Kaspersky: metà delle password compromesse nel 2025 erano già state divulgate

Sebbene le password rimangono ancora uno dei principali metodi di autenticazione, non sono più in cima alle classifiche di sicurezza. Spesso create dagli utenti stessi, le password sono fortemente influenzate da fattori umani, il che le rende potenzialmente vulnerabili. Gli esperti di Kaspersky hanno analizzato le principali fughe di password dal 2023 al 2025 e hanno identificato diversi modelli ricorrenti:

• Gli utenti aggiungono spesso alle loro password elementi prevedibili come numeri, date e identificativi personali. Ad esempio, il 10% delle password nei set di dati analizzati contiene un numero che ricorda una data (1990 al 2025), lo 0,5% di tutte le password trapelate termina con il numero 2024, ovvero una password su 200.
• La combinazione di password più comune è “12345”, che riduce drasticamente la forza crittografica e accorcia il tempo necessario affinché gli attacchi “brute-force” abbiano successo. Tra gli altri componenti popolari delle password ci sono la parola “love” e i nomi degli utenti, oltre ai nomi dei paesi, che spesso vengono inclusi nelle password.
• Inoltre, la maggior parte delle password trapelate resta invariata per anni. Nel 2025 il 54% delle password diffuse era già stato oggetto di precedenti violazioni dei dati, sottolineando il grande riutilizzo di password obsolete. Secondo l’analisi dei dati, la durata media delle password trovate in queste violazioni è di 3,5-4 anni.

Tutti questi risultati evidenziano la vulnerabilità critica dell’autenticazione basata su password quando i protocolli per la creazione, la gestione e l’archiviazione non vengono seguiti rigorosamente. In risposta alla crescente necessità di una forte sicurezza, il settore sta spostando sempre più la propria attenzione verso soluzioni di nuova generazione come le Passkey, che offrono una protezione più forte contro le minacce in continua evoluzione.

La tecnologia Passkey si basa su chiavi crittografiche e dati biometrici e non è soggetta a minacce quali phishing o fughe di dati. Una passkey viene creata per un determinato account su una determinata piattaforma e viene memorizzata direttamente sul dispositivo dell’utente o in un password manager.