19 miliardi di password rubate online: come proteggere le tue informazioni personali

La crisi delle password del 2025

Tra aprile 2024 e aprile 2025, il mondo della cybersicurezza ha affrontato una crisi senza precedenti. I ricercatori di sicurezza hanno scoperto oltre 19 miliardi di password trapelate, raccolte da quasi 200 incidenti di sicurezza informatica separati. Questo enorme volume di dati compromessi, pari a più di 3 terabyte di informazioni sensibili, rappresenta una delle più grandi minacce alla sicurezza personale online mai registrate.

La scoperta più allarmante? Il 94% di queste password era prevedibile, riutilizzata o entrambe le cose. Solo il 6% delle password, poco più di 1,1 miliardi, erano uniche. Questo dato mette in luce un problema persistente: nonostante anni di avvertimenti sulla sicurezza digitale, la maggior parte degli utenti continua ad utilizzare password deboli e a riutilizzarle su più piattaforme.

Le password più utilizzate e i rischi associati

L’analisi ha rivelato modelli inquietanti nelle abitudini degli utenti. La password “123456” è apparsa in oltre 338 milioni di casi, seguita da termini come “Password” e “admin”. La sequenza numerica “1234” è stata trovata in quasi il 4% di tutte le password, equivalente a oltre 727 milioni di occorrenze.

Questi risultati non sorprendono gli esperti di sicurezza, che osservano come queste stesse password siano tra le più utilizzate almeno dal 2011. Il problema delle “password predefinite” rimane uno dei modelli più persistenti e pericolosi nei dataset di credenziali trapelate.

Molti sistemi forniscono inizialmente questi valori predefiniti, come router con combinazioni “admin/admin” o telefoni con PIN “1234”. Gli utenti spesso non li cambiano mai o, peggio ancora, riutilizzano queste password su altre piattaforme, creando un effetto domino di vulnerabilità.

Credential stuffing: una miniera d’oro per i criminali informatici

I criminali informatici utilizzano strumenti automatizzati per testare enormi volumi di nomi utente e password trapelate su più piattaforme. Sebbene questi attacchi possano sembrare inefficienti, un tasso di successo compreso tra lo 0,2% e il 2,0% li rende estremamente redditizi. Gli hacker testano milioni di credenziali, ottenendo migliaia di account compromessi.

Questo tipo di attacco, noto come “credential stuffing”, sfrutta proprio la tendenza degli utenti a riutilizzare le stesse credenziali su diversi servizi. Un singolo account compromesso può quindi portare alla violazione di numerosi altri profili appartenenti alla stessa persona.

Perché le password sono obsolete

Le password sono ormai considerate una tecnologia superata. Il problema fondamentale è che qualsiasi sistema che si basa sull’input umano rappresenta l’anello più debole nella catena della sicurezza. Mentre le organizzazioni continuano a investire in firewall e sicurezza degli endpoint, la vulnerabilità più persistente rimane la password gestita dall’utente.

Questa situazione evidenzia la necessità di superare il modello tradizionale basato sulle password. È tempo che sia le aziende tecnologiche che gli utenti si muovano verso soluzioni più sicure e meno dipendenti dalla memoria umana.

Come proteggere i tuoi account online

1. Utilizza un gestore di password

Un gestore di password è uno strumento che memorizza in modo sicuro tutte le tue credenziali, generando e inserendo automaticamente password uniche e complesse per ogni servizio. Tra le opzioni più affidabili ci sono:

• 1Password
• Bitwarden
• Dashlane
• I gestori di credenziali integrati di Microsoft, Google e Apple

Questi strumenti utilizzano la crittografia avanzata per proteggere i tuoi dati e ti permettono di accedere a tutti i tuoi account con una sola password principale, che dovrebbe essere memorabile ma complessa.

2. Attiva l’autenticazione a due fattori (2FA)

L’autenticazione a due fattori aggiunge un livello di protezione richiedendo, oltre alla password, un secondo elemento di verifica come:

• Un codice inviato via SMS
• Un’app di autenticazione (come Google Authenticator o Microsoft Authenticator)
• Un dispositivo hardware di sicurezza (come YubiKey)
• Un’impronta digitale o il riconoscimento facciale

Attivare il 2FA su tutti gli account importanti può impedire l’accesso non autorizzato anche se la tua password viene compromessa.

3. Passa ai passkey quando possibile

I passkey (o chiavi di accesso) rappresentano il futuro dell’autenticazione online. A differenza delle password tradizionali:

• Non possono essere riutilizzati su siti web diversi
• Sono resistenti al phishing
• Non richiedono di essere memorizzati dall’utente
• Utilizzano la crittografia a chiave pubblica per l’autenticazione

Sempre più servizi, tra cui Google, Apple, Microsoft e molti altri, stanno implementando il supporto per i passkey. Quando disponibile, considera di passare a questo metodo di autenticazione più sicuro.

