ilbash
Guide 17 giugno 2026 | 6 min di lettura

Come creare una password sicura e ricordarla

La password con la maiuscola, il numero e il punto esclamativo che ti hanno insegnato a fare è facile da indovinare per un computer e difficile da ricordare per te: il peggiore dei due mondi. La regola vera è una sola, lunghezza. Quattro o cinque parole casuali messe in fila battono "Pa$$w0rd!" e te le ricordi senza appiccicare bigliettini al monitor. Questa guida ti mostra il metodo, spiega perché funziona e ti dice quali abitudini buttare via.

come-creare-una-password-sicura-e-ricordarla-cover

Introduzione

Una password sicura è prima di tutto lunga, non complicata: quattro o cinque parole casuali messe in fila (una passphrase tipo “tavolo nuvola chitarra rapido”) batte di gran lunga “Pa$$w0rd!” sia in resistenza agli attacchi sia in facilità di memoria. La ricordi perché la visualizzi come una scena, e un computer ci mette tempi assurdi a indovinarla perché è lunga. Questo è il metodo, il resto sono dettagli.

C’è un motivo se le vecchie regole (la maiuscola obbligatoria, il numero, il simbolo, il cambio ogni tre mesi) ti hanno lasciato con password difficili da ricordare e facili da bucare. Erano pensate per ostacolare un umano che indovina, non un computer che prova miliardi di tentativi al secondo. Ribaltato il problema, cambia anche la soluzione. Vediamo perché la lunghezza vince, come costruire una passphrase solida e quali abitudini buttare via subito.

Perché la lunghezza batte la complessità

Immagina come si attacca una password oggi. Non c’è una persona seduta che tenta combinazioni: c’è un programma che ne prova miliardi al secondo, partendo dalle parole più comuni, dai pattern noti e dagli elenchi di password già rubate in passato. Contro una macchina così, ogni carattere in più non si somma, si moltiplica: allunga il tempo di attacco in modo esponenziale.

Ecco il punto che ribalta tutto. Sostituire una “a” con ”@” o una “e” con “3” non confonde nessun programma, perché quelle sostituzioni sono le prime che ogni software di attacco prova. “Password” e “Pa$$w0rd” sono praticamente equivalenti per un computer. Aggiungere un carattere vero, invece, una lettera in più, vale molto di più di dieci sostituzioni furbe.

La conseguenza pratica è netta. Una password di otto caratteri, anche zeppa di simboli, è considerata debole oggi. Una di venti caratteri, anche solo lettere minuscole, è robusta. E venti caratteri sono difficili da inventare carattere per carattere, ma facilissimi da ottenere mettendo in fila quattro o cinque parole.

Il metodo della passphrase

L’idea è vecchia ma resta la più efficace per un essere umano: invece di torturare otto caratteri, allinea quattro o cinque parole casuali.

Il modo giusto di sceglierle è il punto delicato. Se le pensi a mente, il cervello ti tradisce: tende a scegliere parole collegate (gatto, cane, casa) o legate a te, e questo le rende prevedibili. Il sistema robusto è estrarle a caso, per esempio con i dadi e una lista di parole numerate (il metodo noto come diceware), oppure lasciando che sia un password manager a generarle. L’importante è che siano scollegate tra loro per significato.

Un esempio di passphrase costruita bene: chitarra-vulcano-quaderno-pioggia. Quattro parole senza alcun nesso, lunga oltre trenta caratteri, e te la ricordi visualizzando una scena impossibile (una chitarra dentro un vulcano accanto a un quaderno sotto la pioggia). Più l’immagine è assurda, meglio si fissa in memoria.

Tre accorgimenti rendono il metodo solido:

  • Parole davvero casuali. Niente nomi tuoi, città, date, squadre del cuore o cose che si trovano sui tuoi social. Chi vuole entrare parte proprio da lì.
  • Niente frasi famose. “Nel mezzo del cammin di nostra vita” non è una passphrase sicura: citazioni, versi e proverbi sono nei dizionari di attacco.
  • Una diversa per ogni servizio importante. La passphrase risolve la memoria di quelle poche password che devi sapere a mente, non di tutte (su quello torniamo).

Se un sito pretende per forza una maiuscola, un numero o un simbolo, aggiungili in testa o in coda senza distruggere la passphrase: chitarra-vulcano-quaderno-pioggia7!. La lunghezza resta la tua arma principale.

