Il primo maggio si celebra per il World password day 2025, la Giornata mondiale della password, giunta alla dodicesima edizione, da quando nel 2013 Yahoo ammise di essere vittima del furto di un miliardo di account.
Contributi e agevolazioni
per le imprese
Da decenni si continua a sottolineare l’importanza di creare password uniche e forti, ma, “ogni anno ci ritroviamo a ripetere le stesse raccomandazioni come un disco rotto: non usare la stessa password per più servizi, attiva l’autenticazione a più fattori, usa un password manager. Ma quanti le mettono davvero in pratica? Pochi. Troppo pochi”, commenta Sandro Sana, Cyber security division manager.
Invece, è l’ora di entrare nell’era post-password, perché “l’utente continua a rappresentare l’anello debole della sicurezza”, secondo Fabio Soffietti, Senior GRC Consultant Maticmind.
World password day 2025: l’anello debole è l’utente
Anche il Data Breach Investigations Report di Verizon (2024), conferma che l’81% delle violazioni ancora oggi concerne password deboli o il loro furto.
“La verità è che continuiamo a trattare le password come se fossimo ancora negli anni ’90, mentre i criminali informatici usano strumenti di attacco del 2025″, mette in guardia Sandro Sana: “Le credenziali rubate sono la prima causa di violazione dei sistemi aziendali e la maggior parte delle aziende, specie le PMI, continua a ignorare questo dato di fatto”.
Nordpass conferma che la password “123456” continua a essere popolare: decifrabile in un secondo dagli hacker, è debolissima ma ancora gettonata.
Cessione crediti fiscali
procedure celeri
“Le password non sono ‘sicurezza’, bensì il minimo sindacale. Eppure vedo ancora sistemi critici accessibili con credenziali statiche, senza MFA, senza tracciamento degli accessi, senza meccanismi di alert in caso di comportamento anomalo”, sottolinea Sandro Sana.
Il 65% degli utenti usa le stesse password su più siti, se non su tutti, come emergeva già da un sondaggio Google e Harris Poll nel febbraio 2019.
“Gli attacchi più violenti sono passati dalle CPU alle GPU ad alta velocità, alcuni dei quali sono in grado di indovinare oltre un milione di combinazioni di password al secondo: ciò significa che quello che un tempo richiedeva anni per essere decifrato ora può essere fatto in pochi minuti utilizzando strumenti potenziati dall’intelligenza artificiale”, evidenzia Cristiano Voschion, Country Manager Italy di Check Point Software Technologies.
Infatti nei mercati del cyber crime circolano oltre 24,6 miliardi di combinazioni nome utente-password. Malware come Lumma, piattaforme MaaS, infostealer, la sottrazione dei cookie di sessione e Phishing-as-a-Service (PhaaS), che nel mirino hanno i token MFA e i portafogli di criptovalute, si diffondono via bot di Telegram, rendendo scalabile e profittevole il furto di login come account bancari, email, cloud, crittografia, VPN aziendali e social media.
“Si discute di password forti, MFA e password manager, ma si sottovaluta il problema delle credenziali esposte nel dark web, dove vengono vendute per attacchi informatici. Con l’aumento degli infostealer (+266% secondo Kela), la tecnologia da sola non basta; è necessaria una cultura della sicurezza digitale”, conferma Ada Spinelli, Cyber Security Engineer Maticmind: “La protezione delle credenziali richiede monitoraggio del dark web, avvisi in tempo reale e una pianificazione reattiva per affrontare le compromissioni. La formazione degli utenti è essenziale per sfruttare efficacemente la tecnologia”.
Infatti “il problema non è la tecnologia: le soluzioni ci sono. Il problema è culturale. Finché non capiremo che la cyber sicurezza non è un software da installare ma una mentalità da adottare, continueremo a celebrare giornate come questa più per lavare la coscienza che per produrre un reale cambiamento”, conclude Sandro Sana.
I consigli degli esperti
L’incremento degli attacchi di phishing e deepfake alimentati dall’intelligenza artificiale ha come scopo rubare le credenziali.
“Anche se si parla sempre più di passkey e autenticazione biometrica, la gestione sicura delle credenziali è ancora fondamentale”, avverte Andrea Mariucci, Head of Cyber Defence Center Maticmind: “Il World Password Day ci ricorda che la nostra sicurezza digitale passa da: password robuste, autenticazione a più fattori e maggiore consapevolezza. Non è solo una questione di tecnologia, ma anche di cultura e responsabilità“.
Prestito personale
Delibera veloce
I modelli di deep learning svolgono un addestramento basato su miliardi di password trafugate così da prevedere modelli comuni più rapidamente che mai. I deepfake sono in grado di bypassare l’autenticazione a più fattori se basata su livelli di identità deboli, tramite attacchi di impersonificazione basati su voce e video.
Le GPU fondate sul cloud democratizzano inoltre la capacità di violazione delle password su scala, permettendo la compromissione veloce dei sistemi ai gruppi di ransomware e agli script kiddies.
“Siamo sempre più connessi nel mondo digitale dove scambiamo messaggi, scorci di vita quotidiana, informazioni di ogni tipo. Per proteggere tutto ciò è necessaria sempre più consapevolezza dei pericoli a cui ci esponiamo, è fondamentale quindi utilizzare password robuste e autenticazione a più fattori”, avverte Marco Minnucci, Cyber Sales Specialist Manager: “La nostra sicurezza parte da una serie di caratteri apparentemente senza un senso: la password”.
