Giornata mondiale della password: perché oggi non bastano più (e come gli hacker le rubano in pochi minuti)

Il 7 maggio 2026 ricorre la Giornata mondiale della password. Istituita nel 2013, cade ogni anno nel primo giovedì di maggio. Sì, perché sebbene l’obiettivo sia quello di mettersi alle spalle le password per guardare con maggiore convinzione a modalità di accesso passwordless, le password continuano a restare centrali nella nostra vita digitale.

Le credenziali non sono più semplicemente “chiavi di accesso”: sono diventate una valuta liquida, scambiata, analizzata e sfruttata in un’economia sotterranea altamente organizzata.

Basti pensare (fonte: Check Point Software Technologies) che un account Facebook hackerato è venduto a circa 45 dollari, mentre un account Gmail costa in media dai 60 ai 65 dollari. I dati delle carte di credito standard con CVV sono commercializzati sul mercato nero dai 10 ai 40 dollari; gli accessi verificati a banche online e a crypto wallet con saldi elevati raggiungono prezzi che vanno dai 200 ai 1.200 dollari e oltre.

Il mercato più redditizio è quello degli Initial Access Brokers (IAB) che offrono l’accesso diretto a reti aziendali tramite VPN o RDP. Secondo il rapporto di Rapid7, i prezzi di base medi degli IAB si aggiravano intorno ai 2.700 dollari, ma l’accesso amministrativo con privilegi elevati ha visto i prezzi salire a oltre 113.000 dollari.

Dalla complessità delle password alla compromissione diretta

Per anni la sicurezza si è basata su regole relativamente semplici rispetto alla struttura delle password: lunghezza, presenza di simboli, numeri e maiuscole. Queste indicazioni  sono centrali ancora oggi perché una password complessa non è facile da individuare, se memorizzata sotto forma di hash sicuro.

Supponiamo che un sito Web salvi correttamente le password degli utenti usando un algoritmo di hashing sufficientemente forte come SHA-256: la versione hashed della password non è invertibile. Anche nel caso in cui il sito in questione subisse una violazione, di norma non è possibile – per un aggressore – risalire alla password in chiaro a partire dal suo hash o message digest.

Il fatto è che le password più utilizzate sono già conosciute agli aggressori, che possono lanciare attacchi basati sul dizionario: i criminali informatici conoscono già gli hash di miliardi di password e possono confrontarli con quelli delle vittime. Se gli hash delle password corrispondono, l’aggressore sa subito qual è la password impostata dall’utente.

Ci sono poi gli attacchi brute-force che mirano a indovinare le password provando in sequenza tutte le combinazioni possibili. In un altro articolo abbiamo visto quanto sono sicure le password e quanto tempo ci vuole per hackerarle, ad esempio usando GPU moderne.

C’è poi il problema della compromissione diretta: gli infostealer non tentano di indovinare le credenziali bensì le estraggono direttamente da browser, sistemi già violati o sessioni attive. In parallelo, comportamenti sempre più comuni – come incollare dati negli strumenti di intelligenza artificiale – introducono nuovi vettori di rischio difficili da controllare.

Entropia vs realtà operativa: perché 16 caratteri non bastano

Dal punto di vista teorico, una password di 16 caratteri con alfabeto completo (lettere maiuscole/minuscole, numeri, simboli) offre un’entropia superiore a 90 bit (una password con 90 bit di entropia significa 2⁹⁰ combinazioni possibili), rendendola impraticabile da violare con un brute force puro. Tuttavia, questo modello presuppone che:

• la password non sia riutilizzata;
• non sia presente in database compromessi;
• non sia mai esposta in chiaro.

Secondo i dati analizzati da Kaspersky su 231 milioni di password reali:

• il 68% è violabile in meno di 24 ore;
• oltre il 60% viene decifrato in circa un’ora;
• più del 20% delle password da 15 caratteri cade in meno di un minuto con algoritmi ottimizzati.

