Password che resistono

Le password non vengono rubate solo perche una persona "non e brava con il computer". Spesso finiscono online per data breach: un sito viene violato e una lista di email e password viene venduta o pubblicata. Se usi la stessa password su piu servizi, il problema si allarga. Il criminale prova quella coppia email-password su posta, banca, social e negozi.

Questo si chiama credential stuffing: non serve indovinare, basta riusare cio che e gia trapelato. L'NCSC ha raccontato nel 2024 casi svizzeri in cui una password trapelata e riutilizzata ha aperto piu account: per l'utente normale, il riuso e l'errore numero uno. La regola semplice e questa: una password puo anche essere forte, ma se e riusata diventa fragile. La password della tua email e la piu importante, perche da li si resettano molte altre password.

Molte persone pensano che una password buona debba essere tipo "T7!qZ9@p". E difficile da ricordare e spesso finisce scritta su un foglio o riusata ovunque. Una passphrase e piu umana: quattro parole casuali, magari con un separatore. Esempio di forma: "tazza-lago-finestra-viola". Non usare questo esempio: inventane uno tuo.

Il vantaggio e la lunghezza. Otto caratteri casuali possono essere forti, ma spesso sono ingestibili. Quattro parole non collegate tra loro sono piu facili da ricordare e lunghe abbastanza per molti account. Evita frasi famose, nomi di figli, data di nascita, squadra del cuore. Se il servizio permette spazi, usa una frase lunga. Se non li permette, usa trattini o punti. La password deve essere unica per quel servizio.

Un password manager tiene una password diversa per ogni sito e te la compila quando serve. Esempi noti sono 1Password, Bitwarden, Apple Keychain e Google Password Manager. Non e pubblicita: sono categorie di strumenti. La cosa importante e usare un sistema che riesci davvero a mantenere.

Con un manager devi ricordare solo la password principale, che deve essere lunga e unica. Attiva anche il blocco con impronta o codice del dispositivo. Quando il manager propone una password casuale per un nuovo sito, accettala: non devi ricordarla tu. Se preferisci Apple o Google per semplicita, va bene; se vuoi un'app dedicata, va bene. Il salto di sicurezza non e il marchio. E smettere di usare la stessa password su banca, email, social e negozi.

Puoi controllare se la tua email compare in violazioni note su Have I Been Pwned. Scrivi l'email, non la password. Se appare un servizio vecchio, non significa che oggi qualcuno stia leggendo la tua posta. Significa che devi cambiare la password di quel servizio e di ogni altro servizio dove avevi riusato la stessa.

Fai cosi: prima cambia la password della posta elettronica, poi attiva 2FA, poi cambia le password dei servizi piu importanti. Non cercare di sistemare tutta la vita digitale in una sera. Parti da email, banca, Apple ID o Google account, social principali. Se una password vecchia e finita in un breach, considerala bruciata per sempre. Non riutilizzarla mai, neanche con una piccola modifica finale.