Creare una password complessa e facile da ricordare | Blog ufficiale di Kaspersky

Il flusso di nuove informazioni con cui veniamo bombardati non si placa mai. Nel 2025 avrai sempre meno spazio in testa per cose come la password dell’account di posta elettronica che hai creato nel 2020 per iscrivere tua madre a quel marketplace online. Con un pochino di impegno sarà semplice combattere la scarsa memoria, le password deboli e i cybercriminali.

Come hanno ripetutamente dimostrato i nostri esperti, è solo questione di tempo (e di denaro) prima che qualcuno che prende di mira la tua password riesca a decifrarla. Spesso, inoltre, richiede davvero pochissimo tempo e denaro. La nostra missione è quella di complicare il più possibile l’accesso alle password, in modo che gli hacker non abbiano più voglia di mettere le mani sui tuoi dati.

Il nostro studio dell’anno scorso ha scoperto che gli algoritmi intelligenti, sia che vengano eseguiti su una scheda grafica potente come la RTX 4090 o su hardware cloud in leasing a basso costo, possono decifrare il 59% di tutte le password del mondo in meno di un’ora. Siamo nel mezzo della seconda fase di questo studio e presto condivideremo se la situazione è cambiata in meglio nel corso dell’anno, quindi iscriviti al nostro blog o al canale Telegram per essere tra i primi a saperlo.

L’argomento di oggi non verte solo sui metodi di autenticazione più sicuri e sui modi per creare password complesse. Discutiamo quindi le tecniche per ricordare le password e rispondiamo alla domanda sul perché utilizzare un gestore di password nel 2025 sia davvero una buona idea.

Come effettuare l’accesso in modo più sicuro nel 2025

Oggigiorno sono disponibili diverse opzioni per accedere ai servizi online e ai siti Web:

• La tradizionale combinazione login e password
• Accedere tramite un servizio di terze parti come Google, Facebook, Apple e così via.
• Autenticazione a due fattori utilizzando uno dei seguenti metodi di verifica:
  • Codice monouso SMS
  • App di autenticazione come Kaspersky Password Manager, Google Authenticator o Microsoft Authenticator
  • Chiave hardware come Flipper, YubiKey o un token USB
• Passkey e autenticazione biometrica

Naturalmente, ognuno di questi metodi può essere compromesso (ad esempio, lasciando il token hardware fuori dalla porta USB di un computer incustodito in un luogo pubblico) o reso più sicuro (ad esempio, creando una password complessa composta da più di 20 caratteri casuali). Quindi, poiché l’era delle password tradizionali non è ancora finita, proviamo a capire come possiamo migliorare la nostra situazione attuale, inventando e memorizzando una password facile da ricordare.

Come si fa a ricordare una password complessa?

Prima di rispondere a questa domanda, ricordiamo le verità fondamentali sulle password:

• Lunghezza consigliata: 12–16 caratteri.
• Una password dovrebbe utilizzare diversi tipi di caratteri: numeri, lettere minuscole e maiuscole e caratteri speciali.
• Una password non dovrebbe contenere informazioni personali facilmente riconducibili all’utente.
• La password deve essere univoca per ciascun account.

Capito? Bene. Ora veniamo al punto chiave: una password complessa è facile da dimenticare; una semplice è facile da decifrare. Per aiutarti a raggiungere un equilibrio tra i due aspetti, abbiamo raccolto alcune regole note, ma comunque efficaci, per creare password facili da ricordare.

Livello base

Metti insieme alcune parole non correlate, come quelle utilizzate nelle seedphrase durante la registrazione dei portafogli di criptovaluta. Aggiungi alla fine un paio di numeri e caratteri speciali che siano significativi per te, ma che non siano facilmente indovinabili dall’autore di un attacco.

Esempio: DryLandStandGift2015;)

Le parole più brevi sono più facili da ricordare e il numero non dovrebbe corrispondere al proprio anno di nascita o a quello di una persona cara. Potrebbe trattarsi di qualsiasi combinazione facile da tenere a mente, come l’anno in cui sei andato per la prima volta a Disneyland, la targa della tua prima auto o la data del tuo matrimonio.

Livello avanzato

Pensa alla frase preferita di una canzone o a una citazione di un film e poi sostituisci, ad esempio, una lettera ogni due o tre con caratteri speciali che non sono in ordine sequenziale sulla tastiera. È più comodo utilizzare caratteri speciali facilmente accessibili (quelli che vedi sulla tastiera sullo schermo del telefono in modalità numerica). Ecco come creare una password sicura, veloce da digitare e che ti semplificherà la vita.

