Ogni quanto cambiare le password?

Analisi dettagliata

La strategia moderna delle password

Le linee guida della sicurezza sono cambiate significativamente. Il vecchio consiglio di cambiare le password ogni 90 giorni è stato in gran parte sostituito da un approccio più sfumato:

Priorità 1: Password uniche per ogni account Se usi una password diversa per ogni account, una singola violazione non si propaga. Questo è più importante di quanto spesso le cambi.

Priorità 2: Password forti Una buona password è lunga (16+ caratteri), casuale e non include parole del dizionario. "Tr0ub4dor&3" sembra sicura ma è debole. "correcthorsebatterystaple" è molto più forte per la sua lunghezza.

Priorità 3: Cambia dopo le violazioni Monitora HaveIBeenPwned.com e i servizi di monitoraggio delle violazioni. Cambia le password per qualsiasi servizio violato immediatamente.

Priorità 4: Aggiorna regolarmente gli account ad alto rischio Email, banca, pensionamento, previdenza sociale — cambia questi ogni 3-6 mesi indipendentemente.

Gestore di password: non opzionale

È quasi impossibile ricordare password uniche e forti per decine o centinaia di account senza un gestore di password. Le opzioni includono:

Gestori cloud (raccomandati per la maggior parte degli utenti):

• Bitwarden (gratuito, open source, affidabile)
• 1Password (€3/mese, eccellente UX)
• Dashlane (€5/mese, funzionalità aggiuntive)

Gestori locali (per utenti attenti alla sicurezza):

• KeePass (gratuito, il database si trova solo sul tuo dispositivo)
• KeePassXC (versione moderna cross-platform)

La password del gestore di password è l'unica di cui hai bisogno di ricordare. Rendila lunga (20+ caratteri), unica, e memorizzala bene.

Autenticazione a due fattori (2FA)

L'abilitazione del 2FA rende il furto di password molto meno utile per gli hacker. Anche se ottengono la tua password, hanno ancora bisogno del tuo telefono o dispositivo 2FA.

Priorità di configurazione del 2FA:

1. Account email principale
2. Conti bancari e finanziari
3. Account dei social media
4. Qualsiasi cosa con un numero di carta di credito salvato
5. Gestori di password stessi

Usa le app authenticator (non SMS) quando possibile — il 2FA via SMS può essere aggirato con attacchi di scambio SIM.

Quando cambiare immediatamente

Non aspettare il prossimo ciclo trimestrale se:

• Ricevi una notifica di violazione da qualsiasi servizio
• Vedi attività non riconosciute su qualsiasi account
• Condividi inavvertitamente una password
• Perdi un dispositivo con password salvate
• Un servizio ti notifica un accesso sospetto

Smetti di usare queste pratiche

• Riutilizzare password su più siti
• Usare dati personali (nome, data di nascita, nome dell'animale domestico)
• Password brevi (sotto 12 caratteri)
• Pattern prevedibili (password1, Password2, Password3)
• Salvare password in Excel o note sul telefono non criptate
• Condividere password via SMS o email

Segnali che è ora

• Sono passati 3+ mesi dall'ultimo aggiornamento delle password degli account critici
• Hai ricevuto un'email di notifica di violazione
• Vedi attività non familiare su qualsiasi account
• Hai recentemente condiviso una password con qualcuno
• Il sito HaveIBeenPwned mostra la tua email in una violazione
• Stai usando la stessa password su più siti importanti

Tabella di riferimento

| Tipo di account | Frequenza di cambio | Priorità 2FA | Note | |-------------|-------------|-------------|-------| | Email principale | Ogni 3 mesi | Critica | Il fulcro della tua identità online | | Conti bancari | Ogni 3 mesi | Critica | Imposta avvisi per le transazioni | | Previdenza sociale/pensione | Ogni 6 mesi | Alta | Raramente violate ma alto impatto | | Social media | Ogni 6 mesi | Alta | Spesso bersaglio di attacchi | | Shopping/e-commerce | Dopo violazione | Media | Carta di credito salvata = rischio | | Forum/account a basso rischio | Dopo violazione | Bassa | Meno critici |