L'adozione di misure di sicurezza adeguate è ormai indispensabile per una corretta tutela dei dati personali. Si tratta di una pratica sostanzialmente imposta proprio dalle norme in materia.
In tale prospettiva conviene ricordare alcune delle migliori pratiche di protezione delle password, tenendo presente che alcune delle pratiche comunemente consigliate sono ormai deprecate nel'ambito della sicurezza informatica. Le più recenti indicazioni del National Institute of Standards and Technology (NIST) americano sono le seguenti.
1. Le password devono essere lunghe non complesse
Questo dipende molto dal gestore del servizio che stabilisce talvolta dei limiti alla lunghezza massima della password. L'ideale, secondo il NIST è che la password possa essere di almeno 64 caratteri. Una password lunga è sempre meglio di una corta, anche se la corta è complessa. E' fondamentale non utilizzare parole singole, anche se con caratteri sostituiti (tipo maiuscole al posto delle minuscole, simboli tipo $ al posto di e, ecc...). Un computer con un dizionario realizzato appositamente, consente di scoprire questo tipo di password in tempi brevissimi. Ad esempio ci sono voluti solo tre giorni per craccare la password Tr0ub4dor&3, mentre occorrono 550 anni per la password "correct horse battery staple". Quindi non è strettamente necessario utilizzare password complesse con differenti tipi di caratteri (alfanumeri, simboli, ecc...) per ottenere una password forte, quello che è essenziale è che la password sia lunga. Utilizzando delle frasi di senso compiuto è anche possibile ricordare la frase lunga, anche se ovviamente l'ideale è che la password dovrebbe essere conservata da un software apposito (password manager) più che ricordata a memoria.
A tal proposito l'uso di gestori di password dovrebbe essere incoraggiato, quindi i siti dovrebbero consentire di incollare le password negli appositi campi dei moduli.
2. Non è necessario modificare le password periodicamente
Una diffusa pratica di sicurezza ha imposto per anni una rotazione continua delle password ad intervelli regolari (30, 60, 90 giorni). I recenti studi (università della Carolina, Carleton University, Carnegie Mellon) hanno, però, evidenziato che non è una buona pratica, in quanto tende a far utilizzare password più facili da craccare. Vi sono una serie di motivi per questo. Innanzitutto il sistema costringe la modifica all'accesso, impedendo di procedere fino al cambio della password. Può capitare che l'utente è di fretta, e in quel caso sceglierà la prima password che gli viene in mente pur di procedere oltre. Inoltre gli utenti tendono a riutilizzare le vecchie password, casomai cambiandone qualche carattere (es. aggiungendo un numero). Infine, le frequenti modifiche portano gli utenti a scrivere le password da qualche parte, anche eventualmente nelle vicinanze della postazione di accesso.
Quindi la pratica di modificare le password è ormai deprecata da tempo. Se la password è stata scelta accuratamente non serve modificarla regolarmente, la modifica va fatta solo in caso di potenziale minaccia o compromissione.
3. Implementare l'autenticazione a due fattori
In realtà l'uso delle password in sé è ormai deprecato da tempo, le principali aziende stanno spingendo sulla sostituzione di questo sistema di autenticazione con altri più sicuri, come ad esempio la scansione dell'impronta digitale, oppure l'autenticazione a due fattori. Con quest'ultimo sistema alle credenziali tradizionali si affianca un ulteriore fattore di autenticazione che può consistere in un PIN, un token inviato su uno smartphone oppure, appunto, l'impronta digitale o altri sistemi biometrici.
4. Le password devono essere conservate in forma cifrata
Nel caso in cui il sistema venga compromesso, la cifratura delle password è un ottimo sistema di protezione aggiuntiva. L'ideale è utilizzare la crittografia end-to-end per impedire che il malintenzionato possa craccare le password comunque.