World Password Day: perché le password resistono o falliscono e come gestirle con intelligenza
Vulnerabilità intrinseche delle password
Il problema inizia con l’entropia, ovvero la misura matematica dell’incertezza. Una password robusta dovrebbe essere una stringa casuale scelta da uno spazio (insieme di caratteri) il più ampio possibile; nella realtà, però, è quasi sempre una derivazione di dati noti come il nome del cane, la data di nascita o una sequenza di tasti adiacenti. La complessità percepita dall’utente non coincide quasi mai con quella effettiva, e gli attaccanti ne approfittano.
Il brute force moderno non prova più ogni sequenza, utilizza regole, mask attack e cluster GPU che riducono l’impossibile a una questione di ore, o di minuti, per password particolarmente deboli. Il dictionary attack parte da un presupposto ancora più realistico: le persone non inventano, ricombinano. E quando queste combinazioni ricompaiono in database di milioni di utenti, il credential stuffing (attacco in cui si provano su altri servizi coppie username/password rubate da precedenti violazioni) le trasforma in una chiave universale. Il riutilizzo su più siti e app crea un effetto domino devastante: non è la singola applicazione a cadere, ma l’intero ecosistema digitale della vittima.
Il fattore umano come punto debole
Se la crittografia fosse perfetta e gli algoritmi di hashing inviolabili, il fattore umano resterebbe comunque la variabile più imprevedibile del sistema. Il riuso delle password deriva raramente da ignoranza, molto più spesso dal fatto che la memoria umana abbia capacità limitate. Di conseguenza, emergono pattern prevedibili come incrementi numerici stagionali, leet code (l33t c0d3), prefissi o suffissi che gli strumenti di cracking mappano con semplicità.
Il phishing e il social engineering aggirano invece la sicurezza tecnica senza violarla. Non serve nessun malware sofisticato quando basta un sito clone convincente e un messaggio di urgenza che bypassa il pensiero critico. La verifica dell’identità dell’interlocutore spesso diventa un lusso.
Un'altro fattore spesso sottovalutato è la password fatigue un fenomeno presente principalmente a livello aziendale. Imporre complessità crescente senza offrire strumenti di gestione produce, in questo caso, un effetto rimbalzo: post-it sui monitor, file Excel condivisi in rete, password “sicure” salvate in chiaro nel browser.
Data breach e database pubblici
Nel mondo digitale circolano, ormai da molti anni, archivi monumentali di credenziali compromesse. Non si tratta solo di vendite nel dark web, molti di questi database sono pubblici, aggregati e consultabili.
In questo scenario, Have I Been Pwned (HIBP), rappresenta un punto di riferimento operativo. Non è un motore di sorveglianza quanto più un aggregatore di conoscenza: raccoglie dataset da breach noti, normalizza le informazioni e le rende consultabili in modo eticamente responsabile.
Il funzionamento tecnico è elegante. Le password non sono archiviate né restituite in chiaro. HIBP utilizza hash in formato SHA-1 e, nelle API più recenti, implementa il modello di k-anonymity così che quando un sistema vuole verificare se una password è compromessa, non trasmette l’intero hash, ma solo i primi cinque caratteri esadecimali. Il server restituisce un insieme di suffissi corrispondenti. Il confronto finale avviene localmente, sul client. L’operatore del servizio non apprende mai quale password specifica è stata cercata, eliminando il rischio di profilazione o di costruzione passiva di un elenco di credenziali “sensibili”.
Come utilizzare HIBP in pratica
Per il professionista della sicurezza, HIBP è uno strumento operativo, non una curiosità da consultare a tempo perso.
La verifica manuale di email e password resta utile in fasi di onboarding o durante l’analisi post-incidente: inserire un indirizzo aziendale nell’interfaccia web rivela immediatamente quanti breach lo hanno coinvolto e con quali tipologie di dati. È un eccellente catalizzatore per la consapevolezza.
