Cybersicurezza · elemento 59
Password manager
Password uniche
In una frase
Un password manager genera e conserva una password unica e forte per ogni account, in modo che tu debba ricordare solo una password principale e smetta di riutilizzare la stessa chiave dappertutto.
Cosa significa
Un password manager è un'applicazione che conserva le tue credenziali in una cassaforte cifrata.
Ti permette di:
- Creare password lunghe e casuali.
- Conservarle in modo cifrato.
- Compilarle automaticamente quando entri in un sito o un'app.
- Avere una password diversa per ogni servizio.
- Ricordare solo una password principale.
- Individuare siti falsi se il manager non riconosce il dominio.
Il problema che risolve è molto reale: oggi una persona può avere decine o centinaia di account. È impossibile ricordare una password forte e diversa per ciascuno. Per questo molta gente riutilizza la stessa password o piccole variazioni.
E lì inizia il rischio. Se un negozio, un forum, un'app o un servizio minore subisce una fuga di dati e tu avevi lì la stessa password della posta, della banca o del broker, il problema smette di essere piccolo.
Abitudini comuni e rischio
| Abitudine | Problema |
|---|---|
| Usare la stessa password dappertutto | Se trapela da un sito, può aprire molti altri account |
| Fare piccole variazioni | Se qualcuno individua lo schema, può provarlo facilmente |
| Password corte o prevedibili | Si possono indovinare o forzare con più facilità |
| Salvarle in una nota del telefono | Non sempre è cifrata né ben protetta |
| Inviarle via WhatsApp o email | Restano esposte e difficili da controllare |
| Annotarle su foglietti disordinati | Si perdono, si vedono o restano non aggiornate |
La regola è semplice:
Una password unica per ogni account importante.
E questo, in pratica, è sostenibile solo con un password manager.
Perché è importante
Conta perché molte fughe di dati non dipendono da te. Magari tu stai attento, ma un'azienda dove ti sei registrato anni fa può subire una violazione.
Quando succede, gli attaccanti non provano quella password solo su quel servizio. La provano automaticamente altrove: posta, social, acquisti, banca, piattaforme di investimento o servizi con carte salvate. Questa tecnica si chiama credential stuffing.
Un password manager rompe quella catena: se trapela la password di un servizio minore, riguarda solo quel servizio.
Aiuta anche contro il phishing. Se entri in un sito falso che imita la tua banca, il manager può non compilare la password perché il dominio non corrisponde. È un avviso utile: forse non sei dove credi di essere.
Cosa deve avere un buon sistema
Non serve cercare la perfezione. Serve un sistema robusto e sostenibile.
| Pezzo | Raccomandazione |
|---|---|
| Password manager | Affidabile, aggiornato e con una buona storia di sicurezza |
| Password principale | Lunga, unica e memorizzabile |
| 2FA sul manager | Imprescindibile |
| Codici di recupero | Conservati in un posto sicuro |
| Password degli account | Uniche e generate dal manager |
| Revisione periodica | Controllare gli account critici e le password esposte |
| Passkey | Attivarle quando il servizio lo permette |
La password principale è la chiave della cassaforte. Deve essere lunga e unica. Può essere una frase che ricordi bene, non necessariamente una combinazione impossibile di simboli.
Esempio di logica:
QuattroParoleLungheCheRicordo!
Non riutilizzare quella password da nessun'altra parte.
Opzioni di password manager
Ci sono vari tipi di manager. Non serve che tutti scelgano lo stesso.
| Tipo | Vantaggio | Svantaggio |
|---|---|---|
| Manager nel cloud | Comodo, sincronizza i dispositivi | Dipendi dal fornitore |
| Manager locale | Più controllo e privacy | Richiede più competenza e backup |
| Manager del browser o del sistema operativo | Facilissimo da usare | Legato a un ecosistema |
| Manager familiare | Permette di condividere accessi in sicurezza | Bisogna configurare bene i permessi |
| Passkey | Molto comode e sicure | Non ancora disponibili dappertutto |
Esempi noti di manager sono Bitwarden, 1Password, Proton Pass, KeePassXC o i manager integrati di Apple, Google o Microsoft. L'importante è che il sistema sia sicuro, aggiornato e che tu lo usi davvero, più della marca specifica.
Come applicarlo oggi
Inizia dall'email principale: è la porta di recupero di molti altri account. Poi continua per ordine di rischio:
- Password manager.
- Email principale.
- Banca online.
- Broker o roboadvisor.
- Account del telefono e del cloud.
- Acquisti con carte salvate.
- Social.
- Il resto dei servizi.
Non serve migrare tutte le password in un giorno: puoi farlo progressivamente. Ogni volta che entri in un servizio importante, cambia la password con una nuova generata dal manager.
Attiva anche l'autenticazione a due fattori sul manager. Se il manager custodisce le chiavi di casa, il manager stesso deve essere molto ben protetto.
Conserva i codici di recupero in un posto sicuro: stampati, in una cassetta, in un documento cifrato o in uno spazio separato dal dispositivo principale.
Errori comuni
- Riutilizzare la stessa password su servizi finanziari e non finanziari.
- Usare una password principale corta o facile da indovinare.
- Non attivare il 2FA sul password manager.
- Salvare i codici di recupero dentro lo stesso posto che dipende da quei codici.
- Condividere password via WhatsApp, email o note non cifrate.
- Cambiare le password solo quando c'è un problema.
- Non controllare gli avvisi di password trapelate.
- Pensare che avere un manager elimini ogni rischio. Il manager riduce molto il rischio, ma resta necessario vigilare su phishing, dispositivi infetti e 2FA.
Collegato con
Risorse
📚 ACN — Agenzia per la Cybersicurezza Nazionale. Le guide ufficiali su password sicure e protezione degli account.
📚 Polizia Postale — Commissariato di PS online. Per consigli di prevenzione e per segnalare incidenti.
📚 NIST — Digital Identity Guidelines (SP 800-63B). Rafforza l'idea che la password principale debba essere soprattutto lunga, più che piena di regole artificiali di simboli e maiuscole.
📚 Banca d'Italia — Consigli di sicurezza. Buone pratiche per proteggere l'accesso alla banca digitale.
Una password unica per account rompe l'effetto catena quando una password trapela.
← Torna alla tavola