Tempo di lettura dell’articolo: 2 minuti.

Nel 2025 ci sono ancora aziende che usano “password123” per accedere al gestionale. E no, non è una battuta. Ce ne accorgiamo ogni volta che facciamo assistenza remota o interveniamo su infrastrutture esistenti: password salvate in chiaro in file Excel, post-it sul monitor con il nome dell’amministratore e la password scritta a penna, accessi condivisi tra più utenti “per comodità”. La realtà è che le password, ancora oggi, sono la porta d’ingresso più facile per chi vuole accedere ai tuoi dati. E se non ci credi, basta cercare “data breach” su Google per vedere quanti disastri sono iniziati proprio da lì.

Il problema non è solo nella scelta della password. Certo, usare il nome del cane seguito dall’anno di nascita non è una grande idea, ma il punto è che la gestione complessiva delle password è spesso un disastro. Nessuno cambia password da anni, tutti usano sempre la stessa per tutto, e quando c’è da crearne una nuova, si finisce per aggiungere un punto o un numero e stop. Non funziona. Anzi, è proprio questo tipo di comportamento prevedibile che gli attacchi automatici riescono a sfruttare nel giro di secondi.

Molte aziende pensano che installare un antivirus basti per sentirsi al sicuro, ma se la password dell’account amministratore è “admin2020”, nessun software potrà mai proteggerti davvero. Peggio ancora, spesso gli accessi a servizi esterni – come PEC, portali pubblici, gestionali cloud – vengono gestiti con una sola credenziale condivisa da tutti. Il risultato? Nessuna tracciabilità, rischio elevatissimo, e impossibilità di capire chi ha fatto cosa, se succede un problema.

Ciò che consigliamo sempre è un cambio di approccio. Prima di tutto: usare un gestore di password sicuro e condivisibile tra membri autorizzati del team. Ce ne sono diversi, anche gratuiti, che cifrano le credenziali e permettono di generare password casuali, complesse e uniche per ogni servizio. Poi: abilitare sempre che possibile l’autenticazione a due fattori, anche se può sembrare una scocciatura. È una barriera che fa davvero la differenza.

Non è necessario ricordarsi tutto a memoria. È necessario invece che nessuna password sia scritta su carta, in chiaro, o in file Word senza alcuna protezione. Le credenziali sono come chiavi di casa: se le lasci sotto lo zerbino, non serve avere la porta blindata.

Inoltre, è fondamentale cambiare le password regolarmente, soprattutto per gli account con accessi sensibili. Non è paranoia, è semplice buonsenso informatico. E se un collaboratore lasciasse l’azienda, il primo passo da fare dovrebbe essere revocare tutti gli accessi immediatamente.

La sicurezza delle password non è un tema solo per informatici o hacker: è una questione concreta che riguarda ogni azienda, ogni giorno. È inutile investire in server, firewall o backup se poi il punto più debole resta l’unica cosa che tutti possono vedere: la password sbagliata, nel posto sbagliato.