Ma “una password è più di una semplice chiave: è la porta d’accesso alla nostra identità digitale. Occorre potenziarla, proteggerla e integrarla con l’autenticazione a più fattori”, ricorda Paolo Cecchi, Sales Director della Mediterranean Region di SentinelOne.
Il protocollo WebAuthn
Il protocollo WebAuthn, che utilizza chiavi di accesso o passkey, genera una coppia di chiavi crittografiche, una pubblica e una privata, quando si crea un nuovo account. Le chiavi si memorizzano localmente (quella pubblica sul server del sito, quella privata sul terminale dell’utente insieme con il nome del sito e il relativo ID utente).
Per effettuare il login, server spedisce una richiesta di autenticazione digitale che viene soddisfatta solo se l’utente è in possesso fisicamente di un dispositivo ed è in grado di provare di possedere la chiave privata, per esempio mediante una verifica biometrica. L’autenticazione, dunque, basata ancora su due fattori, fa sì che essi non dipendano dalla conoscenza di qualcosa, bensì dal possesso fisico del dispositivo e dalle peculiarità biometriche dell’utente.
Purtroppo però il furto dei cookie di sessione è un vettore di attacco in grado di bypassare WebAuthn.
La tua casa è in procedura esecutiva?
sospendi la procedura con la legge sul sovraindebitamento
Clusit: più sicurezza senza password
In occasione del World Password Day 2025, il Clusit, Associazione Italiana per la Sicurezza Informatica, invita a sostituire rapidamente le tradizionali combinazioni di segni alfanumerici e simboli con autenticazione multifattore (MFA) e biometria.
“Le password sono un rischio che va superato”, dichiara Alessio Pennasilico, del comitato scientifico di Clusit. “Ai criminali informatici bastano pochi secondi per decifrare anche le password più complesse, grazie all’utilizzo di algoritmi avanzati e all’ampia disponibilità di database di credenziali compromesse”.
Dal Rapporto Clusit emerge in Italia, l’anno scorso, gli attacchi basati su phishing e di social engineering hanno registrato un’impennata del 35% rispetto all’anno prima.
“Soluzioni quali biometria e MFA – oggi alla portata di tutti, gratuitamente – sono ormai pratiche di ‘igiene informatica’ e devono essere considerate la base minima al di sotto della quale è estremamente pericoloso affidare la nostra vita digitale, personale o professionale che sia”, spiega Luca Bechelli, del Comitato Direttivo Clusit.
Il Liveness detection (la verifica che il rilevamento dellr caratteristiche biometriche in real time direttamente dalla persona, e non da materiale digitale riutilizzato) ostacolano tentativi di spoofing ovvero la falsificazione attraverso immagini o video.
“Oggi, affidare ai servizi di autenticazione multi-fattore e alla biometria la nostra sicurezza digitale è l’unica forma di sicurezza possibile”, conclude Alessio Pennasilico.
Conto e carta
difficile da pignorare
Il mondo passwordless
Secondo Gartner, entro il 2025 il 60% delle imprese abbandonerà le password, eliminandole nella maggior parte dei casi d’uso.
“Dobbiamo abbandonare la dipendenza da password e codici segreti condivisi. Le chiavi di accesso o passkey rappresentano oggi la soluzione più robusta per creare un futuro senza password né phishing né, si spera, violazioni di sicurezza su vasta scala”, dichiara Chester Wisniewski, Director, Global Field CISO di Sophos.
Google, Microsoft (con oltre un miliardo di utenti) e Shopify sono impegnati nel lancio dei Passkeys, chiavi crittografiche criptate legate all’autenticazione biometrica o che si basano su dispositivi.
Singapore e India stanno mettendo la quarta all’adozione di sistemi di identità digitale passwordless per accedere a banche, assicurazioni e sanità.
“Affidarsi esclusivamente alle password è ormai anacronistico: è necessario adottare soluzioni più evolute, come l’autenticazione biometrica e il passwordless, che da un lato semplificano l’accesso per l’utente e dall’altro innalzano il livello di protezione”, afferma Fabio Soffietti, Senior GRC Consultant Maticmind.
Le aziende devono pilotare sistemi senza password sfruttando la biometria, i token o i Passkey. Inoltre devono imparare a fare prevenzione contro il riuso delle password e contro il phishing. Formazione continua, simulazioni, soluzioni di gestione degli accessi privilegiati (PAM) e architetture Zero Trust rappresentano un modo non tanto per impostare password robuste ma proprio per reimmaginare un futuro senza password.
“Le password stanno affrontando sfide significative ed è chiaro che da sole non bastano più a garantire un livello di sicurezza accettabile. La minaccia portata dai sempre più diffusi infostealer e keylogger rende necessario dotarsi di una “difesa in profondità” che, in caso di compromissione, affianchi alla password tradizionale un ulteriore livello di sicurezza: qualcosa che l’utente possiede, come un token, qualcosa che l’utente conosce, come un pin, o qualcosa che l’utente è, come riconoscimento facciale, biometriche. Le password ci accompagneranno ancora a lungo, ma è necessario che evolvano come evolve lo scenario delle minacce”, conclude Federico Savastano, Cyber Security Engineer Maticmind.
Prestito condominio
per lavori di ristrutturazione
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
