Una nuova analisi di quasi 19 miliardi di password trapelate tra il 2024 e l’inizio del 2025 mostra che la sicurezza delle password tra gli utenti rimane estremamente scarsa. I ricercatori hanno scoperto che circa il 94% delle password nel set di dati sono state riutilizzate o duplicate su più account. Solo il sei percento circa era unico.
Ha study rivelato che gli utenti continuano a fare affidamento su modelli semplici, lunghezze brevi e sequenze prevedibili. Le password più comuni includono “123456”, “123456789”, “password” e “qwerty”, che sono apparse costantemente in cima alle liste globali delle violazioni delle password per più di un decennio. Gli esperti notano che tali password possono essere violate in pochi secondi con strumenti automatizzati.
Secondo il rapporto, circa il 42% di tutte le password analizzate era lungo tra gli otto e i dieci caratteri, con otto che era la lunghezza più comune. Circa il 27% conteneva solo lettere minuscole e numeri, offrendo poca resistenza agli attacchi automatici di indovinaggio. Nonostante anni di campagne di sensibilizzazione pubblica, gli utenti continuano a dare la priorità alla comodità e alla memorabilità rispetto alla sicurezza.
I ricercatori hanno anche scoperto che molte password combinano informazioni personali come nomi, compleanni o squadre sportive. Questi modelli rendono gli account ancora più vulnerabili, poiché gli aggressori spesso utilizzano metodi basati su dizionari che testano prima i nomi comuni e le combinazioni numeriche. Le password contenenti dettagli personali vengono spesso compromesse nelle prime fasi dei tentativi di forza bruta, lasciando gli account esposti.
Le password deboli persistono
Gli analisti attribuiscono la continua dipendenza da password deboli all’abitudine e alla stanchezza piuttosto che all’ignoranza. Molti utenti sottovalutano la probabilità di essere presi di mira direttamente, dando per scontato che gli aggressori si concentrino solo sulle grandi organizzazioni. Altri si affidano a password simili per tutti i servizi perché temono di dimenticarle. Tuttavia, il riutilizzo delle credenziali rimane uno dei rischi più dannosi per la sicurezza informatica, poiché un account violato può sbloccarne molti altri.
Lo studio avverte che questo modello consente agli aggressori di lanciare campagne di “credential stuffing”, in cui le password di una violazione vengono testate automaticamente su più siti web. Questa tecnica è ampiamente utilizzata per compromettere gli account di posta elettronica, bancari e social media. Le password deboli o riutilizzate rendono molto più facile per i criminali avere successo senza dover aggirare i controlli di sicurezza più avanzati.
Gli esperti raccomandano diversi passaggi pratici per gli utenti. Innanzitutto, ogni account dovrebbe avere una password univoca lunga e complessa, idealmente di almeno dodici caratteri. Le password devono includere lettere maiuscole e minuscole, numeri e caratteri speciali. In secondo luogo, gli utenti dovrebbero abilitare l’autenticazione a più fattori quando disponibile, aggiungendo un ulteriore livello di protezione anche in caso di furto della password.
I gestori di password sono inoltre fortemente consigliati per la creazione e l’archiviazione di credenziali sicure. Questi strumenti generano combinazioni casuali che sono quasi impossibili da indovinare ed eliminano la necessità di ricordare più stringhe lunghe. Inoltre, i servizi che avvisano gli utenti quando i loro dati appaiono in una violazione nota possono aiutare a ridurre l’esposizione richiedendo modifiche tempestive delle password.
I ricercatori notano che molte violazioni derivano dal comportamento umano piuttosto che da difetti del sistema. Ogni anno continuano ad apparire password semplici e ripetitive nei set di dati, dimostrando che la consapevolezza da sola non è sufficiente per cambiare le abitudini. Gli esperti sostengono che una formazione coerente, unita a una migliore integrazione dei gestori di password e degli avvisi di sicurezza automatici, potrebbe aiutare a cambiare i modelli di utenti di lunga data.
I dati del 2025 dimostrano che il riutilizzo e la semplicità delle password rimangono i principali punti deboli della sicurezza online. Sebbene le aziende continuino a investire in sistemi di autenticazione più forti, gli individui devono assumersi una maggiore responsabilità nella protezione dei propri account. Senza un cambiamento comportamentale significativo, è probabile che le stesse password deboli domineranno anche le future segnalazioni di violazione.