Labs Ricerca & Insight 9 min di lettura
Password sicure: perché la lunghezza batte la complessità

Password sicure: perché la lunghezza batte la complessità

Una guida pratica alla sicurezza delle password: lunghezza, passphrase, dictionary attack, rockyou, MFA, password manager e protezione degli account.

LA
Lorenzo Attardo
20 giugno 2026
Password Security Passphrase Brute Force Dictionary Attack John the Ripper Rockyou MFA Password Manager Credential Stuffing Hashing Cybersecurity Awareness

Quando si parla di password, molte persone pensano ancora che basti aggiungere una maiuscola, un numero e un simbolo per essere al sicuro.


Una password come Password1234! sembra migliore di una password semplice. Contiene lettere maiuscole, lettere minuscole, numeri e un carattere speciale. Il problema è che anche gli attaccanti conoscono queste abitudini.

Molte password “complesse” seguono schemi estremamente prevedibili:

parola comune + numero + simbolo

stagione + anno + punto esclamativo

nome della città + anno
squadra del cuore + anno storico + simbolo

nome dell’azienda + anno corrente

Esempi come Estate2026!, Aragona2026! o Inter2010@ possono rispettare una vecchia policy aziendale, ma restano deboli se sono costruiti con logiche prevedibili.

La sicurezza di una password non dipende da quanto sembra complicata a una persona. Dipende da quanto è difficile da indovinare per una macchina.

Una password breve, comune o basata su informazioni prevedibili può cadere molto rapidamente. Una passphrase lunga, unica e non banale, invece, cambia completamente lo scenario.

Un esempio migliore può essere:

pasta-pizza-sole-luna-99

Non è una password “perfetta” in assoluto, ma rende bene il concetto: è più lunga, più facile da ricordare e meno prevedibile rispetto alla classica password corta con simbolo finale.



Brute force e dictionary attack: non sono la stessa cosa


Un attacco brute force prova tutte le combinazioni possibili: lettere, numeri, simboli e lunghezze crescenti.

È un approccio teoricamente completo, ma diventa sempre più costoso quando la password è lunga.

Un dictionary attack, invece, è spesso più realistico: l’attaccante non prova tutto a caso, ma parte da parole comuni, password già trapelate, nomi, anni, città, squadre, stagioni e combinazioni che gli utenti scelgono davvero.

In altre parole: molti attacchi non partono dalla matematica pura, ma dalle abitudini umane.

Ed è proprio qui che molte password “formalmente complesse” diventano deboli.



Un semplice esempio


Per dimostrare il concetto, ho preparato un piccolo laboratorio locale con John the Ripper.

La demo non riguarda account reali, sistemi reali o servizi online. Le password e gli hash sono stati creati appositamente per questo test.

Le password usate nella dimostrazione sono:

  • Password1234!

  • Estate2026!

  • Aragona2026!

  • Inter2010@

  • pasta-pizza-sole-luna-99


Le prime quattro sono volutamente prevedibili.
L’ultima è una passphrase più lunga e meno ovvia.

Per semplicità dimostrativa sono stati generati hash SHA-256. Questo è utile per capire il meccanismo dell’attacco, ma è importante chiarire una cosa: SHA-256 non dovrebbe essere usato per salvare password reali in un’applicazione moderna. Per la conservazione sicura delle password servono algoritmi pensati appositamente per rallentare gli attacchi offline, come Argon2id, bcrypt o PBKDF2, sempre con salt univoco e parametri adeguati.



Creazione degli hash


Nel laboratorio ho generato gli hash delle password di esempio.

A questo punto il file non contiene più le password in chiaro, ma solo le loro impronte crittografiche.

Il principio è semplice: se un attaccante ottiene un database di hash, può provare milioni o miliardi di password candidate, calcolare l’hash di ciascuna e confrontarlo con gli hash rubati.

Se l’hash combacia, la password è stata indovinata.


Il dizionario usato nella prova


Per la demo ho creato un piccolo dizionario con parole e combinazioni prevedibili.

Questo dizionario è volutamente minuscolo. Serve solo a mostrare il concetto.

Nella realtà, un attaccante può usare wordlist molto più grandi, come rockyou.txt, una delle liste più note nei laboratori di sicurezza e nei contesti CTF. Rockyou contiene milioni di password trapelate in passato ed è spesso usata per dimostrare quanto siano ricorrenti certe scelte umane.

