Oggi è il World Password Day e la password da 24 caratteri con maiuscole, numeri e simboli speciali non serve a un bel niente se viene usata su dieci siti diversi, se si digita al bar sul Wi-Fi pubblico, se si clicca sul link di quell’email che dice il tuo conto sarà sospeso entro 24 ore
e se non si attiva l’autenticazione a due fattori. La password è una porta blindata, ma se si lasciano le finestre aperte, il ladro entra da lì…
La password è inutile se si commettono questi 4 errori
Errore numero 1: usare il Wi-Fi pubblico senza protezione
Il Wi-Fi del bar, dell’aeroporto, dell’hotel. Ci si collega, si apre la mail, si controlla il conto in banca. Una password che transita in chiaro o con cifratura debole su un network pubblico può essere intercettata da un hacker posizionato tra il proprio dispositivo e il punto di accesso, un attacco chiamato man-in-the-middle. I Wi-Fi pubblici sono il terreno di caccia preferito dei cybercriminali.
Le precauzioni minime: verificare che i siti siano in HTTPS (il lucchetto nella barra degli indirizzi). La protezione più efficace è usare una VPN che cifra tutto il traffico con protocolli come AES-256 o ChaCha20. Anche se un hacker intercetta i pacchetti, il contenuto è illeggibile.
Errore numero 2: non verificare l’autenticità delle email
Il phishing è l’attacco più semplice da eseguire e tra i più efficaci. Un criminale si spaccia per la propria banca, un servizio pubblico, Amazon, e indirizza su una pagina identica all’originale dove si inseriscono le proprie credenziali. I dati vanno direttamente all’hacker.
Le campagne moderne sono sofisticate, personalizzate con il proprio nome, il proprio operatore telefonico, il proprio datore di lavoro, informazioni disponibili grazie alle fughe di dati che si moltiplicano.
Prima di cliccare su un link, è bene verificare l’indirizzo del mittente. Un’email “ufficiale” da @gmail.com è un segnale d’allarme. Bisogna diffidare dei messaggi che creano urgenza, è lo stress che fa cliccare senza pensare.
Errore numero 3: riutilizzare le stesse credenziali su più siti
Secondo uno studio Bitwarden del 2024, l’84% degli utenti riutilizza le password su più account. Quando un hacker ottiene le credenziali da una fuga di dati, lancia un attacco di “credential stuffing”, testa automaticamente gli stessi username e password su centinaia di altri servizi: banca, email, social, e-commerce. Una sola fuga compromette l’intera vita digitale.
La soluzione è un gestore di password che genera e conserva credenziali uniche per ogni sito. Va bene qualsiasi gestore.
Errore numero 4: non attivare l’autenticazione a due fattori
Secondo Microsoft, l’autenticazione a due fattori blocca il 99% degli attacchi automatizzati. Anche se un hacker ha la password, senza il secondo fattore, un codice temporaneo via SMS o app come Google Authenticator, non può entrare.
Nonostante questo, la maggior parte delle persone non la attiva. È il lucchetto aggiuntivo che costa dieci secondi in più al login e che può salvare il proprio account. Va attivato ovunque sia disponibile, email, banca, social network, e subito che è il giorno giusto!
Ti potrebbe interessare
7 mag 2026