Quanto dovrebbe essere lunga una password?

Riesci a ricordare l'ultima volta che non hai avuto bisogno di accedere ad almeno una delle tue password? Probabilmente è passato un po' di tempo. Dopotutto, un utente medio possiede all'incirca 168 password. Con una mole di credenziali del genere, potresti chiederti se sia davvero il caso di dare la priorità alla sicurezza, invece di trovare qualche scorciatoia per ricordare meglio come accedere ai tuoi account.

Non aiuta certo il fatto che ognuno dica la sua riguardo alla lunghezza consigliata delle password; qualcuno ritiene che 6 caratteri siano sufficienti, mentre per altri dovrebbero essere almeno una ventina. Facciamo chiarezza sulla questione una volta per tutte e rispondiamo ad alcune domande cruciali: alla fine, quanti caratteri dovrebbe avere una password in media? E come dovrebbe essere strutturata per garantire la tua sicurezza online?

Qual è la lunghezza minima consigliata per le password?

Inutile girarci intorno: la lunghezza delle password è uno degli aspetti della sicurezza informatica su cui hai effettivamente il controllo. Il numero esatto di caratteri da usare, però, è tuttora oggetto di discussione.

Il nostro consiglio è di utilizzare una combinazione casuale di almeno 8 caratteri (che include lettere maiuscole e minuscole, numeri e simboli speciali) per le tue password; tuttavia, maggiore è la lunghezza, meglio è.

In alternativa, puoi scegliere di usare una passphrase o frase di accesso, ovvero una sequenza di parole o altri tipi di testo che permette di autenticare la tua identità. Puoi usare, ad esempio, una frase del tuo film o libro preferito; l'importante è che nessuno sappia qual è. Una frase di accesso univoca è efficace tanto quanto una password molto complessa, dal momento che gli spazi tra le parole sono considerati caratteri speciali.

La tesi a sostegno delle password più lunghe

Ma perché la lunghezza di una password è così importante? Per rispondere a questa domanda, dobbiamo prima fare un passo indietro e capire il funzionamento di una delle più gravi minacce alla sicurezza delle password: gliattacchi di forza bruta. I criminali informatici usano appositi software per provare milioni di combinazioni di caratteri (o addirittura miliardi, se il computer è abbastanza potente) allo scopo di "azzeccare" la password giusta. Di solito iniziano provando tutti i termini presenti nei dizionari, quindi le password che contengono solo una o due parole non sono resistenti.

Usando pochi caratteri, inoltre, non hai la possibilità di creare molte combinazioni sicure e casuali per proteggere i tuoi account; se ne utilizzi meno di 8, aumentano le probabilità che le tue password siano violate da un attacco di forza bruta. Più account personali e di lavoro possiedi, maggiore è la varietà di cui hai bisogno: le password lunghe soddisfano questa esigenza.

Nell'elenco delle 200 password più comuni del 2024 stilato da NordPass, le prime 10 in classifica contenevano da 5 a 9 caratteri. La maggior parte erano sequenze di numeri e lettere minuscole basate sul layout della tastiera, come 123456 o qwerty. Combinazioni banali di questo tipo sono bersagli facili per i criminali informatici, che possono violarle in meno di un secondo e assumere il controllo dei relativi account.

Il problema non riguarda solo la ridotta lunghezza delle password, ma anche la frequenza con cui vengono "riciclate" per diversi account. Se ad esempio una persona usa una password di 6 caratteri, contenente solo lettere e numeri, l'hacker può eseguire un programma per trovare facilmente la combinazione giusta; fatto ciò, potrà usare la password insieme all'indirizzo e-mail associato e impossessarsi di tutti gli account della sua vittima. Le password più lunghe e contenenti un assortimento di caratteri diversi richiedono un maggior numero di tentativi per essere indovinate e, di conseguenza, anche il tempo necessario per violarle aumenta.

Per affrontare il problema delle credenziali deboli, sono stati messi a punto diversi criteri per le password e linee guida per aiutare le imprese e i singoli utenti a gestire meglio i propri dati personali. Il National Institute of Standards and Technology (NIST) statunitense ha aggiornato le proprie linee guida per la sicurezza delle password nel 2024, chiarendo come sono cambiate le aspettative riguardanti la sicurezza delle credenziali. Secondo queste nuove indicazioni, le password dovrebbero contenere fino a 64 caratteri (usando, ad esempio, una lunga frase di accesso) e andrebbero modificate solo in caso di prove evidenti della loro compromissione. Le password dovrebbero inoltre essere generate e conservate utilizzando un gestore di credenziali che offre una maggiore sicurezza.

Trovare il giusto equilibrio tra lunghezza e complessità

Gli aspetti che da una parte garantiscono la tua sicurezza online, e quelli che dall'altra ti permettono di usare internet con facilità, richiedono un delicato equilibrio. Come accennato in precedenza, la lunghezza delle password gioca un ruolo fondamentale nella loro prevedibilità: meno caratteri usi, minore è il tempo che occorre per indovinarle. Allo stesso modo, quando aumenti il numero e la varietà di caratteri, crescono anche il tempo e le risorse necessari per violarle.

