Sei di fretta? Ecco come creare password sicure nel 2024:
- Installare un gestore di password. Scegliere un buon gestore di password. Personalmente consiglio 1Password perché è sicuro e facile da usare, l’interfaccia è disponibile in italiano e ha prezzi convenienti. Installare il gestore di password (bastano pochi minuti) e procedere con il punto 2.
- Aprire il generatore di password. Dalla schermata principale del gestore di password andare allo strumento per la generazione delle password.
- Generare e archiviare la password. Generare una password con almeno 12 caratteri e archiviarla nel caveau sicuro del gestore di password.
È piuttosto facile creare una password sicura nel 2024, in particolare se si utilizza un buon gestore di password. Una password sicura dovrebbe includere almeno 12 caratteri casuali o una passphrase di almeno 4 parole e 15–20 caratteri ma, cosa ancora più importante, deve essere unica. Se si utilizza la stessa password per tutti i propri account, basta un unico tentativo di hackeraggio riuscito per craccarli tutti.
Anche generando password sicure per ciascun sito è possibile che una di esse venga coinvolta in un episodio di violazione di dati. Ad esempio, LinkedIn è stato hackerato all’inizio del 2021, consentendo agli hacker di ottenere accesso ai dati di login di oltre 700 milioni di utenti.
Ecco perché è importante utilizzare un gestore di password. I gestori di password utilizzano strumenti di sicurezza come generatori di password casuali e autenticazione a due fattori per mantenere al sicuro i dati di login, anche a fronte di una violazione dei dati.
Questo articolo illustra i concetti basilari della sicurezza delle password, come creare password sicure e come scoprire se le proprie password sono state compromesse. Inoltre, include consigli sui migliori gestori di password nel 2024 (suggerimento: 1Password è il numero 1).
Scarica il miglior gestore di password nel 2024 (1Password)
Perché è importante creare password uniche e sicure
Gli strumenti per craccare le password riescono ad hackerare password semplici come “qwerty” e “12345” in pochi minuti e sono disponibili immensi database di password coinvolte in episodi di violazione dei dati. Gli hacker le utilizzano per cercare di accedere ad account a caso.
Anche gli attacchi di phishing sono una minaccia rilevante: ogni anno milioni di utenti forniscono dati di login a falsi siti web e negli ultimi anni sono aumentati vertiginosamente anche gli attacchi di phishing tramite messaggi di testo e social network.
Le password sicure sono in grado di resistere alla maggior parte degli strumenti per il craccamento delle password e usare una password unica per ciascun account serve a evitare che tutti i propri account vengano compromessi se una password finisce nelle mani sbagliate.
Come fanno i criminali informatici ad hackerare le password?
Gli hacker utilizzano varie tecniche per craccare le password, ad esempio:
- Attacchi di phishing: truffe attuate tramite siti web, messaggi di testo o email che imitano enti legittimi per rubare dati di login e dati finanziari.
- Violazioni dei dati: gli hacker riescono a penetrare nei server di un’azienda e a divulgare al pubblico informazioni private (inclusi dati di login degli utenti).
- Brute force attack: programmi automatizzati in grado di generare ogni possibile combinazione di password fino a trovare una corrispondenza, perfetti per craccare password costituite da 8 o meno caratteri.
- Attacco a dizionario: programmi che eseguono un elenco predefinito di password molto usate nel tentativo di trovare quella dell’utente preso di mira. Spesso questi attacchi hanno successo contro password deboli o prevedibili.
- Keylogger e trojan: i keylogger tengono traccia dei tasti azionati, inclusi nomi utente e password. I trojan effettuano screenshot della schermata o condividono con gli hacker dati da remoto del dispositivo hackerato.
Inoltre, si possono verificare perdite accidentali di password su siti web legittimi se questi presentano lacune di sicurezza.
Caratteristiche di password sicure e deboli
Una password sicura include come minimo 12 caratteri, non è comune e non è mai stata utilizzata in precedenza. La caratteristica più importante di una password sicura è la lunghezza: più una password è lunga, più tempo ci vuole affinché un software di hackeraggio riesca a trovare una corrispondenza.
