Password sicure: perché servono davvero e quanto sono difficili da decifrare

Nel 2023, la password più usata al mondo era ancora "123456". Al secondo posto "password". Se stai leggendo questo articolo con quel senso di colpa perché ne usi una simile da qualche parte, non sei solo — ma è il momento di cambiare. Non per una questione di burocrazia informatica, ma perché capire davvero cosa succede quando una password viene "crackata" ti fa venire voglia di usarne una seria.

Perché le password semplici sono un rischio reale

Quando un servizio online viene violato (e accade molto più spesso di quanto si pensi — solo nel 2023 ci sono state oltre 3.000 violazioni significative nel mondo), gli attaccanti ottengono un database di account. Raramente le password sono salvate in chiaro: quasi sempre sono salvate come hash, una stringa cifrata.

Il problema è che gli attaccanti non devono "decifrarle" davvero: usano attacchi a dizionario e brute force per trovare quale password corrisponde a quale hash. E lo fanno a velocità astronomiche con GPU moderne.

Una RTX 4090 può testare oltre 100 miliardi di hash MD5 al secondo. Questo cambia completamente la prospettiva sulle "password sicure".

Quanto tempo serve per craccare una password?

I dati di Hive Systems (aggiornati al 2024 con hardware attuale) sono illuminanti:

| Tipo di password | Lunghezza | Tempo per craccarla | |-----------------|-----------|---------------------| | Solo numeri | 6 caratteri | Istantaneo | | Solo minuscole | 8 caratteri | 22 secondi | | Misto maiuscole+minuscole | 8 caratteri | 1 ora | | Misto + numeri | 8 caratteri | 8 ore | | Misto + numeri + simboli | 8 caratteri | 1 giorno | | Misto + numeri + simboli | 10 caratteri | 5 anni | | Misto + numeri + simboli | 12 caratteri | 3.000 anni | | Misto + numeri + simboli | 16 caratteri | Praticamente impossibile |

La lunghezza conta esponenzialmente più della complessità. Una password di 12 caratteri solo minuscole (quattordicicaratteri) richiede comunque settimane, mentre Abc1! di 5 caratteri cade in secondi.

Gli attacchi più comuni: come funzionano davvero

Attacco a dizionario

Il programma prova le parole del dizionario, i nomi comuni, le date di nascita e le loro varianti ovvie (Cane2023, marco.bianchi1, Juventus!). Se usi parole reali come base, non importa quanti simboli aggiungi: la trovi in pochi minuti.

Brute force

Prova tutte le combinazioni possibili. Con password corte, è velocissimo. Con password di 12+ caratteri misti, diventa impraticabile anche con hardware avanzato.

Credential stuffing

Prende le password leaked da altre violazioni e le prova su tutti gli altri servizi. Funziona perché la maggior parte delle persone riusa le stesse password. Se marcorossi@gmail.com con password Vacanze2022! era su un forum violato nel 2021, gli attaccanti la proveranno su Gmail, banca, Amazon, e tutto il resto.

Phishing

Non si "cracca" niente: ti convinci a inserire la password su un sito falso. La difesa non è la complessità della password ma il riconoscere il sito come falso — e usare l'autenticazione a due fattori.

Le regole per una password davvero sicura

La lunghezza prima di tutto

Come hai visto dalla tabella, 12 caratteri è il minimo per una password che resiste. 16 o più è meglio. Una frase di senso compiuto ma insolita funziona benissimo: GattoViolaMangiaSushi2025! è difficilissima da craccare e relativamente facile da ricordare.

Usa password diverse per ogni servizio

Il credential stuffing è devastante esattamente perché le persone riusano le password. Se ogni servizio ha una password diversa, la violazione di uno non compromette gli altri. Sì, vuol dire ricordarne tante — ma per questo esistono i password manager.

Attiva l'autenticazione a due fattori (2FA)

Anche se la tua password viene scoperta, il 2FA blocca l'accesso. L'attaccante ha bisogno anche del codice che arriva sul tuo telefono (o dell'app authenticator). Abilitalo ovunque sia disponibile: email, banca, social, cloud.

Non usare informazioni personali

Il nome del cane, la data di nascita, la tua squadra del cuore: sono le prime cose che un attaccante diretto (che ti conosce) prova. E sono presenti in dizionari specializzati.

Crea una password sicura adesso

Non devi inventarti niente a mano: usa il nostro generatore di password gratuito. Puoi scegliere lunghezza, includere o escludere simboli, lettere e numeri. Il risultato viene generato interamente nel browser — non passa mai per nessun server.

I password manager: la soluzione definitiva

Se devi ricordare decine di password diverse e sicure, l'unica soluzione pratica è un password manager. Applicazioni come Bitwarden (open source, gratuito), 1Password o KeePass generano e memorizzano password complesse per ogni sito — tu devi ricordare solo una "master password" per aprire il manager.

Bitwarden in particolare ha una versione gratuita completa, client per tutti i sistemi operativi e browser, e il codice è open source e verificabile da chiunque.

Capire l'hash di una password

Vuoi capire tecnicamente come funziona la cifratura delle password? Il nostro strumento di calcolo hash mostra come una stringa viene trasformata in SHA-256, SHA-1, MD5 e altri algoritmi. Prova a inserire "123456" e "123457": gli hash sono completamente diversi pur differendo di un solo carattere — è questa proprietà che rende gli hash utili per la sicurezza.

Domande frequenti

Quanto spesso devo cambiare la password? Il vecchio consiglio di cambiarla ogni 3 mesi è stato superato: il NIST (l'ente americano per gli standard tecnici) raccomanda di cambiarla solo se sospetti una violazione o se il servizio notifica un breach. Cambi frequenti forzati spingono le persone verso password più deboli e prevedibili.

È sicuro salvare le password nel browser? Meglio di niente, ma meno sicuro di un password manager dedicato. I browser sincronizzano le password nel cloud legate all'account Google/Microsoft/Apple: se quell'account viene compromesso, lo sono anche tutte le password. Un password manager dedicato offre un livello di cifratura aggiuntivo.

Come faccio a sapere se le mie password sono già state rubate? Vai su haveibeenpwned.com — inserisci la tua email e vedi se compare in database di violazioni note. Se sì, cambia immediatamente la password su quei servizi.