Le passphrase, da questo punto di vista, rappresentano un ottimo aiuto. Garantiscono infatti che le tue credenziali siano lunghe e complesse, evitando al tempo stesso le complicazioni dovute all'uso di caratteri casuali. Se ad esempio scegli una citazione, probabilmente conterrà almeno 4 o 5 parole: ciò aumenta automaticamente la lunghezza della password, migliorandone la resistenza nei confronti delle minacce informatiche.

A questo punto, potresti chiederti quanto le frasi di accesso siano in grado di resistere agli attacchi di forza bruta basati sui termini presenti nei dizionari. Benché le singole parole che costituiscono la frase possano essere riportate nei dizionari, il punto di forza delle passphrase è la lunghezza: rende molto più difficile violarle, poiché individuare ogni termine, spazio e segno di punteggiatura nell'ordine giusto richiede enormi risorse. Per questo motivo, per i criminali informatici è molto più difficile trovare la combinazione esatta.

Ora aggiungiamo un pizzico di complessità. Se prendiamo ad esempio le due opzioni "password123" e "PAl4p5e*tDgF!3" – rispettivamente, la password al 111° posto nella classifica sopracitata delle 200 più comuni e una combinazione completamente casuale – la prima può essere violata in meno di un secondo, mentre l'altra in alcune centinaia di anni.

Questo esempio di password casuale non segue uno schema facilmente rilevabile e contiene ogni tipologia di carattere di cui abbiamo parlato finora: lettere maiuscole e minuscole, numeri e simboli speciali. Se prendi una combinazione simile e continui ad aggiungere caratteri casuali in punti casuali, diventerà sempre più complicata: in parole povere, la lunghezza aumenta la complessità ed è proprio questo che serve alle tue credenziali.

Suggerimenti per creare password lunghe e sicure

Le frasi di accesso sono un'ottima soluzione per creare credenziali forti; purtroppo, però, alcuni siti web e applicazioni non includono gli spazi tra i caratteri speciali ammessi, il che rende più complicato usare password facili da ricordare. Come creare delle valide sequenze e, al tempo stesso, come evitare di dimenticarle?

Potresti provare, ad esempio, a rielaborare un po' una passphrase: prendi le parole, ometti alcune lettere, sostituiscile con caratteri speciali, ed ecco fatto! Ecco il principio che ti permette di creare password forti. Ad esempio, potremmo prendere il famoso verso "Nel mezzo del cammin di nostra vita" e trasformarlo in "Nel.mez.del.cam.d1.nos.v1T.". Abbiamo sostituito le "i" con 1, tenuto solo le prime 3 lettere delle parole e usato caratteri maiuscoli all'inizio e alla fine, inserendo anche un punto per stare al sicuro. Il risultato? Una password che richiederebbe dei secoli per essere violata.

Detto questo, ricorda che non basta prendere semplicemente una parola e sostituirne le lettere con numeri di aspetto simile, come "c1a0" al posto di "ciao": gli hacker conoscono bene questi trucchi e li hanno inclusi nelle varianti da provare nei loro attacchi di forza bruta. Invece di seguire uno schema prevedibile, attingi alla tua creatività: potresti sostituire delle lettere con numeri totalmente a caso (ad esempio, usando "5" al posto di "L", invece che di "S") e costruire un cifrario che solo tu conosci. Puoi consultare altri spunti di ispirazione per diventare un genio nella creazione di password nel nostro articolo dedicato.

Se vuoi sapere se una combinazione che hai creato soddisfa i criteri consigliati per le password forti, puoi testarla usando il nostro strumento sicuro per la verifica delle password. Non preoccuparti: per garantire che i tuoi dati rimangano al sicuro non memorizziamo le password che digiti, siano esse delle ipotesi oppure credenziali già in uso.

Il modo più semplice per creare password lunghe e complesse senza doverti spremere le meningi è usare uno strumento che lo faccia al posto tuo, e NordPass svolge alla perfezione questo lavoro. NordPass è un gestore di password intuitivo che crittografa e conserva al sicuro tutte le tue credenziali.

Grazie al suo Generatore di password integrato, non dovrai più preoccuparti di inventare nuove combinazioni; e non dovrai nemmeno ricordarle, dal momento che la funzionalità di compilazione automatica rileverà i tuoi tentativi di accesso e inserirà le credenziali per te con un clic. Infatti, con NordPass, l'unica password da ricordare è la Password principale per accedere alla tua cassaforte. Tutto il resto sarà gestito al posto tuo dall'estensione del browser e dall'app per dispositivi mobili.

Proteggi tutti i tuoi account in modo semplice e adotta la buona abitudine di usare password lunghe e sicure con NordPass.

FAQ