La tua password vale una Gioconda: smettila con 123456

Immagina il Louvre.

Migliaia di opere, sistemi di sicurezza all’avanguardia, sensori ovunque… e poi il responsabile IT che, per non dimenticarsela, imposta la password del server centrale su:

“louvre2025”

Minuscolo, senza simboli, uguale al nome del museo e con l’anno corrente.
E magari la scrive pure su un post-it sotto la tastiera.

È una scenetta inventata, ma la verità è che noi facciamo spesso cose altrettanto assurde: trattiamo i nostri dati come se fossero “la Gioconda”, ma li proteggiamo con la stessa fantasia che metteremmo nel PIN del citofono.

Da qui partono gli allarmi, e da qui parte anche lo studio NordPass sulle password più usate (e più pericolose) al mondo e in Italia.

Cosa dice lo studio NordPass sulle password (anche in Italia)

Ogni anno NordPass pubblica la lista delle 200 password più comuni, basata sull’analisi di milioni di credenziali rubate in giro per il mondo. Il quadro è deprimente ma chiarissimo:

• Nel mondo, password come “123456” continuano a dominare da anni. NordPass+1
• Nel report più recente, “123456” è ancora la password più usata a livello globale. HDblog+1
• In Italia, l’ultima analisi segnala al primo posto “admin”, seguita da “password” e “123456”. Poi arrivano chicche come “cambiami”, “123456789”, “Napoli1926”, “ciaociao”, “juventus”, “123stella”.

Quasi tutte queste password hanno in comune tre cose:

1. Sono brevi
2. Sono prevedibili
3. Si possono indovinare o forzare in meno di un secondo con strumenti automatici.

Se ti riconosci in qualcuno di questi esempi, la notizia è semplice:

La tua password non è “tua”: ce l’hanno già in milioni.

Vediamo quindi come farne di migliori, quali evitare come la peste e come gestirle senza impazzire.

Come creare una password davvero sicura

1. Pensa più a una “passphrase” che a una password

Più che una parola, pensa a una frase lunga:

• lunghezza: almeno 12–14 caratteri, meglio se 16+
• composta da: parole, numeri e simboli

Esempio (non usarla così com’è, mi raccomando):

Cane!Bicicletta_7Gelati

È molto più difficile da indovinare di Luca1980!, che magari coincide pure coi tuoi dati reali.

2. Mescola tipologie di caratteri

Per ogni password:

• Lettere maiuscole e minuscole
• Numeri che non siano ovvi (no 1234, 2025, ecc.)
• Simboli: ! ? _ % # – ma inseriti in modo non prevedibile

Esempio di struttura:
Parola1!Parola2%Numero

L’idea non è complicarsi la vita inutilmente, ma complicarla agli attaccanti.

3. Non usare mai dati personali

Evita:

• il tuo nome o cognome
• nome del partner, figli, cane, gatto
• data di nascita (tua o dei familiari)
• numero di telefono, targa, indirizzo
• squadra del cuore + anno (tipo “juventus1897”, “napoli1926”)

Sono tutte cose che chiunque può trovare sui social o con una ricerca un minimo mirata.

4. Una password diversa per ogni servizio importante

Regola antipatica ma non negoziabile:

Email, home banking, social principali, cloud (foto/documenti)
? password tutte diverse.

Perché?
Se una piattaforma viene violata e rubano la tua password, chi attacca prova automaticamente la stessa combinazione su altri servizi. E se riusi sempre la stessa… hai capito il problema.

Password da evitare: esempi pratici

1. Le “classiche” da lista nera

Qualunque cosa assomigli a:

• 123456, 12345678, 123456789, 12345, 111111
• password, admin, administrator, qwerty, qwerty123 NordPass+1

Sono finite negli elenchi di password più usate milioni di volte. Chi attacca le prova per prime.

2. Parole italiane banali o “emotive”

Da evitare:

• ciaociao, amore, amore123, tiamo2025
• soprannomi, nomignoli, insulti o bestemmie (sì, sono nella top italiana…)

Brevi, semplici, facilmente indovinabili sia da un umano che da un software.

