Quanto dovrebbe essere lunga una password

Le password proteggono quasi tutto ciò che facciamo online: email, banca, social media, cloud storage, piattaforme per sviluppatori e altro. Scegliere la giusta lunghezza (e composizione) per una password è uno dei modi più semplici per migliorare la sicurezza senza cambiare troppo il tuo flusso di lavoro quotidiano.

Questo articolo spiega quanto dovrebbe essere lunga una password, perché la lunghezza conta, cosa raccomandano i principali enti di standard e come creare password forti e uniche che siano facili da gestire.

Cos'è una password forte?

Una password forte è una che è difficile per gli attaccanti da indovinare o calcolare. La forza deriva da due ingredienti principali:

• Lunghezza: più caratteri aumentano drasticamente il numero di combinazioni possibili.
• Imprevedibilità: casualità ed evitamento di schemi comuni o informazioni personali.

Quando questi due fattori sono presenti, le password resistono agli attacchi a forza bruta (tentativi sistematici di combinazioni), agli attacchi a dizionario (tentativi con parole e schemi comuni) e a molte tecniche di cracking automatizzate.

Lunghezza minima della password: puntare a 16 caratteri (o più)

Gli esperti di sicurezza sottolineano costantemente la lunghezza. La Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti raccomanda di scegliere password che siano "lunghe — almeno 16 caratteri (ancora più lunghe sono migliori)." Puoi leggere la loro guida qui: https://www.cisa.gov/secure-our-world/require-strong-passwords

Il National Institute of Standards and Technology (NIST) adotta una posizione simile nelle sue linee guida sull'identità digitale, evidenziando che la lunghezza della password è un fattore primario nel caratterizzare la forza delle password e che gli utenti dovrebbero essere incoraggiati a creare password più lunghe quando possibile. Vedi: https://pages.nist.gov/800-63-4/sp800-63b.html

In pratica, 14 caratteri dovrebbero essere considerati un limite inferiore, mentre 16+ caratteri è una scelta migliore di default. Per account particolarmente sensibili o di lunga durata, andare ancora più in là è vantaggioso, a condizione che il sito lo consenta e che tu possa conservare la password in modo sicuro.

La password più lunga è sempre la migliore?

Più lunga è quasi sempre più forte contro la forza bruta. Ma ci sono alcune considerazioni pratiche:

• Limiti del sito: Alcuni servizi pongono un limite di lunghezza massima o restringono determinati caratteri. Quando ciò accade, usa la lunghezza massima consentita con alta casualità.
• Usabilità: Se stai digitando password su dispositivi piccoli o in ambienti ristretti, stringhe estremamente lunghe potrebbero essere scomode, a meno che tu non usi un gestore di password per l'auto-compilazione.
• Modello di minaccia: Per account con forte limitazione del tasso e autenticazione a più fattori (MFA), superare i 20–24 caratteri può avere rendimenti decrescenti rispetto all'abilitazione di MFA e all'assicurazione dell'unicità.

In sintesi: Usa la password più lunga e più casuale che soddisfi la politica del sito e il tuo flusso di lavoro, quindi aggiungi MFA dove disponibile.

Ho bisogno di numeri, maiuscole e caratteri speciali?

Molti siti richiedono un mix di set di caratteri (minuscole, maiuscole, cifre, simboli). Includere più set generalmente aumenta lo spazio di ricerca e ostacola gli attacchi di indovinamento. Tuttavia, le “regole di complessità” sono meno importanti della lunghezza e della casualità. Una password casuale di 20 caratteri che utilizza solo lettere può essere più forte di una stringa di 8 caratteri che mescola ogni tipo di carattere.

Se un sito impone regole di composizione, lascia che il tuo gestore di password generi una password casuale che le soddisfi. Se non lo fa, dai la priorità alla lunghezza e alla casualità rispetto alla complessità forzata.

