Focus

Password: il trucco di Cisco per renderla invincibile oggi

Scritto da

Cisco lancia una campagna di sensibilizzazione per il Cybersecurity Awareness Month con consigli pratici per creare password più sicure e ridurre il rischio di violazioni degli account online, puntando su lunghezza, unicità, uso di password manager e autenticazione a più fattori (MFA). In un contesto in cui collezioni record di credenziali rubate circolano sul web e nel dark web, rafforzare l’igiene delle credenziali non è più opzionale ma essenziale per la protezione di dati personali e professionali.

Cybersecurity Awareness Month

Per tutto ottobre, tradizionalmente dedicato alla sensibilizzazione sulla sicurezza informatica, Cisco condivide raccomandazioni operative per aiutare gli utenti a innalzare il livello di protezione dei propri account e delle proprie informazioni, con focus su buone pratiche, strumenti e strategie immediatamente adottabili. L’iniziativa si inserisce in un quadro di minacce crescenti e continuo riemergere di grandi dump di credenziali, che amplificano il rischio di accessi non autorizzati e furti di identità se le basi della protezione degli account non sono solide.

Perché le password contano

La compromissione di una singola password può aprire la porta a cascate di accessi: email, servizi finanziari, cloud e persino profili social, con impatti concreti su privacy e patrimonio digitale. Negli ultimi mesi sono emersi archivi con miliardi di credenziali rubate, segnale che attori malevoli dispongono di un’enorme base di dati per attacchi di credential stuffing e phishing mirato.

Lunghezza e complessità

La prima linea di difesa è la lunghezza: passphrase lunghe e casuali innalzano in modo drastico il costo di attacco contro tentativi di brute force e password spraying, soprattutto se prive di schemi prevedibili e riferimenti personali. Le linee guida attuali consigliano di superare i 12–14 caratteri e, dove possibile, spingersi verso 15–20 caratteri con mix di lettere, numeri e simboli o, in alternativa, passphrase robuste non basate su dizionari e pattern comuni.

Parole e pattern da evitare

Parole comuni e sequenze da tastiera come “qwerty”, termini generici, nomi, colori, sport o combinazioni “parola+anno+!” riducono la robustezza perché sono prioritarie nei dizionari degli strumenti di cracking e negli attacchi basati su regole. Anche quando una password soddisfa requisiti formali (maiuscole, minuscole, numeri, simboli), l’uso di vocabolari noti e schemi ripetitivi la rende prevedibile e quindi vulnerabile.

Unicità e niente riuso

Il riutilizzo della stessa password su più servizi trasforma una singola violazione in una compromissione a catena, favorendo il credential stuffing su email, social e banking. Le raccomandazioni convergono su password sempre uniche per ogni account critico e su una revisione periodica delle credenziali esposte quando emergono nuovi dataset nel dark web.

Password manager: l’alleato giusto

Poiché la casualità umana è limitata, un password manager consente di generare credenziali lunghe, uniche e ad alta entropia per ogni servizio, memorizzandole in modo sicuro e prevenendo il riuso. Le best practice indicano di proteggere il vault con una passphrase principale molto forte e di attivare MFA sul gestore stesso per mitigare rischi residuali.

MFA ovunque possibile

Attivare l’autenticazione a più fattori aggiunge un secondo livello di verifica, bloccando la maggior parte dei tentativi di accesso anche in caso di password esposta o indovinata. Metodi più robusti includono app di autenticazione, prompt con number matching e chiavi hardware FIDO2/passkey, preferibili agli SMS per una maggiore resistenza al phishing e agli attacchi di intercettazione.

Il contesto delle minacce

La recente esposizione di oltre 16 miliardi di credenziali evidenzia quanto sia diffuso l’uso di infostealer e collezioni massicce di dati, rendendo imprescindibili pratiche di cyber hygiene coerenti e aggiornate. In questo scenario, le indicazioni di Cisco e dei principali attori della sicurezza convergono sull’adozione di password lunghe e uniche, password manager e MFA come baseline irrinunciabile.

In pratica, da fare oggi

Puntare su passphrase di almeno 14 caratteri, meglio se 15–20, evitando parole comuni e schemi prevedibili, quindi affidarne la gestione a un password manager affidabile. Abilitare la MFA su email, banking, social e tool professionali, preferendo metodi resistenti al phishing quando disponibili, per innalzare significativamente la sicurezza complessiva degli account.