Ogni quanto è opportuno modificare le tue password?

Perché dovresti cambiare periodicamente le tue password

Le password sono come degli eroi silenziosi nella tua vita online, fino a quando non falliscono nella loro missione. Se stai ancora usando la stessa password di 3 anni fa, probabilmente è arrivato il momento di cambiarla. Per quale motivo? È presto detto: le violazioni di dati si verificano in continuazione e le password rubate spesso finiscono sul dark web. Se la tua password preferita di sempre finisce in un elenco di credenziali violate, qualche malintenzionato potrebbe infiltrarsi nei tuoi account in men che non si dica.

Non bisogna poi dimenticare le numerose tattiche usate per indovinare le password. Gli hacker dispongono di strumenti in grado di violare le password deboli più velocemente di quanto ci metteresti a dire "123456". A proposito di "123456": più la tua password assomiglia a questa combinazione, più risulta vulnerabile. Modificando con cadenza regolare le password, per gli hacker sarà molto più difficile violarle: in questo modo, i tuoi account rimarranno al sicuro.

Un'altra cattiva abitudine molto diffusa è il riutilizzo delle password. Impostare la medesima password per diversi account è un po' come usare la stessa chiave per aprire tutte le serrature: se uno solo di questi account viene violato, anche tutti gli altri sono a rischio. Di conseguenza, impostare una password diversa per ogni account aiuta a proteggere gli altri se uno viene compromesso.

A volte, poi, le cose accadono e basta: truffe di phishing, download di file sospetti o magari addirittura quel Wi-Fi pubblico poco raccomandabile al quale ti eri collegato la settimana prima. Cambiare regolarmente le password ti permette di giocare d'anticipo nei confronti di possibili minacce di cui potresti ignorare l'esistenza.

Con quale frequenza è opportuno cambiare le password?

Capire ogni quanto cambiare le password è un po' come stimare quando sostituire lo spazzolino da denti: non bisogna farlo troppo spesso, ma neanche dimenticarsene del tutto. Ecco alcuni suggerimenti, in base alle diverse tipologie di account, che ti aiuteranno a individuare la frequenza giusta.

Account usati per lavoro

Per quanto riguarda gli account professionali, segui le linee guida IT o le politiche di sicurezza della tua azienda. Molte imprese seguono le raccomandazioni del National Institute of Standards and Technology (NIST) statunitense, che suggerisce di concentrarsi sulla scelta di password forti e univoche; la modifica dovrebbe avvenire solo se c'è un motivo specifico per farlo, come una violazione o una sospetta compromissione degli account. Alcune aziende richiedono tuttavia di cambiare le password ogni 60–90 giorni, quindi verifica le prassi effettivamente in vigore.

Account personali

Per gli account legati alla vita privata, la frequenza di modifica delle password varia in base a quanto siano sensibili le informazioni contenute e a quanto spesso li utilizzi. Acquisti online? Una volta all'anno può essere sufficiente, a meno che non si verifichi una violazione. Social media? Vale la stessa regola. Il discorso cambia per gli account che contengono fotografie, comunicazioni o dati personali riservati, come servizi di archiviazione cloud o abbonamenti: in questi casi, valuta la possibilità di modificare le password ogni 6–12 mesi.

Account ad alto rischio

Gli account ad alto rischio, come quelli relativi a banche, portali di assistenza sanitaria o caselle di posta elettronica, meritano una maggiore attenzione: è bene modificarne le password ogni 3–6 mesi. Non aspettare che si verifichi una violazione: rendi la modifica periodica una parte della tua consueta routine. Ricorda che, se un hacker riuscisse a violare la tua casella di posta elettronica, potrebbe sfruttarla per reimpostare le password di decine di altri account, compresi quelli ad alto rischio.

Account inattivi

Se hai degli account che usi raramente (o dei quali avevi addirittura dimenticato l'esistenza), la cosa migliore da fare è eliminarli del tutto, se possibile: un account inutilizzato, con una password vecchia e debole, può essere una miniera d'oro per i criminali informatici. Se non puoi sbarazzarti di questi account, perlomeno modifica le password scegliendo combinazioni univoche e molto forti. Così facendo, ridurrai al minimo le probabilità che un vecchio account rappresenti un anello debole nella tua catena di sicurezza.

Modificando le tue abitudini di gestione delle password in base alle diverse tipologie di account, potrai trovare un punto di equilibrio: ti sentirai più al sicuro, evitando però l'impressione di cambiare continuamente le password senza alcun motivo.

I segnali che indicano che devi cambiare subito una password

Talvolta potrebbero verificarsi degli eventi che mandano all'aria il tuo calendario di modifica delle password: se sei alle prese con una delle situazioni descritte di seguito, cambia immediatamente la password.

Ricevi una notifica di violazione dei dati

Se apprendi da un'e-mail o dai mezzi di informazione che un servizio che utilizzi ha subito una violazione, cambia immediatamente la password per quell'account. Consiglio utile: se hai riutilizzato la stessa password altrove (a chi non è mai capitato?), modifica le credenziali di tutti gli account interessati.

Noti attività insolite sul tuo account

Strane notifiche di accesso da luoghi sconosciuti? Messaggi che non hai autorizzato? Si tratta di importanti campanelli d'allarme: qualcuno potrebbe essere già entrato nel tuo account. Cambia subito la password per riprenderne il controllo e impedire al malintenzionato di accedervi di nuovo.

Hai condiviso le tue password

Che tu abbia condiviso una password con un amico, un familiare o un collega, l'esito è sempre lo stesso: non è più solo tua. Più persone conoscono la password, minore è la sua sicurezza; se l'hai condivisa anche solo una volta con una persona di cui ti fidi, è bene modificarla il prima possibile.

