Come inviare un nome utente e una password in modo sicuro?
Nicolas,
Inviare un nome utente e una password via e-mail, SMS o messaggistica istantanea è una delle pratiche più rischiose in materia di sicurezza digitale. Questi canali generalmente non sono cifrati end-to-end, e i messaggi possono rimanere accessibili negli storici per anni. Nel 2026, diversi metodi semplici e accessibili consentono di trasmettere accessi in modo veramente sicuro.
Perché non inviare una password via e-mail o SMS?
L'e-mail standard non è cifrata end-to-end: il contenuto è leggibile dai server di posta intermedi e può essere intercettato in transito. Un SMS è ancora più vulnerabile — transita in chiaro sulle reti telefoniche e può essere intercettato tramite un attacco SS7 o un IMSI-catcher.
Inoltre, una password inviata tramite messaggio rimane nello storico di conversazione di entrambe le parti indefinitamente. In caso di compromissione di un account di posta — cosa che accade molto più spesso di quanto si creda — tutti gli accessi trasmessi tramite quel canale sono esposti.
Metodo 1: strumenti di condivisione tramite link unico (one-time link)
È il metodo più semplice e consigliato sia per i privati che per i professionisti. Questi strumenti generano un link unico che può essere aperto una sola volta — dopo l'apertura, il contenuto viene automaticamente distrutto.
I servizi più utilizzati nel 2026:
- One Time Secret: servizio open source e gratuito che consente di condividere un messaggio cifrato tramite un link monouso con tempo di scadenza configurabile
- Password Pusher: specializzato nella condivisione di password, open source, auto-ospitabile e configurabile (numero di visualizzazioni, scadenza)
- Yopass: cifratura lato client, link unico con scadenza, disponibile in versione auto-ospitata
Il funzionamento è identico per tutti: inserisci la password nell'interfaccia, il servizio genera un link unico cifrato che trasmetti al destinatario. Quest'ultimo apre il link, legge la password e il link diventa immediatamente non valido.
Lo sapevi? separa sempre il nome utente dalla password durante la trasmissione. Invia il nome utente (o il nome del servizio) tramite un canale classico (e-mail, messaggio) e trasmetti solo la password tramite il link unico. Così, anche se il link viene intercettato, non è sfruttabile senza conoscere l'account a cui è associato.
Metodo 2: un gestore di password con condivisione integrata
I gestori di password moderni offrono funzionalità di condivisione sicura integrate, ideali per uso professionale o in team.
- Bitwarden: consente di condividere credenziali con altri utenti Bitwarden tramite raccolte condivise — cifratura end-to-end, open source
- 1Password: condivisione di vault con i membri del team, controllo delle autorizzazioni (sola lettura, modifica)
- Dashlane: condivisione di credenziali con o senza rivelare la password in chiaro al destinatario
Queste soluzioni sono particolarmente adatte per gli accessi condivisi in azienda — un accesso può essere revocato in qualsiasi momento senza che il destinatario abbia mai visto la password in chiaro.
Metodo 3: messaggistica cifrata end-to-end
Se non hai accesso a uno strumento dedicato, una messaggistica cifrata end-to-end rimane un'opzione accettabile — a condizione di usare gli strumenti giusti e di eliminare il messaggio immediatamente dopo che il destinatario lo ha ricevuto.
- Signal: cifratura end-to-end per impostazione predefinita, messaggi effimeri configurabili, disponibile su iOS, Android e desktop
- WhatsApp: cifratura E2E basata sul protocollo Signal, accettabile per uso occasionale
- ProtonMail: e-mail cifrate end-to-end tra utenti ProtonMail, o tramite link sicuro per i destinatari esterni
Lo sapevi? anche su Signal, evita di lasciare una password nello storico della conversazione. Attiva i messaggi effimeri (funzione "Timer") sulla conversazione in questione e chiedi al destinatario di confermare la ricezione prima che il messaggio scompaia.
Metodo 4: condivisione verbale o fisica
Per gli accessi più sensibili, la trasmissione verbale rimane il metodo più sicuro. Una telefonata, una videoconferenza o una consegna di persona non lascia tracce digitali — a condizione che il destinatario annoti l'accesso direttamente in un gestore di password sicuro piuttosto che su un post-it o in un file di testo.
Cosa non fare mai
| Pratica da evitare | Rischio |
|---|---|
| E-mail standard (Gmail, Outlook…) | Nessuna cifratura E2E, rimane negli storici |
| SMS | Transita in chiaro, intercettazione possibile, storico permanente |
| Slack, Teams, Discord senza cifratura E2E | Leggibile dall'operatore, log archiviati lato server |
| File di testo o Excel condiviso | Nessun controllo degli accessi, può essere copiato indefinitamente |
| Post-it o nota cartacea non protetta | Fisicamente accessibile a chiunque |
| Stessa password per più servizi | Una compromissione espone tutti gli account |
Lo sapevi? indipendentemente dal canale utilizzato, cambia la password condivisa il prima possibile dopo che il destinatario l'ha salvata nel suo gestore di password. Una password temporanea trasmessa per un primo accesso deve sempre essere sostituita da una password personale generata dal destinatario stesso — è l'unico modo per garantire che tu non abbia più accesso alle informazioni sensibili dell'altra parte.