È anche possibile aumentare la gamma di password di una lunghezza specifica rendendole più complesse. Una password complessa è costituita da diversi tipi di caratteri, come maiuscole, minuscole, numeri e caratteri speciali (ovvero simboli come !, @, #, ?, etc.).
Le password deboli sono brevi e utilizzano solo lettere e numeri, un linguaggio generico o informazioni personali identificabili. Per evitare di utilizzarle seguite i miei consigli per la creazione di una password sicura.
I modi migliori per creare password sicure per tutti i propri account
Il modo più facile di creare password sicure per tutti i propri account è usare un gestore di password. Con questi strumenti è possibile creare password casuali di 12–20 caratteri e archiviare i propri dati di login in un caveau cifrato. Tuttavia, esistono altre tecniche utilizzabili per conto proprio, come:
Il metodo passphrase
Con questo metodo si creano password lunghe e inusuali ma facili da ricordare. Pensate a parole e numeri provi di collegamenti logici e metteteli insieme. Un esempio potrebbe essere “Astronauts 94 Book Glass Turnips”, che potrebbe diventare la passphrase astronauts_94_bookglass_$_turnips, una password lunga (33 caratteri) e inusuale, ma facile da ricordare.
Il metodo frase mnemonica
Questo metodo aiuta a creare password facili da ricordare dall’aspetto casuale e difficili da craccare. Ad esempio, la frase potrebbe fare riferimento a un fatto personale importante per l’utente, come “I learned to play my first song at 14 years” (Ho imparato a suonare la mia prima canzone a 14 anni). Prendete le iniziali di ogni parola e create una stringa di lettere apparentemente casuali. Ad esempio, la frase precedente potrebbe diventare iltplm1stSNG@14. Si tratta di una password lunga e facile da ricordare per l’utente, ma difficile da craccare per gli hacker.
Cose da fare e da evitare per creare password sicure
A prescindere dal metodo utilizzato, tenete a mente i seguenti suggerimenti per la sicurezza delle password:
- Non usare password brevi: la lunghezza della password è il fattore maggiormente cruciale in materia di sicurezza. Alcuni hacker sono in grado di craccare password di otto caratteri in poche ore, ma craccare una passphrase di 15 caratteri è quasi impossibile per la maggior parte degli hacker. È fondamentale utilizzare password di almeno 12 caratteri.
- Non usare frasi comuni: evitare frasi comuni come “Il cielo è blu” o “I love my cat”. Cercate di essere creativi e usate metodi come le frasi mnemoniche per creare password difficili da indovinare.
- Non usare informazioni personali: evitate di usare numeri di telefono, codici fiscali, date di nascita e altri dati personali simili che altri potrebbero scoprire facilmente.
- Non usare sostituzione ovvie di lettere e simboli: Tw!st3R è una password debole perché è troppo corta e sfrutta sostituzioni troppo ovvie come “!” al posto di I e “3” al posto di “e”.
- Non riutilizzare le password: è rischioso usare la stessa password per più account, perché se venisse hackerata tutti gli account verrebbero compromessi.
- Modificare le password deboli: generatori di password come 1Password e Dashlane verificano la robustezza delle password e consentono di modificare facilmente quelle deboli.
Può essere difficile seguire questi consigli modificando manualmente tutte le password quando si hanno molti account. Pertanto consiglio di utilizzare un gestore di password come 1Password, in grado di generare automaticamente password sicure e archiviarle in completa sicurezza.
Potete anche utilizzare il nostro strumento per la generazione di password SafetyDetectives, che può creare fino a 50 password uniche alla volta e supporta lunghezza di un massimo di 50 caratteri.