Hai usato la stessa password per troppo tempo

Col passare del tempo, anche le migliori password possono perdere il loro smalto. Se non riesci a ricordare l'ultima volta che hai cambiato una password, probabilmente la stai usando da troppo tempo: non aspettare che ti dia dei problemi, modificala subito.

Hai abboccato a un tentativo di phishing

Se hai cliccato su un collegamento sospetto, o inserito le tue credenziali su un sito contraffatto, dai per scontato che la tua password sia stata compromessa e cambiala immediatamente. Questo è particolarmente importante nel caso di e-mail e altri account ad alto rischio.

Hai perso il dispositivo o ti è stato rubato

Se non sei più in possesso di un telefono, computer o tablet, e il dispositivo non è crittografato o protetto da una password forte, aggiorna le credenziali di tutti gli account che contiene. In questo modo, anche se un estraneo riuscisse a sbloccare il dispositivo, non potrà accedere ai tuoi account.

I falsi miti sulle modifiche frequenti alle password

I consigli riguardanti le password spuntano qua e là come funghi, ma non tutti sono utili e men che meno corretti. Sfatiamo quindi alcuni dei falsi miti più comuni sulla frequenza opportuna per modificare le password.

Devi cambiare la password ogni 30 giorni

A meno che una password non sia stata compromessa (o protegga un account estremamente delicato), non c'è bisogno di cambiarla ogni mese. Le frequenti modifiche possono infatti essere controproducenti, poiché spingono le persone a scegliere password più semplici che possono ricordare facilmente (e che gli hacker, purtroppo, possono indovinare con altrettanta facilità). È meglio quindi concentrarsi sulla scelta di password forti e univoche, anziché seguire un programma rigido con modifiche troppo frequenti.

Basta una piccola modifica per cambiare una password

Trasformare "Password123" in "Password124" non è una mossa furba, e di certo non tiene alla larga gli hacker: piccole variazioni di questo tipo sono prevedibili tanto quanto la password originale. Quando devi modificare una password, scegli una combinazione di caratteri completamente nuova e che non abbia nulla a che fare con la precedente.

I gestori di password rendono inutili le modifiche frequenti

I gestori di password sono ottimi strumenti per proteggere le tue credenziali e fare in modo che siano univoche e sicure, ma ciò non significa che, una volta impostate, potrai concederti il lusso di dimenticartene. Se uno dei tuoi account fosse coinvolto in una violazione, dovrai comunque cambiare la password il prima possibile: un gestore di credenziali rende solo più semplice farlo

I consigli per semplificare la gestione e la modifica periodica delle password

Tenere sotto controllo le password, e cambiarle quando necessario, non sono per forza dei compiti ingrati e tediosi: adottando le strategie giuste, puoi semplificare queste attività e migliorare la tua sicurezza. Ecco alcuni consigli per una gestione efficiente:

Usa un gestore di password

L'adozione di un gestore di password sarà un punto di svolta per la sicurezza dei tuoi account: uno strumento di questo tipo conserva infatti tutte le credenziali in una cassaforte protetta, genera password forti e univoche per ogni account e può addirittura compilarle in automatico. Combinando l'architettura a conoscenza zero con la tecnologia di crittografia, i gestori di password come NordPass ti permettono di accedere in modo sicuro alle credenziali e riducono le possibilità che un malintenzionato assuma il controllo della tua cassaforte.

NordPass utilizza l'algoritmo di crittografia XChaCha20 per crittografare i dati direttamente sul tuo dispositivo: in questo modo, quando raggiungono i server cloud, è impossibile decodificarli in assenza della Password principale. Oltre a disporre di una cassaforte sicura, potrai contare su funzionalità utili per rafforzare la sicurezza dei tuoi dati, come lo strumento Salute password, che verifica se le tue password sono deboli o usate più volte, e il Rilevatore violazioni dati, che ti avvisa se le credenziali sono state compromesse.

Imposta promemoria per le modifiche periodiche

Talvolta la vita è frenetica, quindi dimenticarti di cambiare le password è una cosa che può succedere: imposta dei promemoria ogni 6–12 mesi per gli account personali, oppure a intervalli inferiori per quelli ad alto rischio. Puoi usare le app per la gestione del calendario, o addirittura il gestore di password stesso, per ricordarti quando è arrivato il momento di modificarle.

Crea password forti e sicure

Quando modifichi le password, cerca di usare una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali, ed evita scelte prevedibili come "password" o "1234". Un gestore di password può generare sequenze complesse per te, ma se preferisci crearle in autonomia, cerca di usare le passphrase, o frasi di accesso: si tratta di combinazioni casuali di parole non correlate tra loro (ad esempio, "BluTortaStrofe$23").

Non riutilizzare mai le password

Come detto in precedenza, usare la stessa password per diversi account è una cosa da evitare assolutamente: se uno di questi account viene violato, gli hacker possono utilizzare la password per accedere a tutti gli altri. Quindi crea sempre password univoche per ogni account, e lascia che a occuparsene sia il tuo gestore di password.

Prova le passkey

Le passkey si basano su una coppia di chiavi crittografiche: una chiave privata salvata sul dispositivo dell'utente e una chiave pubblica memorizzata sul server del sito. Quando le due chiavi sono abbinate con successo, con una procedura spesso attivata tramite l'autenticazione biometrica, viene autorizzato l'accesso. Sono più facili da usare ed è praticamente impossibile che gli hacker riescano a rubarle. Se un account offre le passkey come opzione, valuta la possibilità di usarle in sostituzione delle password: sarà un grande passo avanti per migliorare la tua sicurezza.

FAQ