Perché le password riutilizzate sono pericolose
La persona media destreggia oltre 100 account ma riesce a ricordare solo una manciata di password — così le riutilizza o si appoggia a varianti deboli come “password1” e “password2”. Quando un qualsiasi sito subisce una violazione (cosa che accade migliaia di volte all'anno), i bot riprovano quella coppia email-e-password su banche, email e social media nel giro di ore. Questo è il credential stuffing, e una password univoca per ogni account è l'unica vera difesa. (Per capire cosa rende davvero forte una password e come funziona l'archiviazione a conoscenza zero, consultate l'articolo Learn sulla sicurezza delle password.)
Configurare un gestore di password in 4 passaggi
- 1Choose and install a password manager that fits your needs. PrivaPass works entirely inside your browser with no account required at all. Other solid options include Bitwarden (open-source, with a generous free tier), 1Password, or even your browser's own built-in manager as a starting point.
- 2Import or create your entries. The easiest way to start is by saving passwords as you log in to each site. Most managers also offer to import the passwords already saved in your browser. Begin by generating brand-new random passwords for your most important accounts first — email and banking above all.
- 3Verificate e sostituite le vostre password deboli e riutilizzate, partendo dagli account che possono reimpostare tutto il resto — prima la vostra email principale, poi la banca e le finanze. Controllate i vostri indirizzi su haveibeenpwned.com e cambiate qualsiasi cosa risulti in una violazione nota.
- 4Attivate l'autenticazione a due fattori (2FA) su tutti gli account critici — soprattutto email, banca e qualsiasi cosa possa essere usata per reimpostare altre password. Anche se la vostra master password fosse in qualche modo compromessa, la 2FA blocca l'accesso non autorizzato; preferite un'app di autenticazione o una passkey rispetto agli SMS.
Consigli da esperti per la sicurezza delle password
Use a passphrase for your master password — a sequence of 4 to 5 genuinely random words is both more secure than a short but complex password and far easier to remember reliably. Never store your master password anywhere digitally. Write it down on paper and keep it somewhere genuinely safe and offline, away from your devices. Regularly check services like Have I Been Pwned (haveibeenpwned.com) to find out whether any of your email addresses have turned up in known data breaches. Change your passwords proactively the moment a service you use reports a breach — never wait passively for them to force a reset on your behalf.