Una persona al bancomat che si blocca davanti al campo “inserisci password”. Un impiegato che si ferma un attimo, prova tre combinazioni e alla fine sceglie la più semplice. Sono scene comuni nelle aziende e nelle città: la sfida non è più inventare un codice impossibile, ma ricordarne uno sicuro. Fulvio Duse, coo di Aton IT, lo spiega così: la posta in gioco è la gestione quotidiana delle credenziali, non un colpo di genio tecnico. Serve pragmatismo e scelte che funzionino nella vita reale.
La regola che conta: lunghezza prima della complessità
Negli ultimi anni le linee guida sulla sicurezza delle credenziali sono cambiate: gli esperti enfatizzano la lunghezza più della complicazione formale. In pratica, una parola d’ordine con almeno 8 caratteri è il minimo riconosciuto, ma per una protezione reale si consiglia una lunghezza nell’ordine dei 12-15 caratteri o più. Questo perché una sequenza estesa resiste molto meglio agli attacchi automatizzati rispetto a una stringa breve che alterna simboli e numeri.
Il motivo per cui molte organizzazioni hanno abbandonato i vincoli rigidi (obbligo di maiuscole, numeri e simboli) è concreto: quegli obblighi spingono gli utenti a soluzioni prevedibili, come mettere la prima lettera maiuscola o aggiungere “1” alla fine. Ciò rende le password più facili da indovinare per chi sfrutta pattern umani. Un dettaglio che molti sottovalutano è che la memoria umana trattiene meglio combinazioni con senso per la persona — ma questo senso non deve essere collegato a dati pubblici o facilmente reperibili.
Per questo motivo oggi si suggerisce l’uso di passphrase: stringhe basate su parole casuali, lunghe ma memorizzabili, che riducono il ricorso a schemi prevedibili. Anche in molte aziende italiane si sta valutando l’adozione di questi approcci, e i tecnici del settore lo raccontano come un equilibrio tra sicurezza e usabilità. Intanto, le verifiche contro i database di password compromesse rimangono un passaggio imprescindibile prima di accettare una credenziale nuova.
Quando cambiare e quali strumenti usare
Un cambio periodico obbligatorio di password non è più considerato efficace: forzare l’utente a modifiche ogni pochi mesi spesso porta a scelta di combinazioni più deboli o a piccoli step prevedibili. La raccomandazione attuale è chiara: modificare le credenziali solo in presenza di un sospetto reale di compromissione. Questo approccio riduce l’usura mentale dell’utente e mantiene al contempo un livello di protezione più alto, perché si evita il ricorso a schemi ripetitivi.
La regola fondamentale resta l’unicità: ogni servizio deve avere una password diversa. Un account violato non deve aprire la porta ad altri servizi. Per gestire questa complessità, gli esperti raccomandano l’uso dell’autenticazione a più fattori come secondo livello di difesa: aggiunge un elemento esterno alla sola password e limita notevolmente i danni di una singola fuga di credenziali. Un fenomeno che in molti notano solo nella vita quotidiana è la maggiore diffusione di app di verifica e chiavi hardware nelle realtà professionali.
Infine, per non appesantire la memoria individuale, è utile adottare un password manager affidabile: conserva passphrase lunghe e uniche, le inserisce automaticamente e semplifica i controlli periodici contro elenchi compromessi. In molte realtà in Italia e nel Nord Europa, questa combinazione — passphrase, autenticazione aggiuntiva e manager — è diventata la pratica raccomandata dai reparti IT. Il risultato è concreto: meno blocchi al bancomat, meno reset d’emergenza, e una protezione distribuita che tiene conto dei comportamenti reali degli utenti.