Ad esempio, se sei un fan della saga di Harry Potter, potresti provare a usare l’incantesimo Wingardium Leviosa per una buona causa. Proviamo a trasformare questo ciondolo a levitazione secondo la regola sopra e arricchirlo generosamente di caratteri speciali:

Wi4ga/di0mL&vi@sa

A prima vista, una password del genere sembra impossibile da ricordare, ma tutto ciò che serve è un po’ di pratica nella digitazione. Ripetilo due o tre volte e vedrai le tue dita raggiungere da sole i tasti giusti.

Perché non affidare la generazione delle password alle reti neurali?

Con la recente ondata di ChatGPT e di altri grandi modelli linguistici (LLM), gli utenti hanno iniziato a ricorrere a questi sistemi per le password. Ed è facile capire perché questa potrebbe essere un’opzione allettante: invece di sforzarti di trovare una password complessa, puoi semplicemente chiedere all’assistente AI di generarla, con risultati immediati. Se lo desideri, puoi anche chiedere di rendere la password mnemonica.

Purtroppo, il pericolo nell’utilizzare l’intelligenza artificiale come generatore di password complesse è che crea combinazioni di caratteri che appaiono casuali solo all’occhio umano. Le password generate dall’intelligenza artificiale non sono così affidabili come potrebbero sembrare a prima vista…

Alexey Antonov, Data Science Team Lead di Kaspersky, che ha condotto il precedente studio sulla complessità delle password, ha generato mille password con ChatGPT, Llama e DeepSeek. Si è scoperto che ogni modello sapeva che una buona password era composta da almeno una decina di caratteri, tra cui lettere maiuscole e minuscole, numeri e caratteri speciali. Tuttavia, DeepSeek e Llama a volte generavano password composte da parole del dizionario, in cui alcune lettere venivano sostituite da numeri o simboli dall’aspetto simile, come B@n@n@7 o S1mP1eL1on. Entrambi i modelli sembravano avere un debole per la password Password, fornendo varianti come P@ssw0rd, P@ssw0rd!23, P@ssw0rd1 o P@ssw0rdV. Inutile dire che non si tratta di password sicure, poiché gli algoritmi intelligenti di forza bruta conoscono bene il trucco della sostituzione delle lettere.

ChatGPT fa un lavoro migliore. Ecco alcuni esempi di ciò che è riuscito a realizzare:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• P@zq^XWLY#v9
• v#@LqYXW^9pz

Sembrano essere insiemi di lettere, caratteri speciali e numeri del tutto casuali. Tuttavia, se si osserva attentamente, è possibile individuare facilmente alcuni schemi. Alcuni caratteri, ad esempio 9, W, p, x e L, vengono utilizzati più spesso di altri. Abbiamo compilato un istogramma della frequenza dei caratteri per tutte le password generate ed ecco cosa abbiamo scoperto: le lettere preferite di ChatGPT sono x e p, Llama predilige il carattere # e ha un debole anche per p, mentre DeepSeek è patito di t e w. Al contrario, un generatore di numeri perfettamente casuale non favorirebbe mai una particolare lettera rispetto alle altre, ma utilizzerebbe ogni carattere più o meno nello stesso numero di volte, rendendo le password meno prevedibili.

Frequenza di utilizzo dei caratteri da parte di diversi modelli linguistici durante la generazione di mille password. È opportuno tenere presente che quasi tutte le password generate da ChatGPT contengono le lettere x, p, I e L.

Inoltre, gli LLM, come gli esseri umani, spesso trascurano di inserire caratteri speciali o numeri nelle password. L’assenza di questi simboli è stata riscontrata nel 26% delle password generate da ChatGPT, nel 32% di quelle generate da Llama e nel 29% di quelle generate da DeepSeek.

Conoscere queste specifiche può aiutare i cybercriminali ad attaccare con forza bruta le password generate dall’intelligenza artificiale in modo molto più rapido. Abbiamo sottoposto l’intero set di password generate dall’intelligenza artificiale allo stesso algoritmo utilizzato per lo studio precedente, riscontrando solo una tendenza scoraggiante: l’88% delle password generate da DeepSeek e l’87% di quelle generate da Llama non si sono rivelate sicure a sufficienza. ChatGPT si è classificato al primo posto, presentando solo il 33% delle password non sicure.

Purtroppo gli LLM non creano una distribuzione realmente casuale e il loro output è prevedibile. Inoltre, possono facilmente generare la stessa password di altri utenti. Quindi cosa dovremmo fare?

Approccio combinato

Ti consigliamo di utilizzare il nostro servizio Password Checker o, meglio ancora, Kaspersky Password Manager, per generare password. Questi due utilizzano generatori crittograficamente sicuri per creare password che non contengono schemi rilevabili, il che garantisce una reale casualità. Dopo aver generato una password complessa, puoi creare una frase mnemonica per ricordarla.

