Ogni quanto bisogna cambiare la password?

Per la maggior parte degli account non dovresti cambiare una password forte e unica a scadenze fisse. Le linee guida moderne di enti come il NIST dicono di cambiare una password solo quando c'è un motivo: una violazione nota, una password condivisa o debole, oppure segnali che qualcuno vi ha accesso. Una password forte e unica protetta dall'autenticazione a due fattori non ha bisogno di un cambio di routine. Cambiarla ogni 30 o 90 giorni senza motivo tende a peggiorare la sicurezza, non a migliorarla.

Perché cambiare la password regolarmente non è più consigliato?

Perché nella pratica il cambio forzato è controproducente. Quando le persone sono costrette a cambiare spesso la password, ne scelgono di più deboli, seguono schemi prevedibili (Primavera2026, poi Estate2026) e riusano varianti tra i vari siti. Il NIST ha abbandonato il consiglio del cambio periodico nel 2017 proprio per questo motivo. Una sola password forte e unica che conservi è più sicura di una serie di password deboli che sei costretto a inventare ogni poche settimane.

Cosa devo fare invece di cambiare spesso le password?

Tre cose. Usa una password lunga e unica per ogni account: un gestore di password le genera e le ricorda, così non ne riusi mai una. Attiva l'autenticazione a due fattori, che da sola blocca una password rubata. E controlla le violazioni, così sai esattamente quando una password specifica va davvero cambiata. Questa combinazione ti protegge molto meglio del cambiare password a calendario.

Ogni quanto cambiare la password? (Linee guida 2026)

Q: Quando conviene davvero cambiare una password?

Cambia una password subito se: il servizio annuncia una violazione dei dati; scopri che la password è debole, riusata o condivisa; noti accessi o attività che non riconosci; l'hai inserita su un sito di phishing o su un dispositivo non affidabile; oppure l'hai inviata a qualcuno. In questi casi cambiala immediatamente e attiva l'autenticazione a due fattori. Al di fuori di un motivo reale come questi, una password forte e unica non ha bisogno di un cambio di routine.

Se il tuo reparto IT o una vecchia abitudine ti dice di cambiare ogni password ogni 90 giorni, la risposta moderna potrebbe sorprenderti: per la maggior parte degli account, non farlo. Le linee guida sulla sicurezza sono cambiate. Questa guida spiega ogni quanto dovresti davvero cambiare una password, perché il cambio forzato è stato abbandonato e cosa fare invece.

La risposta breve

Non cambiare una password forte e unica a scadenze fisse. Cambiala solo quando c'è un motivo reale. È il consenso attuale degli enti di sicurezza, NIST compreso, che ha abbandonato il consiglio del cambio periodico già nel 2017. Una password forte che conservi, protetta dall'autenticazione a due fattori, batte una serie di password più deboli che sei costretto a reinventare.

Perché « cambiala ogni 90 giorni » è controproducente

La vecchia regola sembrava prudente, ma nella pratica peggiorava le cose. Quando le persone sono costrette a cambiare spesso la password, non ne inventano una nuova e forte. Fanno piccole modifiche prevedibili — Primavera2026! diventa Estate2026! — e riusano gli stessi schemi tra gli account. Il risultato sono password più deboli e più facili da indovinare, e più riuso: esattamente ciò su cui contano gli aggressori.

Una clessidra con la sabbia che scorre, su sfondo blu

Quando conviene davvero cambiare una password

Il cambio dovrebbe essere innescato da eventi, non dal calendario. Cambia una password subito se:

Il servizio annuncia una violazione dei dati o trovi il tuo account in una di esse.
La password è debole, riusata o condivisa con qualcuno.
Noti accessi che non riconosci o attività sospette sull'account.
L'hai digitata su un sito di phishing o su un dispositivo non affidabile.
L'hai inviata a qualcuno, anche a te stesso, via chat o email.

In tutti questi casi, cambiala immediatamente e attiva l'autenticazione a due fattori.

Genera una password unica per ogni account — BitwardenGestore di password open-source e verificato che crea e ricorda password forti e uniche, così non devi più riusarle né cambiarle a mano→

Cosa fare invece

Cambiare le password di routine è l'abitudine sbagliata. Queste tre sono quelle giuste:

Usa una password unica per ogni account. Un gestore di password genera e conserva password lunghe e casuali, così non ne riusi né ne dimentichi mai una.
Attiva l'autenticazione a due fattori. Da sola blocca una password rubata, e questo conta molto più della frequenza con cui la cambi.
Controlla le violazioni. Così sai esattamente quando una password specifica va davvero cambiata, invece di tirare a indovinare a calendario.

In conclusione

La risposta onesta e attuale a « ogni quanto devo cambiare la password » è: non a scadenze fisse, ma solo quando succede qualcosa. Il cambio forzato nasceva da buone intenzioni, ma spingeva le persone verso password più deboli e ripetute. Sostituisci quell'abitudine con password forti e uniche, un gestore che le custodisca e l'autenticazione a due fattori. È questo che tiene davvero al sicuro gli account nel 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Ottieni NordPassGaranzia soddisfatti o rimborsati 30 giorni · Piano gratuito disponibile→