4. Utilizza il Credential Manager del tuo sistema

I moderni sistemi operativi includono strumenti di gestione delle credenziali che offrono un livello aggiuntivo di protezione:

In Windows, le credenziali vengono salvate in cartelle speciali chiamate “Vaults”, accessibili solo tramite l’API di protezione dei dati, un sistema di crittografia accessibile solo agli utenti autorizzati.

Su Android, il Credential Manager offre un supporto API unificato che migliora la sicurezza dei dati e semplifica l’accesso alle applicazioni.

Apple offre il portachiavi iCloud, che sincronizza in modo sicuro le password su tutti i dispositivi dell’utente.

5. Controlla regolarmente se le tue credenziali sono state compromesse

Diversi servizi ti permettono di verificare se le tue email o password sono state coinvolte in violazioni di dati:

• Have I Been Pwned (haveibeenpwned.com)
• Firefox Monitor
• Google Password Checkup
• Le funzioni di monitoraggio integrate nei gestori di password

Controlla regolarmente questi servizi e, in caso di rilevamento di una violazione, cambia immediatamente le password degli account interessati.

Creazione di password sicure (se proprio devi usarle)

Se per qualche motivo non puoi ancora abbandonare completamente le password tradizionali, segui questi principi per creare password più sicure:

1. Lunghezza: usa password di almeno 12-16 caratteri
2. Complessità: combina lettere maiuscole e minuscole, numeri e simboli
3. Unicità: crea una password diversa per ogni servizio
4. Frasi chiave: considera l’uso di frasi intere facili da ricordare ma difficili da indovinare
5. Evita informazioni personali: non utilizzare nomi, date di nascita o altre informazioni facilmente reperibili

Un metodo efficace è quello di creare frasi chiave uniche per ogni servizio. Ad esempio, puoi combinare il nome del servizio con una frase standard personale: “IlMioGattoNero@Amazon2025!” e “IlMioGattoNero@Netflix2025!”.

La protezione delle aziende e delle organizzazioni

Le organizzazioni devono adottare un approccio più rigoroso alla sicurezza delle password:

Implementare politiche di sicurezza robuste

• Richiedere password complesse e uniche per tutti gli account
• Imporre il cambio periodico delle password
• Limitare i tentativi di accesso falliti
• Implementare il blocco automatico degli account dopo periodi di inattività

Formare regolarmente i dipendenti

• Organizzare sessioni di formazione sulla sicurezza informatica
• Simulare attacchi di phishing per testare la vigilanza del personale
• Aggiornare continuamente le conoscenze sui nuovi tipi di minacce

Adottare soluzioni di autenticazione avanzate

• Implementare sistemi di Single Sign-On (SSO) per ridurre il numero di password necessarie
• Utilizzare sistemi di autenticazione contestuale che valutano fattori come posizione, dispositivo e comportamento
• Considerare l’adozione di soluzioni biometriche dove appropriato

Il futuro dell’autenticazione: un mondo senza password

La recente violazione di 19 miliardi di password dimostra chiaramente che il modello attuale basato sulle password è fondamentalmente difettoso. Il futuro della sicurezza digitale si sta muovendo verso un’autenticazione senza password.

Le tecnologie emergenti includono:

Biometria avanzata

L’autenticazione biometrica sta diventando sempre più sofisticata, con sistemi che possono identificare gli utenti attraverso:

• Riconoscimento facciale 3D
• Scansione dell’iride
• Riconoscimento vocale
• Analisi comportamentale (come il modo in cui digiti o utilizzi il mouse)

Autenticazione continua

Invece di verificare l’identità solo al momento dell’accesso, i sistemi di autenticazione continua monitorano costantemente vari segnali per garantire che l’utente legittimo sia ancora quello che utilizza il dispositivo o il servizio.

Identità decentralizzata

I sistemi di identità decentralizzata basati su blockchain consentono agli utenti di controllare le proprie informazioni di identità senza dipendere da autorità centrali, riducendo i rischi di violazioni di dati su larga scala.

La recente scoperta di 19 miliardi di password trapelate rappresenta un chiaro segnale d’allarme: il sistema tradizionale basato sulle password è fondamentalmente difettoso e insicuro. Le cattive abitudini degli utenti, come la scelta di password deboli e il loro riutilizzo su più piattaforme, aggravano ulteriormente il problema.

È tempo di abbracciare un approccio più moderno alla sicurezza digitale, adottando gestori di password, autenticazione a più fattori e, quando possibile, passkey. Le organizzazioni devono educare gli utenti sui rischi delle pratiche di password insicure e promuovere l’adozione di soluzioni di autenticazione più robuste.

La sicurezza digitale è una responsabilità condivisa. Solo attraverso l’adozione di migliori pratiche di sicurezza e tecnologie più avanzate possiamo proteggere efficacemente le nostre identità digitali in un mondo sempre più connesso e, purtroppo, sempre più vulnerabile agli attacchi informatici.

La prossima volta che stai per inserire “123456” come password, ricorda che stai potenzialmente consegnando le chiavi della tua vita digitale a chiunque abbia accesso a uno dei 19 miliardi di record trapelati online.

Fonte: https://www.foxnews.com/tech/19-billion-passwords-have-leaked-online-how-protect-yoursel