Il punto non è “rockyou” in sé. Il punto è che le password degli esseri umani tendono a ripetersi.

Se una password è comune, prevedibile o costruita con pattern banali, prima o poi finirà dentro un dizionario, dentro una regola di mutazione o dentro una combinazione automatizzata.



Il risultato


Lanciando John the Ripper contro gli hash generati, il risultato è immediato: le password presenti nel dizionario vengono recuperate.

Le password recuperate sono:

  • Password1234!

  • Estate2026!

  • Aragona2026!

  • Inter2010@

La passphrase pasta-pizza-sole-luna-99, invece, non è stata recuperata dal dizionario usato nella demo.

Questo non significa che sia impossibile da scoprire. Significa che, rispetto agli altri esempi, è meno prevedibile e non cade davanti a un dizionario semplice.

La differenza è importante: in sicurezza non esiste “invulnerabile”. Esiste “più costoso da attaccare”.



Perché la lunghezza cambia tutto


Una password corta, anche se contiene simboli, può essere debole.

Prendiamo una password come Inter2010@. Per una persona sembra abbastanza forte: c’è una maiuscola, ci sono numeri e c’è un simbolo. Ma se quella combinazione deriva da una squadra, da un evento noto o da un riferimento personale, diventa molto più prevedibile.

Lo stesso vale per Estate2026!. Formalmente sembra accettabile, ma segue uno schema comunissimo: stagione, anno, punto esclamativo.

La lunghezza aiuta perché aumenta lo spazio di ricerca. Ma la lunghezza da sola non basta: una frase lunga ma famosa, una citazione, il titolo di una canzone o una sequenza personale troppo ovvia possono comunque essere rischiosi.

Una buona passphrase dovrebbe essere:

  • lunga;

  • unica;

  • non famosa;

  • non pubblicata online;

  • non collegata facilmente alla persona;

  • diversa per ogni servizio.



Il falso mito della password “complicata”


Per anni molte policy aziendali hanno imposto regole come:

  • almeno 8 caratteri;

  • una maiuscola;

  • una minuscola;

  • un numero;

  • un simbolo;

  • cambio password ogni pochi mesi.

Queste regole hanno prodotto un effetto collaterale: gli utenti hanno iniziato a creare password prevedibili.

La maiuscola finisce spesso all’inizio.
Il numero finisce spesso alla fine.
Il simbolo più usato è spesso il punto esclamativo.
L’anno corrente viene aggiunto come suffisso.
La password vecchia viene modificata di poco.

Così nascono password come:

Password2026!
Estate2026!
Azienda2026!
NomeCittà2026!

Sembrano diverse, ma seguono tutte la stessa logica.

La sicurezza moderna deve superare questa mentalità.

Non serve costringere gli utenti a inventare password impossibili da ricordare. Serve portarli verso password lunghe, uniche, gestite con strumenti corretti e protette da più livelli di sicurezza.



Il ruolo del password manager


Una delle obiezioni più comuni è: “Come faccio a ricordare password lunghe e diverse per ogni sito?”

La risposta corretta è: non dovresti ricordarle tutte.

Un password manager permette di generare e conservare password lunghe, casuali e uniche per ogni servizio.

Questo riduce tre problemi enormi:

  1. il riutilizzo della stessa password su più account;

  2. la creazione di password prevedibili;

  3. la necessità di ricordare decine di credenziali diverse.

Il riutilizzo delle password è particolarmente pericoloso. Se una password usata su un vecchio sito viene violata, un attaccante può provarla su email, social, gestionali, servizi cloud e pannelli aziendali.

Questa tecnica si chiama credential stuffing: non serve “bucare” il sistema dell’azienda se l’utente ha già riutilizzato altrove la stessa password.



MFA: perché la password da sola non basta


Anche una buona password può essere rubata.

Può essere inserita in una pagina di phishing.
Può essere intercettata da un malware.
Può essere recuperata da un vecchio data breach.
Può essere esposta per errore in un file, in una chat o in una configurazione.

Per questo serve l’MFA, cioè l’autenticazione a più fattori.

L’MFA aggiunge un secondo livello oltre alla password. Può essere un codice temporaneo, una notifica su app, una chiave fisica, una passkey o un altro meccanismo di verifica.

Non tutte le MFA, però, sono uguali.

