Login
-min.png)
Data di prima pubblicazione: 04/05/2023
Le password rimangono una componente centrale della sicurezza informatica, ma il loro ruolo sta cambiando. Questo cambiamento è emerso ancora una volta durante la Giornata mondiale della password nell'aprile del 2025: le password e le procedure di login senza password stanno diventando sempre più importanti, oltre alle password tradizionali e all'autenticazione a più fattori (MFA).
Il National Institute of Standards and Technology (NIST) degli Stati Uniti lo raccomanda ufficialmente:
https://www.nist.gov/cybersecurity/how-do-i-create-good-password?utm_source=chatgpt.com
Utilizzate passphrase di 15 o più caratteri (ad esempio, "caffè-jam-saturn-luminous"). Sono più facili da ricordare, molto più difficili da decifrare e sono conformi alle raccomandazioni del NIST. Le regole di complessità con caratteri speciali e lettere maiuscole spesso portano a peggiori abitudini e a maggiore frustrazione.
Il riutilizzo delle password è un rischio sistemico: se una è compromessa, molte altre sono a rischio. Il NIST lo sconsiglia vivamente e raccomanda l'uso di liste di blocco per il filtraggio delle password.
Evitate regole rigide come "almeno una lettera maiuscola + un numero + un carattere speciale". La lunghezza della password è più importante. Integrate invece la vostra strategia di sicurezza con filtri per le password già trapelate (ad esempio, tramite l'API HaveIBeenPwned).
L'MFA rimane essenziale, idealmente con fattori resistenti al phishing come chiavi di sicurezza (FIDO/U2F), passepartout o autenticazione biometrica.
Un gestore di password semplifica la vita di tutti i giorni: crea passphrase sicure e casuali, riconosce i riutilizzi, avverte delle fughe di notizie e memorizza tutto in forma criptata.
Questi sono facili da indovinare o possono essere ricercati pubblicamente. I moderni processi di recupero si affidano invece a link magici via e-mail o a passaggi MFA aggiuntivi.
Se continuate a fare affidamento sull'e-mail per il recupero dell'account, utilizzate un account e-mail separato esclusivamente per questo scopo, senza alcun collegamento con le vostre comunicazioni personali o aziendali. Proteggetelo con un MFA forte.
I passkey consentono il login tramite biometria o PIN e sono resistenti agli attacchi di phishing.
Le modifiche forzate spesso portano a varianti deboli o all'annotazione delle password. Il NIST raccomanda le modifiche solo se si sospetta una compromissione.
Nuovi studi dimostrano che: L'autenticazione a due fattori accessibile - con supporto multidispositivo, biometria e alternative senza password - migliora significativamente l'esperienza d'uso per le persone con disabilità.
Le password tradizionali rimangono un ripiego per il momento, ma il mondo della sicurezza si sta chiaramente muovendo in direzione di approcci senza password, chiavi di accesso e MFA intelligente.
Password lunghe e univoche + MFA + password manager rimangono la combinazione più collaudata.
Ma se volete la migliore protezione possibile nel 2025, non ci sono alternative ai passkeys e al rilevamento delle perdite in tempo reale.