L’integrazione via API è dove il valore diventa scalabile. Le applicazioni aziendali possono interrogare l’endpoint durante il reset della password o la registrazione utente, impedendo in tempo reale l’adozione di credenziali già compromesse. È un controllo ulteriore che si trasforma facilmente in una policy di sicurezza.
Le policy aziendali devono incorporare questo dato in modo formale. Una password che compare in HIBP non è “debole” nel senso convenzionale, potrebbe essere lunga, complessa e con simboli, ma è "bruciata". Definire formalmente lo stato “compromessa” come non conforme, indipendentemente dalla complessità strutturale, rappresenta un upgrade concettuale fondamentale per un security framework maturo.
Migliorare la sicurezza delle credenziali
La difesa non può affidarsi a una singola leva tecnologica. I password manager eliminano il carico cognitivo: generano entropia reale, la memorizzano in forma cifrata e rendono il riutilizzo non solo sconsigliato, ma spesso tecnicamente impossibile. In un contesto aziendale, il loro utilizzo centralizzato e monitorato dovrebbe essere considerato obbligatorio, non accessorio.
Il multi-factor authentication (MFA) e le architetture passwordless meritano una menzione d'onore, perché rappresentano l’orizzonte verso cui il mercato si sta muovendo con decisione. L'MFA non risolve il problema della password compromessa, ma aggiunge un controllo fisico o biometrico che invalida l’uso delle credenziali rubate. La transizione verso FIDO2 e passkey, pur nelle sue complessità di gestione delle chiavi e di ripristino in caso di perdita del dispositivo, propone un modello in cui il segreto non è più memorizzabile dall’utente né intercettabile tramite phishing classico ma si costituisce come il possesso fisico della chiave.
Infine, l’educazione è sempre necessaria al miglioramente della sicurezza, un training di security awareness continuo e contestualizzato con simulazioni di phishing e workshop sul corretto uso dei password manager, non solo aiuta a proteggere il perimetro aziendale ma migliora anche il comportamento e la consapevolezza della componente umana.
Conclusione
Le password non sono morte e probabilmente non lo saranno a breve. Ciò che è morto, o dovrebbe esserlo, è l’idea che una password, per quanto lunga o “forte”, possa da sola garantire l’identità digitale e la sicurezza.
Il futuro richiede un approccio multilivello, dove la tecnologia, costituita da password manager, MFA, controlli su database di breach, API di monitoraggio e molto altro, si interfaccia con un comportamento umano sostenuto da strumenti adeguati e da una cultura aziendale che non considera la sicurezza un ostacolo, ma una proprietà intrinseca del sistema.
Hai domande o vuoi saperne di più?
Contattaci
Cyber Resilience Technical Director di Code Blue Italy, dove guida lo sviluppo tecnico e metodologico dei programmi di resilienza cyber. Con un background in cybersecurity e sviluppo software, ha maturato esperienza in penetration testing, gestione delle vulnerabilità e simulazioni di attacco, lavorando anche in contesti internazionali.
In precedenza ha ricoperto ruoli in ambito Risk Advisory e come CTO in startup tecnologiche, combinando competenze tecniche e visione di business per supportare le organizzazioni nella gestione delle crisi cyber e nella continuità operativa.
Ultimi Articoli
Il whitepaper analizza il passaggio da una gestione frammentata del rischio cyber a un modello integrato di resilienza operativa. In uno scenario segnato da minacce sistemiche, supply chain risk e nuove normative come NIS2 e DORA, la War Room emerge come modello multidisciplinare per gestire crisi, continuità operativa e decisioni sotto pressione.
NIS2 e ACN spingono verso maggiore chiarezza, ma non è necessario aspettare ogni dettaglio. Partire da una BIA, che si basa sull'analisi dei servizi critici, permette di costruire conoscenza, governare il rischio e rendere la compliance un’estensione naturale di pratiche già consolidate.
Il cyber non è più solo attacco, ma strategia. Stati e gruppi proxy adottano modelli distribuiti e sempre più distruttivi, ispirati al cybercrime. Questo report analizza un cambiamento strutturale già in atto e le sue implicazioni concrete per le aziende europee.