Password in Italia 2024: perché “123456” è ancora un pericolo (e cosa fare subito)

L’ultimo report di NordPass sulle password più comuni rivela una preoccupante mancanza di sicurezza, sia a livello personale che aziendale. Analizziamo i dati e le soluzioni.

Introduzione

Anche quest’anno, il panorama della sicurezza informatica ci mette di fronte a una realtà scomoda: le nostre difese digitali più basilari, le password, rimangono spesso drammaticamente inadeguate. La sesta edizione della ricerca annuale “Top 200 Most Common Passwords” di NordPass ha nuovamente analizzato le abitudini degli utenti in 44 paesi, Italia inclusa, confermando tendenze preoccupanti. Per gli utenti italiani nel 2024 (basato sui dati raccolti nel periodo precedente), la password più utilizzata rimane la famigerata “123456”, seguita da un altrettanto debole “cambiami”.

Questi dati non sono solo una curiosità statistica, ma un campanello d’allarme che evidenzia una vulnerabilità diffusa, con implicazioni significative sia per la sicurezza personale che per quella aziendale.

Il Problema Italiano (e Globale) delle Password Deboli

La lista delle 20 password più comuni in Italia nel 2024, come riportato da NordPass e ripreso da varie fonti, include una serie di scelte prevedibili e facilmente violabili:

1. 123456
2. cambiami
3. 123456789
4. 12345678
5. password
6. juventus
7. qwerty1
8. qwerty123
9. francesco
10. qwerty
    … e così via, includendo altri nomi propri (alessandro, giuseppe, andrea, francesca, antonio), sequenze numeriche (12345, 000000), e parole comuni (ciaociao, amoremio).

Ma perché queste scelte rappresentano un rischio concreto? Innanzitutto, la loro prevedibilità le rende bersagli facili: sequenze numeriche, pattern della tastiera (QWERTY), parole del dizionario e nomi comuni sono i primi tentativi negli attacchi automatizzati. Di conseguenza, la loro facilità di decifrazione è allarmante; secondo lo studio globale di NordPass, si stima che il 78% delle password più comuni a livello mondiale possa essere violato in meno di un secondo, un dato in peggioramento rispetto al 70% dell’anno precedente. Inoltre, l’uso di informazioni personali come nomi, date di nascita (mario1985), nomi di animali domestici (pippo123) o squadre del cuore (juventus) rende le password vulnerabili a chiunque abbia accesso anche minimo a dati spesso pubblici, ad esempio sui social media. Infine, l’ironia della sorte vuole che la parola stessa “password” continui a essere una delle scelte più popolari e insicure a livello globale.

Il Rischio si Estende alle Aziende

La sottovalutazione del rischio non riguarda solo gli account personali. La ricerca di NordPass evidenzia un dato allarmante per l’Italia: circa il 40% delle password più comuni utilizzate dai privati è identico a quello usato in ambito aziendale. Questo fenomeno, unito alla pratica diffusa del riutilizzo delle password, crea un ponte pericoloso tra la sfera personale e quella professionale. Se un dipendente utilizza la stessa password (probabilmente debole) per il suo account social e per l’accesso alla rete aziendale, una violazione del primo può avere conseguenze dirette sulla sicurezza dell’intera organizzazione.

Gli hacker sfruttano attivamente questa debolezza attraverso tecniche come gli attacchi di forza bruta (tentativi sistematici di tutte le combinazioni possibili) e gli attacchi a dizionario (tentativi con elenchi di parole e password comuni). Un’altra tecnica diffusa è il credential stuffing, che consiste nell’utilizzare credenziali rubate in precedenza (ad esempio, da un sito di e-commerce) per tentare l’accesso ad altri servizi (come l’e-mail aziendale o la VPN) sperando che l’utente abbia riutilizzato la stessa coppia username/password. Considerando che un utente medio gestisce decine, se non centinaia, di password, la tentazione di semplificare e riutilizzare le proprie password è forte, ma estremamente rischiosa.

Perché è Difficile Cambiare Abitudini?

La persistenza di password deboli è legata a fattori intrinsecamente umani. La comodità gioca un ruolo chiave: le password semplici sono più facili da ricordare rispetto a combinazioni complesse. Gestire decine di credenziali uniche rappresenta una complessità oggettiva senza strumenti adeguati. A questo si aggiunge spesso una sottovalutazione del rischio, alimentata dal pensiero “non succederà a me” o dalla mancata percezione del valore dei dati protetti da quella specifica password.

Come Proteggersi Davvero: Best Practice per Persone e Aziende

Ignorare il problema non è un’opzione. Adottare pratiche di sicurezza più solide è fondamentale.
Ecco i passi chiave raccomandati dagli esperti:

1. Creare Password Forti o Passphrase: Una password robusta dovrebbe essere lunga (almeno 12-15 caratteri, ma più è lunga meglio è), complessa (combinando lettere maiuscole, minuscole, numeri e simboli) e imprevedibile (evitando sequenze, parole comuni o informazioni personali). Un’ottima alternativa è la passphrase: una frase lunga, facile da ricordare per l’utente ma difficile da indovinare per un computer (es. TavoloVerde4CantaForte!).
2. Non Riutilizzare MAI le Password: Questa è la regola d’oro. Ogni account deve avere una password unica. Se un servizio viene violato, il danno rimane circoscritto e le altre credenziali non sono a rischio.
3. Utilizzare un Password Manager: Questi strumenti generano, memorizzano in modo sicuro e compilano automaticamente password complesse e uniche per ogni account, eliminando la necessità di ricordarle.
4. Abilitare l’Autenticazione a Più Fattori (MFA/2FA): Questo aggiunge un livello di sicurezza cruciale richiedendo una seconda forma di verifica (es. codice via app, SMS, token fisico) oltre alla password. È una delle misure più efficaci per bloccare accessi non autorizzati, anche se la password viene compromessa. Attivarla ovunque sia disponibile è essenziale.
5. Stabilire Policy Aziendali Chiare (Per le Organizzazioni): Le aziende devono definire e applicare regole precise. Questo include:
   • Imporre requisiti minimi di complessità e lunghezza delle password.
   • Richiedere cambi password periodici (sebbene l’enfasi moderna sia più su unicità e MFA/2FA).
   • Obbligare all’uso dell’MFA/2FA per gli accessi critici.
   • Vietare l’uso di password comuni note o compromesse.
   • Formare i dipendenti sui rischi del phishing e del social engineering.
   • Monitorare attivamente tentativi di accesso sospetti.

Conclusione

I dati del report NordPass 2024 sono un promemoria annuale della necessità di trattare la sicurezza delle password con la serietà che merita. Continuare a usare “123456” o “cambiami” nel 2024 non è solo pigrizia, è un invito aperto ai cybercriminali.
La buona notizia è che gli strumenti e le strategie per migliorare drasticamente la nostra sicurezza esistono e sono accessibili. L’adozione di password manager, l’attivazione dell’MFA e la creazione di password uniche e robuste (o passphrase) sono passi concreti che individui e aziende devono compiere.

Proteggere le nostre password significa proteggere i nostri dati, la nostra privacy e, in ambito aziendale, la continuità operativa e la reputazione.
È ora di agire.

Riferimenti:

• Le 200 password più comuni | NordPass
• Le peggiori password del 2024, da “cambiami” a “francesco” | Wired Italia