Questi risultati derivano da attacchi combinati che fanno leva su dizionari avanzati; modelli probabilistici (Markov chains) e AI password guessing (basato su pattern reali)

Una password come Estate2026! formalmente rispetta i requisiti di complessità, ma cade in brevissimo tempo perché contiene una parola da dizionario (“Estate”) e include l’anno corrente, seguendo poi uno schema piuttosto comune.

Infostealer: architettura e funzionamento

Come accennato in precedenza, gli infostealer rappresentano oggi uno dei principali vettori per la sottrazione di credenziali. Malware-as-a-Service come LummaC2 o RedLine operano secondo uno schema ben preciso: traggono in inganno le vittime attraverso campagne phishing ben realizzate inducendo all’apertura di allegati malevoli o sfruttando vulnerabilità del browser Web oppure dei programmi di uso comune.

Effettuando quindi operazioni di data harvesting ovvero estraggono dal browser le credenziali degli utenti, accedono a cookie di sessione, token OAuth e wallet crypto.

Tutti questi dati sono poi trasmessi attraverso richieste HTTP POST o bot Telegram quindi venduti sul mercato nero, generalmente sul Dark Web.

Esempio reale di log infostealer:

URL: https://mail.google.com
USER: mario.rossi@gmail.com
PASS: M@r10R0ssi2024
COOKIE: session_token=eyJhbGciOi...
IP: 151.xxx.xxx.xxx

Questi dati permettono sia un accesso diretto (credential login) che un attacco di tipo session hijacking (senza password).

Credential stuffing: definizione tecnica e dinamica operativa

Il credential stuffing è una tecnica di attacco automatizzata che consiste nel riutilizzare coppie di credenziali (username/password) già compromesse per tentare l’accesso su altri servizi online. A differenza del brute force classico – che prova combinazioni di caratteri in serie – questo metodo si basa su dati reali, provenienti da violazioni precedenti, aumentando drasticamente le probabilità di successo.

Il presupposto è semplice ma estremamente efficace: se un utente utilizza la stessa password su più piattaforme, una sola fuga di dati può compromettere l’intero suo ecosistema digitale. È proprio questa abitudine diffusa – il riutilizzo delle credenziali – a rendere il credential stuffing uno degli attacchi più redditizi e scalabili.

Dal punto di vista tecnico, una volta ottenuti i database di credenziali (le cosiddette combo list), entrano in gioco strumenti come Sentry MBA, OpenBullet e SilverBullet, progettati per automatizzare il processo. Questi framework permettono di configurare in modo preciso il comportamento dell’attacco, replicando le richieste di login di un servizio reale e analizzando le risposte del server per identificare accessi riusciti.

Come funziona l’attacco

L’efficacia di questi strumenti deriva da tre componenti fondamentali. Innanzitutto, l’uso di proxy rotanti, spesso residenziali, che distribuiscono il traffico su migliaia di indirizzi IP diversi, rendendo difficile il blocco da parte dei sistemi di difesa. In secondo luogo, la simulazione di user-agent realistici, che consente di imitare il comportamento di browser legittimi ed evitare i controlli anti-bot. Infine, l’esecuzione multi-thread, che permette di inviare centinaia o migliaia di richieste contemporaneamente.

Un’operazione tipica può essere configurata contro un target specifico – ad esempio una piattaforma di streaming – utilizzando una lista di 10 milioni di credenziali provenienti da precedenti violazioni, 500 thread attivi e una rete di proxy distribuiti. In questo contesto, anche un tasso di successo apparentemente trascurabile, pari allo 0,2%, genera circa 20.000 account validi compromessi.

Anche una password complessa può essere inutile se è stata già esposta e riutilizzata. Con un tasso di riutilizzo che si avvicina al 94%, ogni data breach diventa un punto di partenza per attacchi a catena, trasformando una singola compromissione in un fenomeno sistemico su scala globale.