Gli errori che annullano qualsiasi password

Si può avere la passphrase più solida del mondo e buttarla via con un’abitudine sbagliata. Questi sono gli errori che vedo ripetersi e che vanificano tutto il lavoro.

Riusare la stessa password su più siti. È il più grave in assoluto. Quando un servizio qualsiasi subisce una violazione (succede in continuazione), la tua coppia email-password finisce in elenchi che girano in rete. I malintenzionati provano in automatico quella combinazione su decine di altri siti: se l’hai riutilizzata, aprono email, social, conti collegati a catena. Anche la password più lunga diventa inutile se è la stessa ovunque.

Salvarla in chiaro. Un file password.txt sul desktop, un foglio Excel non protetto, una nota del telefono senza blocco: sono regali per chiunque metta le mani sul dispositivo o lo infetti. Se proprio devi scriverle su carta, un quaderno chiuso in un cassetto a casa è più sicuro di un file in chiaro, anche se scomodo.

Cambiarla a scadenza fissa. L’idea del cambio ogni tre mesi è stata abbandonata dagli stessi enti che la promuovevano, perché peggiora le cose: le persone fanno micro-variazioni prevedibili (Estate2025, Estate2026). Una password forte e unica si cambia per un motivo concreto, non a calendario.

Rispondere onesto alle domande di sicurezza. Il nome del primo animale o la città della nonna si trovano spesso online. Quelle domande sono una porta laterale per aggirare la password: trattale come password aggiuntive, rispondi con stringhe inventate e casuali, e segnatele dove conservi le credenziali.

Digitarla dove non dovresti. Una password forte inserita su un sito di phishing è una password regalata. Controlla sempre l’indirizzo prima di accedere e diffida dei link nelle email che ti chiedono di “verificare l’account”.

Quando va cambiata davvero

Dimentica il calendario. Una password lunga e unica non “scade” da sola. Va cambiata quando succede qualcosa di concreto.

Cambiala subito se sospetti che il servizio dove la usi abbia subito una violazione (spesso te lo comunicano via email, ma puoi anche controllare se la tua email compare in fughe di dati note tramite strumenti come Have I Been Pwned). Cambiala se l’hai inserita per errore su un sito sospetto, se l’hai condivisa con qualcuno, o se hai usato un computer pubblico o non fidato. Negli altri casi, lasciala stare: una password forte invecchia benissimo.

C’è un’eccezione che vale per tutti: le poche password che proteggono l’accesso a tutto il resto (quella dell’email principale e quella del password manager) meritano la massima lunghezza e attenzione, perché chi entra lì entra ovunque.

Conclusione

Smetti di inseguire i simboli e punta sulla lunghezza: quattro o cinque parole casuali in fila ti danno una password che un computer fatica a indovinare e che tu ricordi visualizzando una scena assurda. È il metodo migliore proprio perché unisce le due cose che sembravano inconciliabili, robustezza e memorabilità.

Detto questo, la verità scomoda è che password forti da sole non bastano se le riusi o le gestisci male. Una passphrase unica per ogni servizio importante è impossibile da tenere tutta a mente, e qui la memoria non va sforzata ma delegata. Tieni a memoria solo le due o tre chiavi che aprono tutto, affida le altre a un gestore dedicato, e abbina dove puoi un secondo fattore di accesso. La password forte è il primo mattone, non la casa intera.

