Perché anche la tua password più complessa verrà violata presto
L'era delle password complesse sta finendo: scopri perché le passkey sono il futuro degli accessi sicuri e come gli sviluppatori possono implementarle.
Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
Whitepaper Passkey enterprise. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.
Oltre l'80% di tutte le violazioni dei dati è legato alle password. L'uso di password complesse e diverse per ogni account può aumentare la sicurezza. Tuttavia, anche gli account dei clienti con password forti possono essere hackerati.
Quando parliamo di accedere ad account digitali, sia all'interno di app che di siti web, ci viene in mente la combinazione di un nome utente e una password. Le password segrete vengono utilizzate da migliaia di anni. È un concetto semplice: un'informazione condivisa, mantenuta segreta tra gli individui e utilizzata per dimostrare l'identità.
Articoli recenti
♟️
Problemi del Day 2 delle passkey: 5 rischi dopo il lancio
🔑
Perché la gestione sicura dei documenti è essenziale per le aziende moderne?
♟️
Perché anche la tua password più complessa verrà violata presto
♟️
Riutilizzo delle password in Giappone: ancora all'84% [2026]
♟️
Il ruolo dell'IA nel rilevamento delle minacce informatiche
In tempi in cui le persone trascorrono gran parte della loro vita online, l'uso di questo concetto semplice è diffuso. I sondaggi hanno rilevato che il numero di account protetti da password per utente è aumentato in modo esponenziale negli ultimi anni, in risposta a un'esplosione di nuove app e servizi online. Uno studio commissionato da NordPass ha rilevato che tra il 2019 e il 2020 il numero di password per utente è balzato del 20%, da una media di 83 a 100.
Il numero crescente di account protetti da password non rappresenta inizialmente un problema. Tuttavia, il modo in cui gli utenti impostano e gestiscono le password lo è certamente. Una password è statica e quindi deve essere ricordata dall'utente o memorizzata, sia su un post-it che all'interno di un gestore di password. Poiché una persona media può ricordare solo una combinazione di 7 lettere o numeri, ricordare 100 password individuali può diventare piuttosto fastidioso. Di conseguenza, gli utenti tendono a utilizzare password semplici come nomi dei propri familiari, date di nascita o semplicemente "123456", ancora la password più utilizzata su Internet. Ma perché le password sono un problema di sicurezza in primo luogo?
- Il riutilizzo delle password è alla base della maggior parte delle violazioni: il 52% degli utenti riutilizza le password, consentendo agli hacker di sfruttare la piattaforma più debole per accedere a più account contemporaneamente.
- Oltre 15 miliardi di credenziali provenienti da 100.000 violazioni sono acquistabili online, con un aumento del volume delle credenziali rubate del 300% dal 2018 secondo Forbes.
- Gli attacchi brute force superano i 100 miliardi di tentativi al secondo, il che significa che anche le password complesse possono essere violate in pochi secondi dall'hardware moderno.
- Oltre l'80% di tutte le violazioni dei dati coinvolge le password, eppure il 70% delle credenziali violate rimane attivamente in uso dopo l'esposizione.
- Uno studio di NordPass ha rilevato che l'utente medio gestiva 100 password nel 2020, un aumento del 20% rispetto alle 83 del 2019, alimentando un riutilizzo diffuso.
Il riutilizzo delle password è la prima causa delle violazioni di sicurezza#
Per gestire tutti i propri account, il 52% degli utenti riutilizza le password, con conseguenze gravi. Questo permette agli hacker di accedere a diversi account attaccando l'anello più debole (il sito web con gli standard di sicurezza più bassi). Ad esempio, il tuo account Facebook è protetto da una password complessa e da standard di sicurezza rigorosi. Tuttavia, c'è una buona probabilità che le tue credenziali siano state coinvolte in una precedente violazione dei dati, come quella subita da MySpace nel 2008, dove sono state rubate 359.420.698 credenziali. E questo è solo un esempio. Secondo Forbes, il numero di credenziali rubate è aumentato del 300% dal 2018. Oggi, oltre 15 miliardi di credenziali provenienti da 100.000 violazioni possono essere acquistate su Internet da chiunque. Con queste credenziali, gli hacker effettuano richieste di login su larga scala su centinaia di piattaforme per ottenere l'accesso ai tuoi account (i cosiddetti attacchi di credential stuffing).
