password si occupa della memoria, e tu non dovrai mai più inventare o riutilizzare una password.

Una nota sugli strumenti correlati

Password e hash sono facili da confondere, quindi vale la pena chiarire: una password è un segreto che custodisci e riutilizzi per accedere, mentre un hash è un’impronta a senso unico di alcuni dati, spesso usata per verificarne l’integrità più che per autenticarti. Se devi produrre un checksum di un file o di una stringa, è un compito per un generatore di hash, non un sostituto di una password sicura e unica. Non incollare le tue password in uno strumento di hashing aspettandoti che le renda sicure da conservare; non è questo che comporta l’hashing di una password per l’accesso a un account.

Punti chiave

  • Lunghezza e casualità vincono. Sono gli unici due fattori che decidono in modo significativo quanto è difficile violare una password.
  • Il mito della complessità è solo questo: un mito. Una passphrase lunga e casuale batte ogni volta una password corta e “complessa” come P@ssw0rd!.
  • Lascia che la generi uno strumento sicuro. Usa una fonte costruita sul crypto.getRandomValues() della Web Crypto API, non una stringa indovinabile o scelta da un essere umano.
  • Una password unica per ogni sito, ogni volta. Non riutilizzarle mai, non basarle mai su informazioni personali e conservale in un gestore di password.
  • Aggiungi una seconda serratura. Attiva l’autenticazione a due fattori, così una singola password esposta non significa fine dei giochi.

Rendi sicura la tua prossima password

Il Generatore di password è gratuito, non richiede registrazione e funziona interamente nel tuo browser: la tua password viene costruita in locale con la Web Crypto API e non lascia mai il tuo dispositivo. Genera una password casuale da 16 caratteri con un clic, inseriscila nel tuo gestore di password ed esplora il resto degli strumenti privati di Andev nel browser per altre attività di sicurezza svolte nello stesso modo riservato.