3. Schemi di tastiera

Tipo:

• qwerty, qwertyuiop
• adgj1357 (sequenze lineari o alternate sulla tastiera)

A noi sembrano “furbi”, ai programmi che testano miliardi di combinazioni sembrano… regali di Natale.

4. “Cambiale” che non cambiano mai

Password tipo:

• cambiami
• passwordnuova, provvisoria, temp2025

Nascono come temporanee ma poi restano lì per anni. E indovinarle è un gioco da ragazzi.

Come gestire (bene) le password senza impazzire

1. Usa un gestore di password

È lo strumento più sensato nel 2025:

• genera password lunghe, complesse e diverse per ogni sito
• le memorizza in modo cifrato
• tu devi ricordare solo una password principale (questa sì, deve essere blindata)
• spesso è integrato anche su smartphone e PC

Ce ne sono diversi (anche open source o integrati nei browser); l’importante è usarne uno e usarlo bene.

2. Se proprio vuoi un “trucchetto” per ricordarle

Se non ti fidi dei gestori o vuoi un sistema ibrido:

1. Parti da una frase base facile per te, lunga e con simboli
• es: IlCaffèDiMattina!ÈLaVita
2. Aggiungi una parte legata al sito, non ovvia
• per la banca: +BAN
• per la mail: +MAIL

Risultato:

• banca ? IlCaffèDiMattina!ÈLaVita+BAN
• mail ? IlCaffèDiMattina!ÈLaVita+MAIL

Non è perfetto come un gestore, ma è già anni luce avanti rispetto a NomeCognome82.

3. Niente più post-it e quadernetti “pubblici”

Se scrivi le password:

• non tenerle in vista sulla scrivania
• non usare fogliolini appesi allo schermo
• niente file chiamati password.doc sul desktop (succede, eccome se succede)

Se proprio ti serve un supporto cartaceo:

• usa abbreviazioni che capisci solo tu
• tienilo in un posto fisicamente sicuro (non vicino al PC).

4. Attiva sempre l’autenticazione a due fattori (2FA)

Dove possibile, abilita:

• app di autenticazione (tipo codice a tempo)
• oppure SMS (meglio di niente, anche se meno sicuro dell’app)

Così, anche se qualcuno indovina o ruba la tua password, manca comunque il secondo pezzo del puzzle.

Gli errori più comuni (da smettere subito)

• Riutilizzare la stessa password ovunque
• Usare la mail principale con una password debole
• Non cambiare mai le password dopo una violazione nota
• Condividerle via WhatsApp, email o chat
• Salvare le password in chiaro su blocco note del pc
• Usare la password del lavoro anche nei siti personali (o viceversa)

Se ti riconosci in più di uno di questi punti, non serve sentirsi in colpa: serve fare un piano minimo di “pulizia password”.

Mini-checklist: 8 cose da fare oggi sulle tue password

1. Cambia subito qualsiasi password che assomigli a:
• 123456, password, admin, cambiami, qwerty, nome+cognome, squadra+anno ecc.
2. Metti una password diversa e molto forte per:
• email principale
• home banking
• account Apple/Google (quelli con cui accedi a mille altri servizi).
3. Attiva l’autenticazione a due fattori ovunque sia disponibile.
4. Installa e configura un gestore di password.
5. Smetti di condividere password con amici/parenti/colleghi: se serve, crea account separati.
6. Controlla le password salvate nel browser: cancella quelle banali e cambiale sui siti.
7. Evita di usare dati personali e informazioni che compaiono sui social.
8. Dedica una mezz’ora a fare “pulizia”: oggi sembra una perdita di tempo, domani potrebbe evitarti un furto d’identità o peggio.

Le password sono ancora, nel bene e nel male, le chiavi di quasi tutta la nostra vita digitale.
Se al Louvre non lascerebbero mai la Gioconda appesa con lo spago, forse è arrivato il momento di non lasciare neanche i nostri dati appesi a 123456.