Utilizzare l’autenticazione a due fattori (2FA) per ulteriore sicurezza
L’autenticazione a due fattori richiede l’inserimento di un secondo tipo di verifica oltre alla password per poter effettuare il login. In questo modo gli hacker avrebbero bisogno della password e delle credenziali 2FA per accedere all’account. Personalmente consiglio di utilizzare l’autenticazione a due fattori su tutti gli account compatibili (molti gestori di password, come 1Password, contrassegnano gli account compatibili con l’autenticazione a due fattori nel caveau). Inoltre, è bene proteggere anche il gestore di password con l’autenticazione a due fattori.
Le opzioni più diffuse per l’autenticazione a due fattori includono:
Time-Based One-Time Password (TOTP)
Le TOTP sono passcode brevi che scadono dopo breve tempo (solitamente 30 secondi): i codici vengono generati da un’app di autenticazione sincronizzata per generare codici a utilizzo singolo per specifici siti web. Ad esempio, l’autenticatore integrato di 1Password genera codici TOTP per gli account PayPal; in questo modo, ogni volta che si accede a PayPal bisogna inserire la password e il passcode a utilizzo singolo per l’autenticazione.
Autenticazione biometrica
Gli scanner biometrici identificano gli utenti in base alle loro caratteristiche fisiche, come scansione del volto, impronte digitali o impronta vocale. La scansione biometrica è uno dei migliori metodi di autenticazione a due fattori (ed è comodissima). Alcuni gestori di password molto utilizzati, come Dashlane, 1Password e Keeper sono compatibili con gli scanner biometrici sui dispositivi Windows, macOS, Android e iOS.
Hardware Security Key
Le chiavette USB come YubiKey sono dispositivi USB unici nel proprio genere dotati di protocolli di sicurezza integrati: basta collegare la YubiKey al dispositivo per effettuare la verifica. Le chiavette USB sono strumenti eccellenti perché non è possibile accedervi da remoto (come è possibile fare con gli autenticatori TOTP): ciò significa che gli hacker necessiterebbero del dispositivo fisico per accedere agli account protetti in questo modo.
Autenticazione tramite email o SMS
L’autenticazione tramite email o SMS richiede l’inserimento di un codice inviato all’utente tramite email o messaggio di testo o cliccando su un link nella posta in entrata per la verifica dell’identità. Si tratta di una delle opzioni di autenticazione a due fattori meno affidabili poiché risulta sicura solo se l’account email non è stato hackerato. LastPass offre questa opzione, ma molti gestori di password non la prevedono.
Inoltre, gli hacker sono in grado di effettuare truffe SIM swapping, con le quali ottenere accesso al numero di cellulare dell’utente, richiedere SMS con codici di autenticazione e hackerare gli account. Per questo motivo in genere è consigliabile evitare l’autenticazione tramite SMS ove possibile.
I migliori gestori di password per mantenere la sicurezza
Breve riepilogo dei migliori gestori di password per mantenere la sicurezza nel 2024
- 1.🥇1Password: complessivamente il miglior gestore di password nel 2024.
- 2.🥈Dashlane: le migliori funzionalità aggiuntive (VPN e monitoraggio del dark web in tempo reale).
- 3.🥉Keeper: buon livello di sicurezza ed extra come autenticazione a due fattori, chat cifrata e spazio di archiviazione su cloud.
- 4. RoboForm: eccellenti funzionalità di compilazione automatica e piani dai prezzi contenuti.
- 5. LastPass: design semplice con buone funzionalità di sicurezza.
- Confronto dei migliori gestori di password per la creazione di password sicure.
🥇1. 1Password: complessivamente il miglior gestore di password per la creazione e l’archiviazione di password
1Password è il mio gestore di password preferito per dispositivi Windows, macOS, Android e iOS nel 2024. L’interfaccia è visualizzabile in italiano, offre crittografia AES a 256 bit e una gran quantità di funzionalità aggiuntive per la gestione completa delle password.
I suoi protocolli di crittografia zero-knowledge garantiscono che nessuno, nemmeno il personale di 1Password, possa accedere alle informazioni nell’account. Inoltre, 1Password offre anche archiviazione locale dei dati; in questo modo è possibile archiviare il caveau delle password sulla rete WLAN anziché sui server di 1Password.