Anche le password complesse non sono sicure#
Nonostante questo rischio ampiamente noto, il 70% delle credenziali violate è ancora in uso. In generale, gli attacchi di credential stuffing possono essere evitati utilizzando password diverse e complesse per ogni account su ciascuna piattaforma, in combinazione con i gestori di password. Tuttavia, anche le password complesse possono essere facilmente violate in pochi secondi. L'anno scorso è stato stabilito un record per un computer che cercava di generare ogni password concepibile. Ha raggiunto una velocità superiore a 100.000.000.000 di tentativi al secondo. L'utilizzo di tali script per provare combinazioni casuali di nome utente e password si chiama metodo brute force.
Ma anche se la tua password non è stata violata con la forza bruta, non è ancora completamente sicura. Come cliente, devi fidarti degli standard di sicurezza delle piattaforme a cui accedi. In caso di protezione debole, qualsiasi password, per quanto complessa, può essere rubata.
Gli hacker sono creativi e migliorano costantemente i loro metodi#
Purtroppo, il credential stuffing e il brute force non sono gli unici metodi per ottenere un accesso non autorizzato agli account dei clienti. Un'altra tecnica diffusa è il phishing, in cui viene utilizzata un'interfaccia utente falsa del sito originale per indurre gli utenti a inserire le proprie credenziali. Ulteriori metodi sono gli attacchi man-in-the-middle, in cui i flussi di comunicazione come le reti WiFi pubbliche vengono intercettati, o il keylogging, in cui viene installato del malware su un computer per catturare le credenziali.
Finché ci saranno le password, gli account dei clienti verranno hackerati#
I problemi appena descritti sono il motivo per cui oltre l'80% di tutte le violazioni dei dati e degli attacchi hacker sono dovuti alle password ed evidenziano che abbiamo bisogno di un approccio migliore rispetto a un semplice nome utente e password per gestire l'autenticazione. Sviluppi come l'autenticazione a due fattori (2FA) vanno nella giusta direzione in termini di sicurezza, ma l'adozione da parte degli utenti è piuttosto bassa. Quindi, perché non eliminare completamente le password e passare a soluzioni passwordless? Sembra interessante? Esplora le soluzioni passwordless di Corbado e fatti una prima impressione sull'autenticazione del futuro!
Chi siamo
Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
Domande frequenti#
Perché non basta usare una password complessa e univoca per mantenere sicuro il mio account?#
Anche una password complessa può essere compromessa se la piattaforma che la memorizza ha standard di sicurezza deboli, poiché qualsiasi password può essere rubata da un server vulnerabile indipendentemente dalla sua forza. Tecniche come il phishing, il keylogging e gli attacchi man-in-the-middle catturano le credenziali prima ancora che venga applicata la crittografia, rendendo la password stessa l'anello più debole, non importa quanto sia complessa.
Cos'è il credential stuffing e in che modo la portata delle credenziali rubate lo rende così pericoloso?#
Il credential stuffing consiste nel prendere coppie di nome utente e password rubate da una violazione e testarle automaticamente su centinaia di altre piattaforme. Con oltre 15 miliardi di credenziali provenienti da 100.000 violazioni disponibili per l'acquisto online, gli aggressori hanno a disposizione set di dati enormi con cui lavorare, e la sola violazione di MySpace del 2008 ha esposto oltre 359 milioni di credenziali che rimangono sfruttabili ovunque le vittime abbiano riutilizzato quelle password.
Perché così tanti utenti si affidano ancora a password deboli o riutilizzate pur conoscendone i rischi?#
La persona media può ricordare in modo affidabile solo una combinazione di circa 7 lettere o numeri, rendendo praticamente impossibile memorizzare 100 password complesse univoche. Questo limite cognitivo porta il 52% degli utenti a riutilizzare le password tra gli account, il che a sua volta consente agli hacker di accedere a più servizi prendendo di mira la singola piattaforma meno sicura su cui un utente si è registrato.
Le soluzioni come l'autenticazione a due fattori sono sufficienti per sostituire completamente le password?#
L'autenticazione a due fattori va nella giusta direzione per la sicurezza, ma l'articolo fa notare che l'adozione da parte degli utenti rimane piuttosto bassa, limitandone l'impatto pratico. La direzione più promettente è l'eliminazione completa delle password attraverso l'autenticazione passwordless, che rimuove il segreto condiviso statico alla base degli attacchi di phishing, brute force e credential stuffing alla radice.
Condividi questo articolo
Articoli correlati
Indice