Gli SMS sono meglio di niente, ma sono più deboli.
Le app OTP sono utili, ma possono essere aggirate da phishing ben costruito.
Le notifiche push possono essere abusate con tecniche di “MFA fatigue”, bombardando l’utente di richieste finché non approva per stanchezza.
Le soluzioni phishing-resistant, come security key FIDO2 e passkey, sono molto più robuste contro il furto delle credenziali.

Per servizi critici come email aziendale, VPN, pannelli amministrativi, cloud, PEC, gestionali e account privilegiati, l’MFA non dovrebbe essere opzionale.



Cosa dovrebbe fare un’azienda


Per ridurre davvero il rischio, non basta dire agli utenti “scegliete password più sicure”.

Serve una strategia minima.

Un’organizzazione dovrebbe almeno:

  • vietare password comuni o già compromesse;

  • permettere password lunghe e passphrase;

  • evitare cambi password periodici inutili, se non c’è sospetto di compromissione;

  • introdurre un password manager aziendale;

  • attivare MFA sui servizi critici;

  • usare MFA più robusta per amministratori e account privilegiati;

  • impedire il riutilizzo delle password aziendali;

  • applicare rate limit e blocchi intelligenti sui login;

  • monitorare tentativi anomali di accesso;

  • formare gli utenti su phishing, credential stuffing e furto credenziali;

  • verificare che le applicazioni salvino le password con algoritmi adeguati.

L’obiettivo non è creare frizione inutile. L’obiettivo è rendere molto più costoso l’attacco.



Cosa dovrebbe fare un utente


Per un utente, le regole pratiche sono semplici:

  1. usare password diverse per ogni servizio;

  2. preferire password lunghe o generate casualmente;

  3. usare un password manager;

  4. attivare MFA dove disponibile;

  5. evitare password basate su nome, città, squadra, data di nascita, figli, animali o azienda;

  6. non salvare password in note non protette, fogli Excel o chat;

  7. controllare periodicamente se le proprie credenziali sono finite in data breach;

  8. non inserire mai password dopo aver cliccato link sospetti ricevuti via email, SMS o messaggi.

La password migliore è quella che non devi inventare a memoria ogni volta.

Per gli account importanti, meglio una password lunga, casuale e conservata in un password manager, protetta da MFA.



Il punto tecnico più importante


Questa demo mostra solo una parte del problema: la scelta della password.

Ma lato applicazione esiste un altro tema fondamentale: come vengono salvate le password.

Un sistema non dovrebbe mai salvare password in chiaro.

Non dovrebbe nemmeno usare hash veloci generici per la conservazione reale delle password. Algoritmi come SHA-256 sono ottimi in molti contesti crittografici, ma non sono adatti da soli per proteggere password archiviate, perché sono troppo veloci.

Per le password servono algoritmi lenti e configurabili, progettati per rendere costoso ogni tentativo di cracking offline.

Ecco perché, in un sistema moderno, bisogna usare soluzioni come:

  • Argon2id;

  • bcrypt;

  • PBKDF2;

  • salt univoco per ogni password;

  • parametri di costo adeguati;

  • protezione del database;

  • logging e monitoraggio degli accessi;

  • procedure di reset sicure.

La sicurezza delle password non dipende solo dall’utente. Dipende anche da come il sistema è progettato.



Conclusione


La password sicura non è quella che sembra complicata.

È quella che resiste meglio agli attacchi reali.

Una password come Password1234! può sembrare accettabile, ma è prevedibile.
Una password come Estate2026! rispetta molte vecchie regole, ma segue uno schema banale.
Una password come Inter2010@ contiene numeri e simboli, ma può essere collegata a un riferimento umano prevedibile.
Una passphrase come pasta-pizza-sole-luna-99 è più lunga e meno immediata da intercettare con un dizionario semplice.

La vera lezione è questa:

meglio lunga, unica e non prevedibile che corta e apparentemente complessa.

Ma non basta.

Una buona strategia deve includere password manager, MFA, controllo delle password compromesse, protezione dei login, hashing corretto lato server e formazione degli utenti.

In cybersecurity il problema non è eliminare ogni errore umano.

Il problema è progettare sistemi che non crollino al primo errore umano.









Vuoi saperne di più?

Contatta il nostro team per approfondire come queste analisi possano aiutare la tua azienda.

Parla con un esperto