Password: perché è arrivata l’ora per non usarle più

Con l'evoluzione delle minacce e l'AI nel kit di strumenti dei cyber criminali, anche le password più forti possono essere violate in pochi minuti, non in mesi.

30 Aprile 2025 Nicola Martello
password Check Point Telegram distribuzione malware attacchi informatici

In occasione della giornata mondiale delle password, Check Point Software Technologies, pioniere e leader globale nelle soluzioni di sicurezza informatica sottolinea l’importanza di creare e dare peso all’unicità e alle caratteristiche delle password che vengono utilizzate ogni giorno, evidenziando anche la necessità di esplorare approcci post-password, come già alcune realtà nel mondo stanno adottando.

Secondo il Data Breach Investigations Report di Verizon (2024), l’81% delle violazioni riguarda ancora password deboli o rubate. Con l’evoluzione degli attori delle minacce e l’ingresso dell’intelligenza artificiale nel loro kit di strumenti, anche le password più forti possono essere violate in pochi minuti, non in mesi.

Il problema delle password oggi

I dati sono schiaccianti: secondo Nordpass, la password debole “123456” continua a essere utilizzata, ed è decifrabile in un secondo dagli hacker. Un’indagine sulla sicurezza online condotta da Google e Harris Poll nel febbraio 2019 ha rilevato che almeno il 65% delle persone utilizza le stesse password su più siti, se non su tutti, esponendole ad attacchi di furto di credenziali su larga scala.

Cristiano Voschion, Country Manager Italy di Check Point Software Technologies
Le nuove minacce non fanno che accelerare questo rischio. Gli attacchi più violenti sono passati dalle CPU alle GPU ad alta velocità, alcuni dei quali sono in grado di indovinare oltre un milione di combinazioni di password al secondo: ciò significa che quello che un tempo richiedeva anni per essere decifrato ora può essere fatto in pochi minuti utilizzando strumenti potenziati dall’intelligenza artificiale.

Il lato oscuro delle password: l’economia della criminalità informatica

Il mercato clandestino delle credenziali rubate è vasto e redditizio. Si stima che oltre 24,6 miliardi di combinazioni nome utente-password circolino attualmente sui mercati dei criminali informatici, anche se la portata reale è difficile da verificare a causa della ripetuta rivendita di dati rubati. In massa, queste credenziali sono ancora più economiche, come si è visto nella truffa di Booking.com, dove migliaia di persone sono state vendute per soli 2.000 dollari, con nuove credenziali offerte ogni mese, a seconda delle violazioni e delle fughe di notizie. I login più preziosi includono account bancari, e-mail, cloud, crittografia, VPN aziendali e social media, che vengono comunemente riutilizzati per il phishing, il furto di identità, le campagne di malware e la compromissione delle e-mail aziendali.

Dietro questi furti ci sono alcuni dei gruppi di minacce più sofisticati al mondo, tra cui Kimsuky (Corea del Nord), MuddyWater (Iran) e APT28/29 (Russia), che spesso utilizzano malware come Lumma e piattaforme MaaS, che prendono di mira i token MFA e i portafogli di criptovalute, diffondendosi tramite bot di Telegram, che rendono scalabile e redditizio il furto di informazioni. È stato riportato che solo nel 2024 sono state compromesse 3,9 miliardi di credenziali tramite infezioni da malware su 4,3 milioni di dispositivi.

Anche l’autenticazione a più fattori (MFA), pur essendo fondamentale, è messa a dura prova da strumenti come EvilProxy, in grado di intercettare i token MFA.

L’ascesa dell’autenticazione senza password

La sicurezza senza password sta diventando non solo possibile, ma anche pratica. Aziende come Google, Microsoft e Shopify stanno lanciando i Passkeys, chiavi crittografiche criptate legate all’autenticazione biometrica o basata su dispositivi.

Microsoft vuole che i suoi oltre un miliardo di utenti smettano di usare le password per accedere ai loro account, mentre Gartner prevede che il 60% delle aziende eliminerà le password per la maggior parte dei casi d’uso entro il 2025.

In settori come la finanza, la sanità e la pubblica amministrazione, i token hardware, i login a più fattori e l’identificazione biometrica stanno prendendo il sopravvento. Anche in Paesi come Singapore e India, i sistemi di identità digitale sostenuti dal governo stanno accelerando l’adozione di passwordless per l’accesso a banche, assicurazioni e sanità. Ciò è dovuto al desiderio di aumentare la sicurezza, migliorare l’esperienza dell’utente e semplificare le interazioni digitali.

A Singapore, ad esempio, il sistema National Digital Identity (NDI), basato su Singpass, collega oltre 700 agenzie governative e aziende private. Opzioni come il riconoscimento facciale, le carte d’identità digitali e i codici QR confermano le identità degli utenti in modo rapido e più sicuro delle password tradizionali. L’Aadhaar indiano, il più grande sistema biometrico del mondo, supporta la verifica sicura dell’identità digitale tramite OTP e biometria, mentre la roadmap australiana per l’ID digitale investe in strutture federate e senza password.

Resistenza comportamentale: perché ci si aggrappa ancora alle password

Cristiano Voschion
Nonostante i progressi della sicurezza, le persone si fidano ancora di ciò che conoscono e le password sembrano familiari. Ma questa familiarità ha un prezzo: le password sono facilmente indovinabili, dimenticabili, condivisibili o sottraibili. Check Point osserva che la scarsa igiene delle password, come il loro riutilizzo, la loro scrittura o l’utilizzo di dati personali, continua a essere uno dei principali punti deboli della sicurezza aziendale e personale.

Ancora peggio, gli attacchi di phishing, molti dei quali generati dall’intelligenza artificiale, continuano a rubare le credenziali di accesso su larga scala, nonostante la presenza dell’autenticazione a due fattori (2FA). L’aumento degli attacchi di phishing e deepfake alimentati dall’intelligenza artificiale non fa che rendere più vulnerabili i sistemi basati sulle password.

I rischi di rimanere con le password in un mondo post-AI

L’evoluzione dell’intelligenza artificiale sta rendendo obsoleta l’autenticazione basata su password:

  • I modelli di deep learning sono addestrati su miliardi di password trapelate e sono in grado di prevedere modelli comuni più velocemente che mai
  • Gli attacchi di impersonificazione basati su voce e video che utilizzano deepfake possono aggirare anche l’autenticazione a più fattori se basata su livelli di identità deboli
  • Le GPU basate sul cloud stanno democratizzando la capacità di violare le password su scala, consentendo ai gruppi di ransomware e agli script kiddies di compromettere rapidamente i sistemi

In altre parole: più si aspetta a diventare senza password, più ci si espone.

Cosa devono fare ora le organizzazioni

  • Pilotare sistemi senza password utilizzando la biometria, i token o i Passkey
  • Utilizzare strumenti come Check Point Harmony per prevenire il riutilizzo delle password e il phishing
  • Applicare soluzioni di gestione degli accessi privilegiati (PAM) e architetture Zero Trust
  • Istruire i team non solo su password più forti, ma anche sulla loro totale eliminazione

La Giornata Mondiale della Password non dovrebbe limitarsi a creare password più forti. Dovrebbe essere uno stimolo a immaginare un futuro senza password. Gli strumenti esistono, e le minacce lo richiedono.

Related Posts: