Cybersecurity & access management
Password sicure e 2FA: come proteggere account, utenti e sistemi
Le password non sono un tema vecchio. Sono ancora oggi uno dei punti più delicati nella sicurezza di account, servizi e infrastrutture. Il problema, però, non si risolve più con regole rigide o con cambi password imposti ogni mese, ma con un approccio più maturo: password lunghe, uniche, supportate da password manager e rafforzate, dove possibile, da autenticazione a due fattori.
In breve
Una password sicura oggi è lunga, unica e casuale.
Deve essere gestita con un password manager e, dove possibile, protetta da autenticazione a due fattori (2FA), passkey o chiavi hardware.
Questo approccio riduce phishing, credential stuffing e accessi non autorizzati.
Perché la sicurezza delle password conta sempre di più?
Molti attacchi non iniziano con tecniche sofisticate, ma con credenziali deboli, riutilizzate o sottratte. È per questo che la password continua a essere un punto centrale della sicurezza digitale: perché rappresenta ancora, in moltissimi casi, la prima barriera tra un utente legittimo e un accesso non autorizzato.
Per anni si è pensato che una password fosse forte solo se difficile da ricordare, piena di simboli e cambiata spesso. Oggi le linee guida più autorevoli vanno in una direzione diversa: la vera forza di una password sta soprattutto nella sua lunghezza, unicità e casualità, non nella complessità artificiale che porta gli utenti a scegliere varianti prevedibili.
La password non è sparita tra le priorità da affrontare per la sicurezza. È cambiato il modo corretto di progettarla, gestirla e affiancarla a controlli più forti.
I numeri che spiegano il problema
I dati aiutano a capire perché la gestione delle credenziali resta ancora oggi una delle aree più critiche della sicurezza. Non si tratta di rischi teorici.
80%
delle violazioni informatiche coinvolge credenziali compromesse o deboli
Fonte: Verizon DBIR 2023
24 mld+
di combinazioni username/password esposte nel dark web nel solo 2022
Fonte: Digital Shadows, 2022
57%
degli utenti riutilizza la stessa password su più account
Fonte: LastPass Psychology of Passwords, 2022
<30%
degli utenti utilizza un password manager in modo costante
Fonte: Bitwarden World Password Day Survey, 2023
Come si costruisce oggi una password robusta?
Oggi una buona password dovrebbe essere prima di tutto lunga. Questo è il primo elemento che incide sulla sua resistenza. In molti casi la scelta migliore non è una parola “complicata”, ma una password lunga oppure una passphrase costruita con più parole non banali, abbastanza estesa da rendere difficile un attacco per tentativi.
Il secondo requisito è che sia unica. Riutilizzare la stessa password su più servizi è uno degli errori più pericolosi: se un account viene compromesso, il rischio si propaga subito anche sugli altri.
Il terzo requisito è che sia casuale o comunque poco prevedibile. Nomi, date di nascita, squadre del cuore, sequenze come “Password1!” o piccole varianti di password già usate restano scelte fragili.
In pratica, una password moderna oltre ad essere difficile da indovinare, deve essere soprattutto difficile da riutilizzare, da derivare e da replicare su servizi diversi.
Come generare una password robusta: due metodi pratici
Sapere che una password deve essere lunga e casuale non basta. Il passaggio difficile è capire come farlo in pratica. Ecco due approcci concreti, con diversi livelli di memorabilità.
La passphrase
Lunga, memorabile, robusta
Una passphrase è una sequenza di parole casuali e non collegate tra loro. Non deve avere senso: deve essere imprevedibile. Quattro o cinque parole comuni, separate da un carattere, producono una password molto più resistente di una stringa corta ma “complessa”.
Esempio
corvo·lampada·treno75·sabbia
Le parole devono essere scelte casualmente, non a tema o collegate alla tua vita. Strumenti come Diceware automatizzano questa scelta.
- Facile da ricordare per account usati spesso
- Lunga per natura: 25–40 caratteri tipici
- Resistente agli attacchi dizionario se le parole sono realmente casuali
Il generatore del password manager
Massima casualità, zero memoria richiesta
Tutti i principali password manager integrano un generatore di password casuali. Basta configurare la lunghezza desiderata (almeno 20 caratteri) e il tipo di caratteri, e il software crea una stringa che non dovrai mai ricordare: la salva e la compila automaticamente.
Esempio
X7#mQr!9vLz@2kBpN$eW
Questo tipo di password è ideale per tutti gli account in cui non serve mai digitare la password a mano. Non va memorizzata: il password manager ci pensa per noi.
- Completamente casuale, unica per ogni account
- Lunghezza e complessità configurabili
- Nessuno sforzo cognitivo per l’utente
Gli errori più comuni da evitare
Uno degli errori più frequenti è credere che una password sia forte solo perché contiene una maiuscola, un numero e un simbolo. Questo approccio, da solo, non basta. Spesso produce combinazioni formalmente “complesse” ma in realtà prevedibili, perché gli utenti tendono a seguire sempre gli stessi schemi.
Un altro errore è imporre cambi password periodici senza una ragione concreta. Se non c’è evidenza di compromissione, costringere gli utenti a cambiare password in modo arbitrario porta spesso a soluzioni peggiori: piccole variazioni della password precedente, appunti, salvataggi impropri o riuso di credenziali già deboli.
È superato anche il rifiuto di funzioni come paste e autofill. Bloccare questi comportamenti può sembrare prudente, ma in realtà rende più difficile l’uso corretto dei password manager e spinge gli utenti verso pratiche meno sicure.
Dal cambio password mensile alle passkey: come stanno cambiando gli standard di autenticazione tra utenti privati e aziende.
Perché la 2FA è diventata così importante?
Anche una password ben progettata non azzera il rischio. Può essere sottratta tramite phishing, malware, riuso da un vecchio data breach o semplicemente tramite errore umano.
Ed è proprio per questo che imparare a riconoscere tentativi di social engineering, deepfake e contenuti manipolati sta diventando parte integrante della sicurezza digitale personale e aziendale.
Per salvarci da questi pericoli entra in gioco la 2FA, cioè l’autenticazione a due fattori.
La logica è semplice: per accedere non basta più solo qualcosa che sai (la password), ma è necessario anche un secondo fattore che dimostri il possesso del dispositivo o dell’identità. Ma non tutti i secondi fattori offrono lo stesso livello di protezione.
SMS / chiamata vocale
Un codice temporaneo viene inviato via SMS o telefonata. Facile da attivare, ma vulnerabile ad attacchi di tipo SIM swapping e intercettazione. È comunque meglio di nessuna 2FA, ma non è la scelta consigliata dove sono disponibili alternative.
App TOTP (codici temporanei)
App come Aegis (Android, open source), Raivo (iOS) o Google/Microsoft Authenticator generano codici monouso che scadono ogni 30 secondi. Non richiedono connessione e sono molto più sicuri degli SMS. È la scelta consigliata per la maggior parte degli account personali e aziendali.
Passkey e chiavi hardware (FIDO2/WebAuthn)
Le passkey sono credenziali crittografiche legate al dispositivo, standardizzate dal consorzio FIDO Alliance. Eliminano la password tradizionale e resistono al phishing per design: funzionano solo sul sito legittimo. Le chiavi hardware fisiche (come YubiKey) offrono lo stesso livello di protezione in formato portatile. Sempre più servizi le supportano.
“La password protegge l’ingresso.
La 2FA protegge l’accesso anche quando la password, da sola, non basta più.
Ma non tutte le 2FA si equivalgono: scegliere il metodo giusto fa la differenza.”
Sandro Caneschi, CTO HT&T Consulting
Se un servizio offre più opzioni, la priorità consigliata è: passkey o chiave hardware > app TOTP > SMS. Attivare qualsiasi forma di 2FA è comunque meglio di non averne nessuna.
Autenticazione passwordless
Passkey: cosa sono e perché sono più sicure delle password
Le passkey rappresentano oggi una delle evoluzioni più concrete della passwordless authentication, cioè dell’autenticazione senza password.
Le passkey sono credenziali digitali basate su crittografia che permettono di accedere a un servizio senza digitare una password tradizionale.
In pratica, l’utente conferma l’accesso con il dispositivo già registrato, usando impronta digitale, riconoscimento facciale, PIN o chiave hardware.
La differenza principale rispetto a una password è che la passkey non viene ricordata, digitata o condivisa dall’utente.
Il servizio conserva una chiave pubblica, mentre la chiave privata resta sul dispositivo dell’utente.
Questo rende le passkey molto più resistenti al phishing, perché funzionano solo sul dominio legittimo per cui sono state create.
Per questo motivo le passkey sono considerate una delle evoluzioni più importanti dell’autenticazione moderna. Non eliminano ogni rischio, ma riducono drasticamente problemi tipici delle password: riuso, furto, intercettazione, credenziali deboli e compilazione su siti falsi.
Autenticazione multifattore
Differenza tra MFA e 2FA: cosa cambia
2FA significa autenticazione a due fattori: per accedere servono due elementi diversi, di solito una password e un secondo fattore,
come un codice temporaneo generato da app, una notifica sul telefono, una passkey o una chiave hardware.
MFA, invece, significa autenticazione multifattore. È un concetto più ampio: indica l’uso di due o più fattori di verifica.
In contesti ad alta esposizione, molte aziende stanno adottando forme di phishing resistant authentication, come passkey, FIDO2 e chiavi hardware.
Questi fattori possono appartenere a tre categorie: qualcosa che sai, come una password; qualcosa che possiedi, come uno smartphone o una chiave fisica; qualcosa che sei, come impronta digitale o riconoscimento biometrico.
In sintesi, la 2FA è una forma di MFA, ma non tutta la MFA si limita a due fattori.
Nel linguaggio comune i due termini vengono spesso usati come sinonimi, ma in ambito aziendale è utile distinguerli:
MFA indica una strategia più ampia di controllo degli accessi, mentre 2FA descrive una configurazione specifica con due livelli di verifica.
Il ruolo dei password manager
In contesti enterprise, scegliere un password manager aziendale significa non solo proteggere le credenziali, ma anche governare ruoli, audit, condivisioni e accessi privilegiati.
Se la regola corretta è usare password lunghe, robuste e diverse per ogni account, il problema diventa subito operativo: come si gestiscono decine o centinaia di credenziali senza cadere nel caos?
È qui che il password manager aziendale diventa uno strumento centrale per utenti, team IT e organizzazioni che devono gestire accessi condivisi in modo sicuro. Non solo perché aiuta a conservare le password in modo ordinato, ma perché permette di generarle, salvarle e compilarle automaticamente senza costringere l’utente a semplificare tutto per motivi di memoria.
Cloud-based
Sincronizzano le credenziali su tutti i dispositivi. Comodi e accessibili ovunque. Esempi noti: Bitwarden, 1Password, Dashlane.
Da valutare: il livello di fiducia nel provider e le sue politiche di sicurezza e cifratura.
Quando le credenziali vengono sincronizzate tra dispositivi, browser e ambienti distribuiti, anche la sicurezza dei sistemi cloud aziendali diventa parte integrante della protezione degli accessi.
Locali / self-hosted
Il vault rimane sul dispositivo o su un server proprio. Nessun dato viene inviato a terzi. Esempi: KeePassXC, Vaultwarden (self-hosted).
Ideali per chi preferisce controllo totale sui propri dati. Richiedono più attenzione nella gestione dei backup.
Open source
Il codice è pubblico e verificabile da chiunque. Bitwarden e KeePassXC sono tra le opzioni più affidabili e trasparenti in questa categoria.
La trasparenza del codice non garantisce sicurezza assoluta, ma consente audit indipendenti e maggiore fiducia collettiva.
Un buon password manager riduce il riuso delle password, rende più facile adottare credenziali robuste e aiuta nella condivisione controllata degli accessi in contesto aziendale. Bitwarden, nella sua versione gratuita e open source, è spesso consigliato come punto di partenza per chi si avvicina a questi strumenti. Per saperne di più sui Password Manager aziendali abbiamo fatto un approfondimento che spiega 1password e Bitwarden su soluzione cloud e self-hosted.
“Il futuro è ridurre progressivamente la dipendenza dalle password.”
Linda Guerrazzi, SysAdmin HT&T Consulting
Cosa dovremmo fare sul posto di lavoro?
In azienda il tema non è solo insegnare a fare una buona password, ma strutturare un sistema coerente. Questo significa definire regole minime chiare, favorire l’uso di password manager, attivare la 2FA dove disponibile, ridurre il riuso degli accessi, applicare il principio del minimo privilegio e mantenere sotto controllo onboarding, offboarding e revoca dei permessi.
In altre parole significa adottare processi di gestione delle identità digitali, provisioning utenti e controllo degli accessi, temi sempre più centrali in ecosistemi come Google Workspace e Microsoft 365.
Significa anche smettere di basarsi su pratiche fragili come credenziali salvate in browser personali, file Excel condivisi, note locali o password inviate in chiaro via email e chat. La sicurezza degli accessi non può dipendere dalla memoria delle persone o da abitudini individuali!
Questo approccio si integra sempre più con modelli di zero trust access, dove nessun accesso viene considerato affidabile per definizione, nemmeno all’interno della rete aziendale.
La password resta importante, ma da sola non è più sufficiente come unica strategia. La combinazione corretta oggi è fatta di buone password, password manager, 2FA e politiche di accesso più mature.
Password e autenticazione: cosa aspettarci in futuro.
Il tema delle credenziali sta vivendo una trasformazione profonda, ma siamo ancora in una fase di transizione ibrida: password tradizionali, passkey e MFA coesistono, e probabilmente lo faranno ancora per anni. Capire dove siamo oggi aiuta a scegliere cosa fare adesso, non solo in futuro.
Le passkey crescono, ma l’adozione è disomogenea
Apple, Google e Microsoft hanno integrato le passkey nei propri ecosistemi, e molti servizi consumer le supportano già. In ambito aziendale e bancario, soprattutto in Italia, l’adozione è ancora parziale. Per ora, password manager e app TOTP restano la combinazione più solida per la maggior parte degli scenari reali.
La transizione ibrida è il vero nodo
Le aziende non possono abbandonare le password da un giorno all’altro. Il periodo di coesistenza tra sistemi legacy e nuovi standard crea superfici di attacco miste. Gestire questo passaggio con criterio — senza lasciare utenti scoperto o sistemi vecchi esposti — è oggi la vera priorità operativa.
Identity provider e SSO come infrastruttura centrale
Sempre più organizzazioni centralizzano la gestione degli accessi su piattaforme come Microsoft Entra ID, Google Identity o Okta. Questo permette di applicare politiche MFA coerenti, gestire onboarding e offboarding in modo controllato e ridurre il numero di credenziali separate da tenere sotto controllo.
Il phishing generativo cambia il rischio
I messaggi di phishing prodotti con strumenti di intelligenza artificiale sono sempre più convincenti, personalizzati e difficili da riconoscere. Questo aumenta il valore relativo di fattori di autenticazione resistenti al phishing per design — come passkey e chiavi hardware — rispetto a metodi che si basano ancora sulla vigilanza dell’utente.
Il futuro non è eliminare le password da un giorno all’altro. È ridurre progressivamente la dipendenza da esse, gestendo con cura la transizione.
Cosa puoi fare questa settimana
- Attiva un password manager se non ne usi già uno, anche nella versione gratuita
- Abilita la 2FA con app TOTP sugli account più critici (email, banca, lavoro)
- Verifica se i servizi che usi supportano già le passkey su passkeys.directory
- Se gestisci un team, valuta l’adozione di un identity provider con SSO e MFA centralizzata
- Chiamaci per avere un consulente a disposizione
Questi cambiamenti si inseriscono in un contesto più ampio di gestione delle identità digitali: chi vuole approfondire come strutturare accessi, ruoli e permessi in ambienti cloud può leggere il nostro approfondimento su password manager aziendali e controllo degli accessi.
Glossario rapido
Le parole chiave da conoscere
Alcuni termini ricorrono spesso quando si parla di password, autenticazione e sicurezza degli accessi.
Conoscerli aiuta a scegliere strumenti e comportamenti più corretti.
Password manager
Software che genera, conserva e compila automaticamente password lunghe, casuali e diverse per ogni account.
Passphrase
Password composta da più parole casuali. È lunga, più facile da ricordare e più resistente di molte password corte e complesse.
2FA
Autenticazione a due fattori. Richiede, oltre alla password, un secondo elemento di verifica come app, codice temporaneo o chiave fisica.
MFA
Autenticazione multifattore. Estende il concetto di 2FA usando più fattori: qualcosa che sai, qualcosa che possiedi o qualcosa che sei.
TOTP
Codice temporaneo generato da un’app di autenticazione. Cambia ogni pochi secondi ed è più sicuro degli SMS.
Passkey
Credenziale crittografica che consente di accedere senza digitare una password. È resistente al phishing perché funziona solo sul sito legittimo.
WebAuthn
Standard web che permette l’autenticazione sicura tramite passkey, biometria o chiavi hardware compatibili.
Credential stuffing
Attacco in cui credenziali rubate da un servizio vengono provate automaticamente su molti altri account.
Domande frequenti
Una password lunga è più importante di una password piena di simboli?
In molti casi sì. La lunghezza incide moltissimo sulla robustezza complessiva. Una password lunga, unica e poco prevedibile è spesso una scelta migliore di una password corta resa artificialmente complessa con qualche simbolo.
Ha ancora senso cambiare password ogni mese?
Non come regola automatica. Oggi ha più senso cambiare password quando c’è evidenza di compromissione, un incidente, una revoca di accesso o una ragione concreta, non per semplice abitudine.
La 2FA sostituisce una password forte?
No. La 2FA non sostituisce una buona password: la rafforza. La protezione migliore nasce dall’uso combinato di credenziali solide e di un secondo fattore di autenticazione.
È corretto usare un password manager anche in azienda?
Sì, anzi in molti casi è la scelta più sensata. Permette di gestire meglio password lunghe e uniche, ridurre il riuso, condividere accessi in modo controllato e aumentare l’ordine operativo.
Le regole tipo “una maiuscola, un numero e un simbolo” bastano?
No. Da sole non bastano. Possono aiutare in alcuni contesti, ma se diventano l’unico criterio spingono spesso verso password prevedibili e variazioni banali di schemi già noti.
Che cosa sono le passkey?
Le passkey sono credenziali digitali basate su crittografia che permettono di accedere a un servizio senza digitare una password. Sono più resistenti al phishing perché funzionano solo sul dominio legittimo per cui sono state create.
Qual è la differenza tra 2FA e MFA?
La 2FA richiede due fattori di autenticazione. La MFA è un concetto più ampio e indica l’uso di due o più fattori. In pratica, la 2FA è una forma specifica di MFA.
Gli SMS sono un buon metodo di autenticazione a due fattori?
Gli SMS sono meglio di nessuna protezione, ma non sono il metodo più sicuro. Possono essere vulnerabili a SIM swapping, intercettazioni e attacchi mirati. Dove possibile, meglio usare app TOTP, passkey o chiavi hardware.
Cos’è la phishing resistant authentication?
È un modello di autenticazione progettato per resistere agli attacchi di phishing. Include soluzioni come passkey, FIDO2, WebAuthn e chiavi hardware, che impediscono l’uso delle credenziali su siti fraudolenti.
Un password manager aziendale è sicuro?
Sì, se configurato correttamente. Un password manager aziendale consente di generare password robuste, controllare le condivisioni, revocare accessi, gestire ruoli e ridurre l’uso di credenziali salvate in modo non sicuro.
Che cosa significa passwordless authentication?
La passwordless authentication è un sistema di accesso che riduce o elimina l’uso della password tradizionale. Può basarsi su passkey, biometria, chiavi hardware o dispositivi già registrati.
Che rapporto c’è tra password, MFA e zero trust access?
Password robuste, MFA e controllo continuo degli accessi sono elementi complementari. In un modello zero trust access, ogni accesso viene verificato in base a identità, dispositivo, contesto e livello di rischio.
Bibliografia
NIST SP 800-63B
Linee guida su password, autenticazione e livelli di assurance, con indicazioni su lunghezza, password manager, blocco delle password compromesse e MFA.
CISA — Use Strong Passwords
Raccomandazioni pratiche su password lunghe, casuali, uniche e supportate da password manager.
CISA — Turn on MFA
Indicazioni pratiche sul ruolo della multifactor authentication come livello di protezione aggiuntivo rispetto alla sola password.
Continua a leggere
25 minuti di lettura
E fa consumare meno energia.
Per tornare alla pagina che stavi visitando ti basterà cliccare o scorrere.