Phishing, GenAI, deepfake e vishing: l’ingegneria sociale diventa scalabile e indistinguibile

Se il furto di credenziali rappresenta la base tecnica degli attacchi moderni, è l’ingegneria sociale potenziata dall’intelligenza artificiale a renderli realmente efficaci.

Il phishing non è più una tecnica rudimentale basata su email piene di errori: oggi si parla di Phishing-as-a-Service, con kit completi venduti a basso costo che integrano modelli di GenAI per generare comunicazioni perfettamente contestualizzate, prive di errori grammaticali e adattate al profilo della vittima.

Dal punto di vista operativo, un attacco moderno può essere costruito in pochi minuti: l’AI genera una mail credibile impersonando il reparto IT o le risorse umane, il link rimanda a una pagina clone indistinguibile dall’originale e le credenziali inserite sono trasmesse in tempo reale all’attaccante tramite bot automatizzati. In molti casi, il processo è completamente orchestrato, con dashboard che permettono di monitorare i tentativi riusciti e rilanciare campagne mirate.

L’evoluzione più critica riguarda però l’integrazione di deepfake e vishing (voice phishing): la possibilità di clonare una voce partendo da pochi secondi di audio e di generare video realistici consente attacchi di impersonificazione estremamente sofisticati. Non si tratta più solo di convincere un utente a cliccare su un link, ma di costruire interazioni credibili in cui la vittima crede di parlare con un collega, un dirigente o un partner fidato.

In ambito aziendale, questo si traduce in scenari ad alto impatto: richieste urgenti di bonifici, reset di credenziali, condivisione di dati riservarti. Il punto critico è che queste tecniche operano sfruttando fiducia e contesto, non vulnerabilità software. E mentre le difese tradizionali sono progettate per bloccare codice malevolo, risulta molto più complesso intercettare una richiesta apparentemente legittima proveniente, almeno in apparenza, da una fonte affidabile.

Contromisure e strategie di difesa: dalla password alla verifica continua

Di fronte a un modello di attacco così evoluto, basato su automazione, AI e sfruttamento del fattore umano, le contromisure non possono limitarsi al rafforzamento delle password. Serve un approccio multilivello che intervenga su identità, comportamento e gestione dei dati.

Il primo passo è ridurre drasticamente la dipendenza dalle credenziali statiche. L’adozione di soluzioni passwordless, come le passkey basate su standard FIDO2, elimina alla radice il problema del furto e del riutilizzo delle password: non esiste più un segreto condiviso che possa essere intercettato o riutilizzato. Dove questo non è ancora possibile, l’uso di password uniche per ogni servizio, generate e gestite tramite password manager, resta una misura fondamentale.

Un secondo livello riguarda il rafforzamento dell’autenticazione. L’attivazione della multi-factor authentication (MFA) è oggi indispensabile, ma deve essere implementata in modo intelligente: le soluzioni più efficaci sono quelle resistenti al phishing (come token hardware o notifiche push con verifica contestuale).

Sul piano aziendale, diventa cruciale adottare modelli di sicurezza basati su Zero Trust: ogni accesso deve essere verificato continuamente, considerando contesto, dispositivo, posizione e comportamento dell’utente. In questo senso, l’integrazione tra sistemi EDR (Endpoint Detection and Response) e ITDR (Identity Threat Detection and Response) permette di individuare anomalie che sfuggirebbero a controlli tradizionali.

Un aspetto sempre più rilevante è il controllo del browser e degli strumenti AI. Le organizzazioni devono implementare soluzioni in grado di monitorare e limitare il trasferimento di dati sensibili – in particolare le operazioni di copia-incolla verso applicazioni esterne o account personali – che rappresentano oggi uno dei principali vettori di esfiltrazione.

Infine, resta centrale la formazione degli utenti, ma con un approccio aggiornato: non basta più insegnare a riconoscere email sospette. È necessario sviluppare consapevolezza su scenari più complessi, come richieste credibili via chat, voce o video, e sull’uso corretto degli strumenti AI.