I quattro set di caratteri spesso citati sono:

1. Cifre (0–9)
2. Lettere minuscole (a–z)
3. Lettere maiuscole (A–Z)
4. Simboli (ad es., ! $ % & ? # @)

Casualità: la chiave per una vera forza

La sola lunghezza non è sufficiente se la password segue schemi prevedibili. Evita:

• Percorsi della tastiera come 1qaz2wsx o qwertyuiop
• Parole e frasi comuni (anche molto lunghe)
• Informazioni personali (nomi, date, indirizzi)

Due ottimi modi per ottenere casualità con cui puoi convivere:

• Password casuali: Lascia che un generatore di password crei stringhe di 16–24 caratteri che includano più set di caratteri. Conservale in un gestore di password così non dovrai mai memorizzarle.
• Passphrase: Usa 4–6 parole selezionate casualmente (non una citazione comune o un testo di canzone). Passphrase di parole casuali come tunnel-magnet-silk-oxygen-duet possono essere sia lunghe che più memorizzabili. Aggiungi separatori e, se consentito, un simbolo o un numero o due.

Perché una password "molto lunga" può essere comunque debole

Alcune lunghe stringhe sono facili bersagli perché seguono schemi ovvi o compaiono in dataset di violazione. Ad esempio, lunghe sequenze della tastiera, blocchi di caratteri ripetuti o "trucchi" ampiamente condivisi sono tra i primi tentativi che gli strumenti di cracking moderni tentano. La lunghezza deve essere accoppiata con l'imprevedibilità per essere efficace.

Prima di usare una password, è saggio assicurarsi che non compaia in corpora di violazioni conosciuti. Molti gestori di password e strumenti di sicurezza forniscono controlli "ho sono stato compromesso" o screening simili. Puoi anche utilizzare un tester di forza della password per valutare le tue password.

Al di là dell'indovinamento: rischi di phishing e riutilizzo

Non tutti i furti di account implicano indovinamento. Il phishing e il riutilizzo sono cause frequenti di compromissione:

• Phishing: Anche una password di 30 caratteri può essere rubata se la inserisci su un sito falso. Usa MFA ogni volta che è possibile e considera chiavi di sicurezza hardware per account di alto valore.
• Riutilizzo: Se riutilizzi una password, una violazione su un sito può avere effetti a cascata sugli altri. Password uniche per sito contengono il raggio d'esplosione.

La lunghezza aiuta contro l'indovinamento, ma il phishing e il riutilizzo sono mitigati da MFA e un gestore di password che rende le credenziali uniche a portata di mano.

Buone pratiche per password forti

• Usa un gestore di password: Genera e memorizza password uniche e casuali per ogni account. Questo elimina la necessità di ricordarle e semplifica l'uso di stringhe lunghe.
• Preferisci lunghezza e casualità: Punta a 16+ caratteri. Se possibile, includi più set di caratteri, ma non sacrificare la lunghezza per soddisfare regole arbitrarie.
• Attiva MFA ovunque: Autenticatori TOTP basati su app, autenticatori push o chiavi hardware riducono significativamente il rischio.
• Non riutilizzare le password: Un sito, una password, sempre.
• Evita informazioni personali e schemi: Niente nomi, compleanni, indirizzi o percorsi della tastiera.
• Analizza periodicamente gli account critici: Email, servizi finanziari, piattaforme per sviluppatori e console di amministrazione meritano un'attenzione speciale.

Gestione di password uniche e forti per ogni account

Il modo pratico per scalare password uniche di 16–24 caratteri su dozzine (o centinaia) di siti è usare un gestore di password. Con un gestore, puoi:

• Generare password forti personalizzate per la politica di ciascun sito (prova il nostro generatore di password)
• Auto-compilare per evitare errori di digitazione (e ridurre l'esposizione ai furti di spalla)
• Sincronizzare in sicurezza tra dispositivi
• Controllare password riutilizzate, deboli o compromesse (usa il nostro tester di forza della password)

Se un sito limita la lunghezza o i simboli, configura di conseguenza il generatore, ancora una volta dando priorità alla lunghezza massima.

Raccomandazioni rapide

• Account giornalieri: 16–20 caratteri casuali
• Account di alto valore (email, banca, amministrazione cloud): 20–24 caratteri casuali + MFA
• Segreti di lunga durata (chiavi API, chiavi SSH): usa archiviazione con gestore; segui le linee guida della piattaforma; preferisci le passphrase solo se veramente casuali

Considerazioni finali

Quanto dovrebbe essere lunga una password? Quanto il sito consente—punta ad almeno 16 caratteri—e rendila casuale e unica. Aggiungi MFA per un forte secondo strato. Con un gestore di password che gestisce generazione e archiviazione, puoi avere una sicurezza robusta senza carico cognitivo aggiuntivo.