In occasione del World Password Day, gli esperti di Kaspersky hanno analizzato 231 milioni di password uniche provenienti dalle principali fughe di dati avvenute tra il 2023 e il 2026, individuando diverse tendenze chiave. In primo luogo, il 68% delle password moderne può essere violato nel giro di un giorno. Inoltre, è emerso che la stragrande maggioranza delle password compromesse inizia o termina con una cifra: un modello ricorrente che le rende potenzialmente vulnerabili agli attacchi brute force. Infine, gli utenti tendono a scegliere parole positive e legate alle tendenze del momento: ad esempio, negli ultimi due anni, l’uso della parola “Skibidi” nelle password analizzate è aumentato di 36 volte, riflettendo la crescita di questa tendenza su Internet.
Negli ultimi anni, le regole relative alla sicurezza delle password sono diventate un tema molto dibattuto. Sempre più servizi richiedono password lunghe almeno 10 caratteri, con una lettera maiuscola e almeno un numero o un simbolo. Tuttavia, un’analisi comparativa delle password trapelate dimostra che il rispetto di alcune di queste regole non è sufficiente a garantire la resistenza agli attacchi brute force o a quelli basati sull’intelligenza artificiale.
Gli esperti di Kaspersky offrono quindi alcuni consigli pratici per creare password più complesse e sicure, evitando gli errori più comuni.
Sii creative nell’uso di simboli e numeri
Tra le password trapelate che contengono un solo simbolo, il segno “@” è il più utilizzato, comparendo nel 10% dei casi. Seguono il punto (.), presente nel 3% delle password, e il simbolo “!”, che occupa il terzo posto per diffusione complessiva.
Anche l’uso dei numeri segue schemi altrettanto prevedibili:
- Il 53% delle password esaminate termina con cifre
- Il 17% inizia con cifre
- Quasi il 12% include una sequenza numerica che ricorda una data (dal 1950 al 2030)
- Il 3% delle password trapelate contiene sequenze di tasti come “qwerty” o “ytrewq”, ma la maggior parte di esse sono sequenze numeriche come “1234”.
Alexey Antonov, Data Science Team Lead di Kaspersky, sottolinea che simboli, numeri o date di uso comune — soprattutto se collocati in posizioni prevedibili, come all’inizio o alla fine della password — facilitano notevolmente gli attacchi brute force. Per questo motivo, è consigliabile utilizzare caratteri meno diffusi ed evitare sequenze numeriche o combinazioni di tasti della tastiera.
“Il metodo brute force consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a individuare quella corretta. Quando gli hacker conoscono già le preferenze degli utenti, il tempo necessario per violare una password si riduce drasticamente. Per evitare la tentazione di scegliere simboli prevedibili, è importante affidarsi a generatori dedicati, in grado di creare combinazioni casuali di lettere, numeri e simboli con la stessa probabilità”, ha affermato Alexey Antonov, Data Science Team Lead di Kaspersky.
Tra… il paradiso e l'inferno: cerca di evitare di usare parole nelle password
La ricerca evidenzia come parole emotive e legate alle tendenze vengano spesso utilizzate come base per le password. Ad esempio, tra il 2023 e il 2026, l’uso della parola «Skibidi» è aumentato di 36 volte, seguendo la sua diffusione online.
Un’ulteriore analisi sulla presenza di parole positive e negative mostra che le prime sono nettamente più diffuse. Tra le più frequenti compaiono «amore», «magia», «amico», «squadra», «angelo», «stella» ed «Eden». Tuttavia, sono presenti anche termini come “inferno”, “diavolo”, “incubo” e “cicatrice”.
“Utilizzare una password composta da una sola parola, anche se accompagnata da numeri o simboli, è una scelta poco sicura: lo schema resta troppo prevedibile. È preferibile creare una passphrase composta da più parole non correlate, arricchite da numeri e simboli e con qualche errore ortografico intenzionale. Più una password è lunga, casuale e imprevedibile, più risulta difficile da violare. Come ulteriore misura di sicurezza, è consigliabile attivare l’autenticazione a due fattori (2FA) ove possibile”, ha aggiunto Alexey Antonov.
La lunghezza della password è importante?
È noto che le password più lunghe sono più difficili da decifrare, e l’analisi delle password trapelate lo conferma. Tuttavia, con la diffusione degli strumenti basati sull’intelligenza artificiale, la sola lunghezza non è più sufficiente: anche password lunghe possono essere compromesse se seguono schemi prevedibili.
La ricerca dimostra che le password brevi, fino a otto caratteri, vengono generalmente violate in meno di un giorno tramite attacchi brute force. Inoltre, grazie ad algoritmi intelligenti basati sull’intelligenza artificiale, oltre il 20% delle password di 15 caratteri può essere violato in meno di un minuto.
Inoltre, il 60,2% di tutte le password analizzate — indipendentemente dalla loro lunghezza — può essere decifrato in circa un’ora, mentre il 68,2% in un giorno.
Nei casi considerati, i calcoli si basano sull’utilizzo di una singola GPU RTX 5090 e sull’algoritmo MD5. Tuttavia, in scenari reali, gli hacker possono noleggiare più GPU — dieci, cento o anche di più — aumentando così la velocità di decifrazione di diversi ordini di grandezza.
Oggi, una password realmente sicura non si limita a rispettare lo standard minimo di almeno 16 caratteri, ma deve anche essere composta da una combinazione casuale e non ripetitiva di lettere, numeri e simboli, oltre a essere unica per ogni account. Per supportare gli utenti nella creazione di password di questo tipo, Kaspersky ha introdotto una funzione dedicata sul proprio sito, il Kaspersky Password Generator. Questo strumento consente non solo di verificare se le proprie password sono state compromesse, ma anche di generarne di nuove in modo sicuro e gratuito.
Per una gestione delle password semplice e sicura, che includa la compilazione automatica dei campi e la sincronizzazione tra dispositivi, si consiglia di utilizzare un password manager in cui tutte le credenziali siano archiviate in un ambiente protetto e accessibili tramite un’unica password principale. In questo modo non sarà più necessario ricordare centinaia di password, che resteranno al sicuro da eventuali violazioni. Inoltre, non solo le password, ma anche le passkey possono essere create e archiviate direttamente in Kaspersky Password Manager, consentendo sia l’accesso ai servizi supportati con un solo tocco sia l’utilizzo delle passkey su tutti i dispositivi grazie alla sincronizzazione sicura.