Supponiamo che il generatore di password fornisca la seguente combinazione: VAVpc*RVG0rr#PSb

Ecco una frase che potrebbe aiutarti a ricordare la password: A bordo di un veicolo ad alta velocità (VAV), superi un picco (pc) e vedi una stella (*) nella realtà virtuale (RV). Poi cadi a gravità zero (G0) e vedi il re e la regina (rr) dietro le sbarre (#) nella prigione della strega bianca (PSb).

Solo la mnemonica può aiutare in questo, quindi speriamo che ti piacciano le immagini astratte e assurde. Puoi anche provare a disegnare la scena che descrive la tua password, come mostrato sopra. Pochi oltre a te sarebbero in grado di comprendere il quadro. Questo è un modo semplice per memorizzare una password. Ma cosa succederebbe se fossero centinaia?

Che ne pensi della soluzione di memorizzare le password in un browser?

Non è una buona idea. Per risolvere il problema di ricordare le password, gli sviluppatori di browser forniscono opzioni per generare e salvare le password direttamente nei browser. Naturalmente questo è molto comodo: il browser stesso inserisce la password al posto degli utenti ogni volta che ce n’è bisogno. Purtroppo un browser non è un gestore di password e memorizzare le password al suo interno è estremamente poco sicuro.

Il problema è che i cybercriminali hanno capito molto tempo fa come usare semplici script per estrarre in pochi secondi le password memorizzate nei browser. E il modo in cui i browser sincronizzano i dati tra diversi dispositivi nel cloud, ad esempio tramite un account Google, non è un buon servizio per gli utenti. Tutto ciò che serve è hackerare o ingannare qualcuno inducendolo a rivelare la password di quell’account, e tutte le altre password saranno un libro aperto.

Usare uno strumento di gestione delle password

Un vero strumento di gestione delle password memorizza tutte le password in un archivio criptato. Per esempio, Kaspersky Password Manager conserva tutte le password in un archivio criptato con l’algoritmo di crittografia simmetrica AES-256, utilizzato dalla National Security Agency degli Stati Uniti per conservare i segreti di stato. L’algoritmo utilizza una password principale, che solo tu conosci (nemmeno noi la conosciamo), come chiave di criptaggio. Ogni volta che si accede a Kaspersky Password Manager, l’app richiede questa password e decripta l’archivio per la sessione corrente. Nello stesso archivio criptato è anche possibile archiviare altre informazioni importanti, come numeri di carte di credito, scansioni di documenti o appunti.

Kaspersky Password Manager offre anche altre utili funzionalità:

• Può essere utilizzato per generare combinazioni di password univoche e realmente casuali.
• Può inserire le password al posto dell’utente sia nei computer che nei dispositivi mobili.
• L’app è disponibile sia per le principali piattaforme mobili che per computer macOS e Windows; sono disponibili anche estensioni per i browser più diffusi.
• Il database delle password viene sincronizzato su tutti i dispositivi in forma criptata.
• È possibile utilizzarlo al posto di Google Authenticator per generare codici 2FA per tutti gli account in tutti i dispositivi, inclusi i computer.
• Controlla se le tue password sono state divulgate o compromesse e ti avvisa se è necessario modificarne una.

Kaspersky Password Manager, tutto ciò che devi fare è utilizzare i metodi descritti sopra per creare e ricordare una password principale, che verrà utilizzata per criptare l’archivio dello strumento di gestione delle password. Ricorda solo una cosa: dovrai memorizzare questa password molto bene, perché se la perdi tornerai al punto di partenza. Nessuno, nemmeno i dipendenti Kaspersky, può accedere agli archivi criptati degli utenti. Neanche noi conosciamo la tua password principale.

Riassumiamo

Quindi, come gestire correttamente le password nel 2025?

• Segui le linee guida sopra riportate per creare una password principale sicura e utilizza il nostro servizio Password Checker per testarne la complessità crittografica.
• Non riesci a trovare una password principale complessa? Creane una subito e usa delle regole mnemoniche per memorizzarla.
• Installa Kaspersky Password Manager nel dispositivo. Con questa app ti basterà ricordare la password principale. L’app penserà al resto.
• Utilizza passkey e vari metodi di autenticazione a due fattori ove possibile, preferibilmente tramite l’Kaspersky Password Manager. L’abbinamento di una password complessa a metodi di autenticazione sicuri crea una potente sinergia, che migliora significativamente la protezione contro l’accesso non autorizzato agli account.
• Leggi il blog Kaspersky Daily per stare al sicuro.

Questi post possono aiutarti a creare le password più sicure e a gestirle correttamente:

Come creare password complesse e dove memorizzarle

Come gli hacker decriptano le password in un’ora

Come memorizzare le password in modo sicuro

Password 101: non inserire le tue password ovunque ti vengano richieste

Kaspersky Password Manager cambia look