Anche il generatore di password di 1Password è eccellente: l’opzione Smart Password soddisfa automaticamente i requisiti relativi alle password di ciascun sito. Inoltre 1Password dispone di un’opzione per la generazione di password casuali (fino a 100 caratteri), passphrase (fino a 15 parole) e perfino di codici PIN (fino a 12 cifre).
Oltre a ciò, 1Password offre utili funzionalità aggiuntive, come:
- Autenticazione a due fattori sicura. Mantenete al sicuro la master password con scansione biometrica, autenticazione TOTP o token USB.
- Watchtower. Segnala le password deboli nel caveau, informa se vi sono account compatibili con l’autenticazione a due fattori fra quelli salvati e offre monitoraggio in tempo reale delle violazioni dei dati.
- Modalità viaggio. Nasconde i login selezionati dal caveau delle password in modo che i funzionari doganali non possano accedere ad account sensibili.
- Privacy card (esclusivamente negli USA). Offre schede proxy cifrate per i pagamenti online in modo da evitare di inserire i propri dati finanziari su server aziendali.
- Condivisione delle password. Consente di condividere login cifrati con chiunque utilizzando un link 1Password temporaneo o sincronizzando i caveau con i membri della famiglia (include anche controlli per le autorizzazioni, in modo che i bambini non possano modificare le password).
- 1GB di spazio di archiviazione cifrato.
Il piano per singoli utenti di 1Password include tutte le funzionalità di 1Password a soli US$ 2,99 / al mese. Il piano Families è il mio piano preferito per gestore di password per famiglie nel 2024: copre cinque utenti e offre un’utile dashboard familiare condivisa a soli US$ 4,99 / al mese. Mi piace anche il fatto che 1Password Families consenta di aggiungere altri account con un piccolo costo extra. È possibile provare 1Password grazie alla prova gratuita di 14 giorni.
Leggi qui la valutazione tecnica completa di 1Password
🥈2. Dashlane: le migliori funzionalità aggiuntive (inclusa una VPN sicura)
Dashlane dispone di funzionalità di sicurezza eccellenti e di una vasta gamma di funzionalità extra. È compatibile con tutti i browser principali, nonché con dispositivi Windows, Android, macOS e iOS.
Per mantenere al sicuro le password archiviate Dashlane utilizza crittografia AES a 256 bit e sottopone di frequente la propria architettura di sicurezza zero-knowledge ad audit di terze parti. Ciò significa che i dati degli utenti vengono archiviati esclusivamente sul loro dispositivo e sono completamente cifrati su tutti i server di Dashlane.
Il generatore di password di Dashlane è facilissimo da usare e l’interfaccia è visualizzabile in italiano. È in grado di generare password di 4-40 caratteri e la funzionalità di audit del caveau è in grado di sostituire automaticamente le password deboli su centinaia di siti web. Tuttavia, il servizio non dispone di un generatore di password smart o di un generatore di passphrase, come invece fa 1Password.
Mi piace anche il fatto che Dashlane supporti il login con autenticazione a due fattori tramite generatori TOTP, nonché login biometrico per Windows, Mac, Android e iOS. Inoltre, Dashlane offre alcune delle migliori funzionalità aggiuntive disponibili sul mercato, incluso:
- Monitoraggio del dark web in tempo reale.
- Virtual private network (VPN).
- Modificatore automatico delle password.
- Accesso di emergenza.
- Audit di sicurezza delle password.
- Condivisione sicura delle password.
Dashlane offre tutte le proprie funzionalità e archiviazione di password illimitate nei suoi due piani premium, Premium (1 utente) e Premium Family (6 utenti). È possibile ottenere uno sconto del 25% su Dashlane Premium inserendo SAFETYD25 al checkout e quindi spendendo solo US$ 4,99 / al mese.
