Come Creare una Password Sicura: Guida Completa
Aggiornata a marzo 2026 — tecniche, errori comuni, passphrase e strumenti gratuiti
1. Perché le password sono ancora importanti
Nel 2025, il 59% degli utenti internet usa la stessa password per più account. Ogni 39 secondi avviene un attacco informatico. Le credenziali rubate sono la causa del 61% dei data breach (fonte: Verizon DBIR 2025).
Biometria, passkey e autenticazione senza password stanno crescendo, ma la password resta il metodo di autenticazione più diffuso al mondo. Email, home banking, social media, piattaforme di lavoro — la maggior parte dei servizi che usiamo ogni giorno si basa ancora su nome utente e password.
Una password debole non è solo un rischio personale. Per un freelancer o una PMI, un account compromesso può significare: perdita di dati dei clienti, accesso non autorizzato a conti bancari, danni reputazionali e responsabilità legali (GDPR).
2. I 7 errori più comuni
Le password più usate al mondo nel 2025 restano: 123456, password, 123456789, qwerty, 12345. Tutte craccabili in meno di un secondo.
| Errore | Perché è pericoloso | Soluzione |
|---|---|---|
| Riusare la stessa password | Un breach espone TUTTI i tuoi account | Password unica per ogni servizio |
| Password troppo corte | Sotto 8 caratteri = craccabile in minuti | Minimo 12 caratteri, ideale 16+ |
| Dati personali | Nome, data di nascita, città = primi tentativi di un attaccante | Mai includere informazioni personali |
| Pattern prevedibili | Password1!, Welcome2026 — i dictionary attack li trovano subito | Usare generatori casuali |
| Non aggiornare dopo un breach | Le credenziali rubate vengono vendute e rivendute | Controlla haveibeenpwned.com regolarmente |
| Salvarle in chiaro | Post-it, file di testo, email a sé stessi | Usare un password manager |
| Ignorare il 2FA | Anche una password forte può essere rubata (phishing) | Attivare 2FA su ogni account importante |
3. Cosa rende una password davvero forte
La sicurezza di una password dipende dalla sua entropia — il numero di combinazioni possibili che un attaccante deve provare. Più lunga e casuale, più alta l'entropia.
Le regole fondamentali:
- Lunghezza > complessità: una password di 16 caratteri minuscoli (es. “trentaseigattigrigi”) è più sicura di una di 8 caratteri con simboli (es. “P@ss1!2x”)
- Casualità vera: il cervello umano è pessimo a generare casualità. Usa un generatore automatico
- Nessun pattern riconoscibile: niente parole del dizionario singole, niente date, niente sequenze da tastiera
- Varietà di caratteri: maiuscole, minuscole, numeri e simboli — ma solo se la lunghezza è già sufficiente
xK9$mL!2 (8 car.) — 39 bit entropia — craccabile in orecavallo-lampada-pizza-treno (27 car.) — 55+ bit entropia — secoli per craccarla
4. Passphrase: il metodo migliore
Una passphrase è una sequenza di parole casuali separate da un carattere (trattino, punto, spazio). È il miglior compromesso tra sicurezza e memorizzabilità.
Il metodo è stato reso popolare dal fumetto XKCD #936 (“correct horse battery staple”) e confermato da NIST (National Institute of Standards and Technology) nelle linee guida SP 800-63B.
Come creare una buona passphrase:
- Scegli 4-6 parole completamente casuali (non una frase che ha senso)
- Separale con un carattere (trattino, punto, underscore)
- Opzionale: aggiungi un numero o simbolo da qualche parte per resistere ai dictionary attack avanzati
- Non usare citazioni, titoli di canzoni o frasi celebri
forno-bicicletta-nuvola-7-aquila, marble.canteen.drift.elevenPassphrase cattive:
il-mio-gatto-si-chiama-micio (prevedibile), to-be-or-not-to-be (citazione nota)
5. Password manager: perché usarli
Con una password unica per ogni servizio, è impossibile ricordarle tutte. Un password manager risolve il problema: genera, salva e compila automaticamente le password.
Devi ricordare solo la master password — una passphrase forte che protegge tutte le altre. Il database è crittografato con AES-256.
Le opzioni più affidabili nel 2026:
- Bitwarden — open source, gratuito, multi-piattaforma
- 1Password — eccellente UX, ideale per famiglie e team
- KeePassXC — open source, offline, per chi vuole il massimo controllo
Non usare il salvataggio password del browser come unica soluzione: è meno sicuro e non offre generazione avanzata.
6. Autenticazione a due fattori (2FA)
Anche la password più forte del mondo può essere rubata tramite phishing o un breach del servizio. Il 2FA aggiunge un secondo livello: qualcosa che hai (telefono, chiave hardware) oltre a qualcosa che sai (password).
Tipi di 2FA, dal più sicuro al meno sicuro:
- Chiave hardware (YubiKey, Google Titan) — resistente al phishing
- App TOTP (Google Authenticator, Authy) — codici che cambiano ogni 30 secondi
- SMS — meglio di niente, ma vulnerabile al SIM swapping
Attivalo almeno su: email principale, home banking, account Google/Apple, social media business, piattaforme di lavoro.
7. Quanto tempo serve per craccare la tua password?
Il tempo dipende dalla lunghezza, complessità e dal tipo di attacco:
| Password | Tipo | Tempo (brute force) |
|---|---|---|
123456 | Numerica, 6 cifre | Istantaneo |
Password1! | Dictionary + pattern | Secondi |
xK9$mL!2qR | Casuale, 10 car. | Settimane |
kR7!mP2x$nL4qW9v | Casuale, 16 car. | Milioni di anni |
forno-bicicletta-nuvola-aquila | Passphrase 4 parole | Secoli |
Stime basate su 100 miliardi di tentativi/secondo (hardware specializzato). In pratica, servizi con rate limiting e hashing sicuro (bcrypt, Argon2) rendono gli attacchi molto più lenti.
8. Generatore password online gratuito
Il nostro Generatore Password offre tre modalità:
- Password casuale: caratteri completamente random, configurabile (lunghezza, maiuscole, numeri, simboli, escludi parentesi)
- Passphrase: 3-8 parole casuali con separatore personalizzabile, facile da ricordare ma sicura
- PIN: codice numerico di lunghezza personalizzabile
Per ogni password generata, il tool mostra il tempo stimato di cracking e un indicatore visuale della forza. Le password vengono generate interamente nel browser — nessun dato viene inviato al server.