Domande frequenti

È meglio una password lunga o una complicata?
Lunga, e non è nemmeno una gara combattuta. Per un computer che prova miliardi di combinazioni al secondo, ogni carattere in più aumenta enormemente il tempo necessario a indovinarla, mentre sostituire una "a" con una "@" o una "o" con uno "0" non cambia quasi nulla, perché i programmi di attacco conoscono benissimo quei trucchi. Una password di otto caratteri pieni di simboli cade in fretta sotto un attacco moderno; una passphrase di quattro o cinque parole casuali, lunga venti o più caratteri, richiederebbe tempi astronomici. La lunghezza è la difesa che conta davvero, ed è anche quella che ti permette di ricordarla.
Cos'è una passphrase e come la costruisco?
Una passphrase è una password fatta di più parole messe in fila invece che di caratteri sparsi. Il metodo robusto è scegliere quattro o cinque parole davvero casuali, non collegate tra loro per significato (per esempio "tavolo nuvola chitarra rapido fiume"), idealmente estratte a sorte e non pensate a mente, perché la mente tende a scegliere parole prevedibili. Le unisci con o senza spazi, e ottieni qualcosa di lungo, facile da visualizzare come una scena assurda e quasi impossibile da indovinare. Eviti parole legate a te (nomi, città, squadre) perché chi ti conosce o spulcia i tuoi profili social parte avvantaggiato.
Devo cambiare le password ogni tre mesi?
No, e questo consiglio è stato ufficialmente abbandonato anche dagli enti che lo avevano diffuso. Costringere a cambiare password a scadenza fissa peggiora la sicurezza, perché le persone finiscono per fare piccole variazioni prevedibili (Estate2025, Estate2026) o per riusare schemi. La regola aggiornata è: usa una password lunga e unica per ogni servizio, e cambiala solo se hai un motivo concreto, cioè se sospetti che sia stata esposta in una violazione, se l'hai digitata su un sito sospetto o se l'hai condivisa. Una password forte non scade da sola, viene compromessa per eventi precisi.
Posso usare la stessa password su più siti se è molto forte?
No, ed è probabilmente l'errore più pericoloso di tutti. Anche la password più lunga del mondo diventa inutile se uno dei siti dove l'hai usata subisce una violazione e finisce in un elenco di credenziali rubate. A quel punto i malintenzionati provano in automatico quella stessa combinazione email-password su decine di altri servizi (si chiama credential stuffing), e se l'hai riutilizzata aprono tutti gli account collegati. Ogni servizio deve avere la sua password unica. Siccome ricordarne decine a memoria è impossibile, è qui che entra in gioco un password manager.
Come faccio a ricordare decine di password diverse?
Non devi. La memoria umana non regge decine di passphrase uniche, ed è un limite, non un difetto tuo. La soluzione pratica è ricordarne a memoria solo una o due (quella del password manager e quella del computer o del telefono) e affidare tutte le altre a un password manager, che le genera lunghe e casuali, le memorizza cifrate e le inserisce per te. Se preferisci evitare software, un quaderno tenuto in un cassetto chiuso a casa è più sicuro del riuso della stessa password, anche se molto meno comodo. Quello che non va mai fatto è salvarle in un file di testo non protetto o in una nota del telefono.
Le domande di sicurezza sono affidabili?
Poco, se rispondi con la verità. Il nome del tuo primo animale, la città di nascita di tua madre o la tua squadra del cuore sono spesso ricavabili dai social o da una semplice ricerca, e questo rende le domande di sicurezza un punto debole con cui aggirare la password. Il trucco è trattarle come password aggiuntive: rispondi con stringhe casuali e prive di senso ("la mia prima auto: cavallo-blu-quaranta") e salvale nel password manager insieme alle credenziali. Così la risposta non è indovinabile da nessuno, nemmeno da chi ti conosce bene.
Una password lunga è sicura anche senza simboli e numeri?
Sì, se è davvero lunga e composta da parole casuali. Il valore di una password sta nel numero di combinazioni possibili che un attaccante dovrebbe provare, e questo cresce in modo enorme con la lunghezza. Una passphrase di cinque parole casuali tutta in minuscolo è già molto robusta. Detto questo, alcuni siti impongono comunque la presenza di una maiuscola, un numero o un simbolo nei loro requisiti: in quei casi aggiungi un numero o un simbolo all'inizio o alla fine della passphrase, senza stravolgerla. Aggiungere complessità non fa male, ma è la lunghezza a fare il grosso del lavoro.
Den

Den

Appassionato di tecnologia. Scrive di smartphone, gaming, audio, smart home su ilbash.it e di laser, stampa 3D e CNC hobby su maketeria.it.

Scopri di più

Nota di trasparenza

Questo articolo contiene link affiliati Amazon. Se acquisti tramite questi link, potremmo ricevere una piccola commissione senza costi aggiuntivi per te. I prezzi possono variare: verifica sempre il prezzo aggiornato su Amazon. Le nostre opinioni restano indipendenti e non influenzate. Maggiori informazioni.

Condividi questo articolo

Articoli correlati

autenticazione-a-due-fattori-cover
Guide
· 7 min di lettura

Autenticazione a due fattori: cos'è e perché attivarla

Anche la password più solida può finire in un elenco rubato senza che tu lo sappia. L'autenticazione a due fattori mette un secondo lucchetto: dopo la password serve un codice che cambia, o una conferma sul telefono, qualcosa che solo tu hai in mano. È la singola mossa che protegge i tuoi account più di ogni altra. Questa guida spiega come funziona, perché l'SMS è il metodo più debole e quali account proteggere per primi.