Leggi la valutazione tecnica completa di Dashlane
🥉3. Keeper: ampia gamma di opzioni di autenticazione a due fattori ed extra come chat cifrata
Keeper è un gestore di password dalla sicurezza elevata con eccellenti opzioni per l’autenticazione a due fattori, ottima fruibilità e alcuni extra utili.
Il generatore di password di Keeper può creare password con un massimo di cento caratteri, incluse lettere, numeri e simboli, e le app supportano varie lingue, incluso l’italiano. Grazie all’estensione per browser è possibile generare facilmente nuove password con un solo click su Chrome, Firefox, Edge, Safari e altro ancora.
Inoltre Keeper offre una gran quantità di opzioni per l’autenticazione a due fattori, incluse scansioni biometriche, compatibilità con smartwatch per iOS e Android, funzionalità con chiavetta USB e un autenticatore TOTP integrato.
Oltre a ciò, Keeper offre:
- Monitoraggio del dark web.
- Audit di sicurezza delle password.
- Messaggistica cifrata.
- Spazio di archiviazione su cloud (10-100 GB).
- Condivisione sicura delle password.
Mi piace molto KeeperChat, l’app di messaggistica cifrata di Keeper, che offre funzionalità come eliminazione automatica dopo un certo tempo, ritrattazione dei messaggi e una galleria sicura per foto e video.
Il piano Keeper Unlimited include archiviazione di password illimitate su dispositivi illimitati ed è anche possibile ottenere monitoraggio del dark web e archiviazione sicura su cloud come add-on. È disponibile anche una versione family che supporta 5 account. Non mi piace il fatto che si debba pagare un extra per il monitoraggio del dark web (1Password e Dashlane lo includono in tutti i propri piani), ma Keeper offre comunque un ottimo rapporto qualità/prezzo, a soli US$ 2,92 / al mese.
Leggi la valutazione tecnica completa di Keeper
4. RoboForm: il miglior compilatore di moduli e piani a prezzi contenuti
RoboForm offre funzionalità di sicurezza di primo livello e funzionalità di compilazione automatica davvero notevoli. Le sue app per Windows, Android e iOS sono disponibili in italiano, il generatore di password è facile da usare, offre opzioni personalizzazioni sufficientemente buone e ha un incredibile limite di ben 512 caratteri per le password!
RoboForm include un’app di autenticazione, supporta i login biometrici e si sincronizza molto bene con tutte le principali app di autenticazione, come Google Authenticator, Authy e Microsoft Authenticator. Tuttavia, non è compatibile con chiavette USB per l’autenticazione a due fattori, come YubiKey (mentre 1Password lo è).
Mi piacciono molto le funzionalità di compilazione automatica di RoboForm: dispone di otto template e durante i test ha compilato accuratamente una buona gamma di moduli, dalla registrazione del veicolo all’indirizzo aziendale.
RoboForm include i seguenti extra:
- Audit di sicurezza delle password.
- Condivisione sicura delle password.
- Archiviazione dei preferiti.
- Accesso di emergenza.
RoboForm non dispone di alcuni extra utili, come spazio di archiviazione cifrato (disponibile con 1Password e Dashlane), ma offre un ottimo rapporto qualità/prezzo. Sono disponibili tre piani: RoboForm Free, RoboForm Premium e Roboform Family. Il piano RoboForm Premium supporta un unico utente, mentre RoboForm Family ne supporta fino a cinque. È possibile acquistare RoboForm a soli US$ 0,99 / al mese.
Leggi qui la valutazione tecnica completa di RoboForm
5. LastPass: il migliore per facilità di utilizzo
LastPass offre una gran quantità di funzionalità utili in un’interfaccia molto intuitiva che supporta l’italiano nelle app Windows, Android e iOS. Utilizza crittografia AES a 256 bit per proteggere i dati degli utenti, si attiene a una politica zero knowledge e include compatibilità 2FA con app TOTP, scanner biometrici e token USB.
