Milano, 5 novembre 2025 – Le regole per creare password sicure hanno subito una svolta importante. A spiegarlo, in un’intervista all’Adnkronos/Labitalia, è stato Fulvio Duse, chief operating officer di Aton IT, azienda specializzata in cyber security e trasformazione digitale. Secondo Duse, oggi non conta più tanto mettere simboli o numeri strani, ma puntare sulla lunghezza e sull’originalità delle password. “Gli esperti sono d’accordo: una password deve essere lunga almeno 8 caratteri, meglio ancora se arriva a 12 o 15”, ha detto, spiegando come le vecchie regole abbiano lasciato spazio a criteri più efficaci.
Lunghezza prima di tutto: cosa cambia nelle nuove regole
Negli ultimi anni, i principali enti di sicurezza – dal NIST americano all’ENISA europea – hanno aggiornato le loro indicazioni. “Non si obbliga più a inserire maiuscole, numeri e simboli per forza”, ha detto Duse. Perché? “Queste regole spingevano a creare password prevedibili: la maiuscola all’inizio, il numero ‘1’ o il punto esclamativo alla fine”. Un modo facile per chi prova a entrare con metodi automatici.
Ora la parola d’ordine è lunghezza: più la password è lunga, più resiste agli attacchi “brute force”, quelli che tentano milioni di combinazioni in pochi secondi. “Consiglio almeno 12-15 caratteri”, ha ribadito Duse, “meglio se si usano parole messe a caso”.
Passphrase: più sicure e più facili da ricordare
La strada suggerita dagli esperti è chiara: usare una passphrase fatta di parole casuali. In pratica, invece di una stringa breve e complicata – tipo “P@ssw0rd!” – conviene scegliere una serie di termini senza legami, come “cane tavolo luna finestra”. Il vantaggio è doppio: più sicurezza e più facilità a ricordarle.
Queste passphrase sono difficili da scoprire per i programmi automatici e restano impresse nella memoria. “Attenzione però: niente dati personali come nomi, date di nascita o riferimenti alla famiglia”, ha avvertito Duse. Sono informazioni che si trovano facilmente online e rappresentano un pericolo.
Addio al cambio password ogni pochi mesi
Un altro cambiamento riguarda la frequenza con cui cambiare le password. “Non serve più cambiarle ogni due o tre mesi”, ha spiegato Duse. Cambiare troppo spesso, dicono le nuove linee guida, porta solo a inventare password più deboli o a usare schemi banali, come aggiungere numeri in sequenza.
La regola giusta è un’altra: “Cambia la password solo se sospetti che sia stata scoperta da qualcuno”, ha detto il manager di Aton IT. Insomma, solo se c’è il rischio che le tue credenziali siano finite in mani sbagliate.
Password uniche e controlli contro i furti di dati
Ogni servizio online deve avere una password diversa. Usarne la stessa ovunque espone a rischi grandi: se un sito viene violato, tutti gli altri sono a rischio. “Fondamentale è controllare che la tua password non sia già finita in database di credenziali rubate”, ha aggiunto Duse. Oggi esistono siti che permettono di fare questo controllo in modo semplice e gratuito.
Autenticazione a più fattori e password manager, gli alleati indispensabili
Per aumentare la sicurezza, Duse consiglia di attivare l’autenticazione a più fattori (MFA), un secondo controllo che può essere un codice via sms o da un’app speciale. “L’MFA riduce di molto il rischio di accessi non autorizzati”, ha spiegato.
Infine, per gestire password lunghe e diverse per ogni sito, è utile usare un password manager. Questi strumenti conservano tutte le password in modo sicuro, evitando di scriverle su foglietti o file poco protetti.
La sicurezza digitale è una sfida costante
In un momento in cui gli attacchi informatici aumentano – secondo il Clusit, nel 2024 in Italia sono stati segnalati oltre 2.000 incidenti gravi – gestire bene le password resta una delle prime difese. “Serve consapevolezza”, ha concluso Duse, “e qualche buona abitudine: solo così possiamo davvero proteggerci”.