Tavola periodica finanziaria

Cybersicurezza · elemento 59

Password manager

Password uniche

In una frase

Un password manager genera e conserva una password unica e forte per ogni account, in modo che tu debba ricordare solo una password principale e smetta di riutilizzare la stessa chiave dappertutto.

Cosa significa

Un password manager è un'applicazione che conserva le tue credenziali in una cassaforte cifrata.

Ti permette di:

  • Creare password lunghe e casuali.
  • Conservarle in modo cifrato.
  • Compilarle automaticamente quando entri in un sito o un'app.
  • Avere una password diversa per ogni servizio.
  • Ricordare solo una password principale.
  • Individuare siti falsi se il manager non riconosce il dominio.

Il problema che risolve è molto reale: oggi una persona può avere decine o centinaia di account. È impossibile ricordare una password forte e diversa per ciascuno. Per questo molta gente riutilizza la stessa password o piccole variazioni.

E lì inizia il rischio. Se un negozio, un forum, un'app o un servizio minore subisce una fuga di dati e tu avevi lì la stessa password della posta, della banca o del broker, il problema smette di essere piccolo.

Abitudini comuni e rischio

AbitudineProblema
Usare la stessa password dappertuttoSe trapela da un sito, può aprire molti altri account
Fare piccole variazioniSe qualcuno individua lo schema, può provarlo facilmente
Password corte o prevedibiliSi possono indovinare o forzare con più facilità
Salvarle in una nota del telefonoNon sempre è cifrata né ben protetta
Inviarle via WhatsApp o emailRestano esposte e difficili da controllare
Annotarle su foglietti disordinatiSi perdono, si vedono o restano non aggiornate

La regola è semplice:

Una password unica per ogni account importante.

E questo, in pratica, è sostenibile solo con un password manager.

Perché è importante

Conta perché molte fughe di dati non dipendono da te. Magari tu stai attento, ma un'azienda dove ti sei registrato anni fa può subire una violazione.

Quando succede, gli attaccanti non provano quella password solo su quel servizio. La provano automaticamente altrove: posta, social, acquisti, banca, piattaforme di investimento o servizi con carte salvate. Questa tecnica si chiama credential stuffing.

Un password manager rompe quella catena: se trapela la password di un servizio minore, riguarda solo quel servizio.

Aiuta anche contro il phishing. Se entri in un sito falso che imita la tua banca, il manager può non compilare la password perché il dominio non corrisponde. È un avviso utile: forse non sei dove credi di essere.

Cosa deve avere un buon sistema

Non serve cercare la perfezione. Serve un sistema robusto e sostenibile.

PezzoRaccomandazione
Password managerAffidabile, aggiornato e con una buona storia di sicurezza
Password principaleLunga, unica e memorizzabile
2FA sul managerImprescindibile
Codici di recuperoConservati in un posto sicuro
Password degli accountUniche e generate dal manager
Revisione periodicaControllare gli account critici e le password esposte
PasskeyAttivarle quando il servizio lo permette

La password principale è la chiave della cassaforte. Deve essere lunga e unica. Può essere una frase che ricordi bene, non necessariamente una combinazione impossibile di simboli.

Esempio di logica:

QuattroParoleLungheCheRicordo!

Non riutilizzare quella password da nessun'altra parte.

Opzioni di password manager

Ci sono vari tipi di manager. Non serve che tutti scelgano lo stesso.

TipoVantaggioSvantaggio
Manager nel cloudComodo, sincronizza i dispositiviDipendi dal fornitore
Manager localePiù controllo e privacyRichiede più competenza e backup
Manager del browser o del sistema operativoFacilissimo da usareLegato a un ecosistema
Manager familiarePermette di condividere accessi in sicurezzaBisogna configurare bene i permessi
PasskeyMolto comode e sicureNon ancora disponibili dappertutto

Esempi noti di manager sono Bitwarden, 1Password, Proton Pass, KeePassXC o i manager integrati di Apple, Google o Microsoft. L'importante è che il sistema sia sicuro, aggiornato e che tu lo usi davvero, più della marca specifica.

Come applicarlo oggi

Inizia dall'email principale: è la porta di recupero di molti altri account. Poi continua per ordine di rischio:

  1. Password manager.
  2. Email principale.
  3. Banca online.
  4. Broker o roboadvisor.
  5. Account del telefono e del cloud.
  6. Acquisti con carte salvate.
  7. Social.
  8. Il resto dei servizi.

Non serve migrare tutte le password in un giorno: puoi farlo progressivamente. Ogni volta che entri in un servizio importante, cambia la password con una nuova generata dal manager.

Attiva anche l'autenticazione a due fattori sul manager. Se il manager custodisce le chiavi di casa, il manager stesso deve essere molto ben protetto.

Conserva i codici di recupero in un posto sicuro: stampati, in una cassetta, in un documento cifrato o in uno spazio separato dal dispositivo principale.

Errori comuni

  • Riutilizzare la stessa password su servizi finanziari e non finanziari.
  • Usare una password principale corta o facile da indovinare.
  • Non attivare il 2FA sul password manager.
  • Salvare i codici di recupero dentro lo stesso posto che dipende da quei codici.
  • Condividere password via WhatsApp, email o note non cifrate.
  • Cambiare le password solo quando c'è un problema.
  • Non controllare gli avvisi di password trapelate.
  • Pensare che avere un manager elimini ogni rischio. Il manager riduce molto il rischio, ma resta necessario vigilare su phishing, dispositivi infetti e 2FA.

Collegato con

Risorse

📚 ACN — Agenzia per la Cybersicurezza Nazionale. Le guide ufficiali su password sicure e protezione degli account.

📚 Polizia Postale — Commissariato di PS online. Per consigli di prevenzione e per segnalare incidenti.

📚 NIST — Digital Identity Guidelines (SP 800-63B). Rafforza l'idea che la password principale debba essere soprattutto lunga, più che piena di regole artificiali di simboli e maiuscole.

📚 Banca d'Italia — Consigli di sicurezza. Buone pratiche per proteggere l'accesso alla banca digitale.


Una password unica per account rompe l'effetto catena quando una password trapela.


← Torna alla tavola