LastPass include anche utili tutorial in-app per aiutare i nuovi utenti a navigare l’interfaccia. Mentre molte delle app incluse in questo elenco (in particolare 1Password) offrono un’eccellente knowledge base online, le comode caselle di testo in-app di LastPass illustrano aspetti come l’importazione delle passwords, la modifica del caveau, l’auditing e la condivisione delle password e molto altro ancora.
LastPass offre tre piani per utenti Windows, macOS, Android e iOS: LastPass Free, LastPass Premium e LastPass Families. LastPass Free offre archiviazione di password illimitate (ma esclusivamente su mobile o desktop, non entrambi) e la maggior parte delle funzionalità premium di LastPass. LastPass Premium offre archiviazione di password illimitate su tutti i dispositivi a soli US$ 1,50 / al mese, mentre LastPass Families supporta un massimo di sei utenti a soli US$ 2,00 / al mese.
Leggi qui la valutazione tecnica completa di LastPass
Confronto fra i migliori gestori di password per la creazione di password sicure
Domande frequenti
Come si fa a creare password sicure e ricordarle?
Il modo migliore e più facile per creare una password sicura è utilizzare un gestore di password. Questi strumenti includono generatori di password in grado di creare login unici ed estremamente complessi per tutti i propri account; inoltre, li archiviano in un caveau cifrato sicuro ed effettuano la compilazione automatica con un click. 1Password è il nostro gestore di password numero 1 nel 2024.
Ma per tutti coloro che non apprezzano i gestori di password, ecco una divertente tecnica mnemonica: scegliete una frase significativa per voi e usate le iniziali di ogni parola per creare una password.
Ad esempio, come ho illustrato in precedenza, la frase potrebbe essere “I learned to play my first song at 14 years”. Utilizzando le iniziali di ogni parola, variando maiuscole e minuscole e aggiungendo dei simboli si potrebbe ottenere la password iltplm1stSNG@14, più facile da ricordare rispetto a una stringa di caratteri casuali.
Quanto deve essere lunga una password per essere sicura?
Una password sicura include almeno 12 caratteri. Anche se numerosi siti web impongono ancora una lunghezza minima delle password di 8 caratteri, ciò non è sufficiente per creare password sicure. Alcuni hacker hanno creato strumenti in grado di craccare una password di otto caratteri in meno di sei ore. Ovviamente è inutile usare una password lunga se la si utilizza per tutti i propri account: è necessario usare una password unica per ogni login.
Tuttavia, creare password lunghe per tutti i propri account può essere molto impegnativo. Per facilitarsi il compito è possibile utilizzare un gestore di password premium come 1Password. Con questi strumenti è possibile creare password impossibili da hackerare, archiviarle in completa sicurezza in un caveau cifrato e far effettuare al gestore di password la compilazione automatica dei login.
Un esempio di password sicura
Una password sicura dovrebbe avere un aspetto di questo genere: nSwQTr*A!e9h. se la osservate attentamente noterete che questa stringa ha tutte le caratteristiche di una password sicura: include 12 caratteri con un misto di maiuscole, minuscole, simboli e numeri.
Si tratta di una password generata dallo strumento per la generazione delle password SafetyDetectives, utilizzabile per generare gratuitamente un qualsiasi numero di password lunghe, complesse e sicure. Tuttavia, passphrase come “correct-horse-battery-staple” possono essere altrettanto sicure delle password a generazione casuale (1Password include e anche un generatore di passphrase che può creare passphrase con un massimo di 15 parole).
Quali sono le cinque password più comuni?
Le cinque password più comunemente utilizzate sono:
- 123456
- 123456789
- immagine1
- password
- 12345678
L’utilizzo di queste password e di altre simili va assolutamente evitato! Queste password vengono sempre usate come primi tentativi dagli hacker. Inoltre, sono tutte password estremamente deboli poiché sono troppo corte, usano solo parole comuni o sequenze numeriche semplici e mancano completamente di complessità.
È possibile generare facilmente password sicure utilizzando una delle tecniche illustrate in precedenza. Meglio ancora, è possibile utilizzare un gestore di password come 1Password per generare all’istante password sicure.