Password identiche: i rischi del riutilizzo delle password
Un login compromesso – tutti gli accessi a rischio.
Gli amministratori IT sostengono il peso principale nella protezione di sistemi e dati. Un rischio particolarmente persistente è rappresentato da password identiche o riutilizzate. In questo modo, gli utenti – spesso inconsapevolmente – spalancano agli attaccanti la porta a credential stuffing, compromissione degli account e movimenti laterali nella rete. Gli studi dimostrano che l’uso di credenziali rubate rientra tra i vettori iniziali più frequenti negli incidenti di sicurezza (vedi fonti sotto).
- Non utilizzare mai la stessa password per account diversi.
- Nessun cambio password periodico e forzato senza motivo – meglio password/passphrase lunghe e univoche e MFA/passkey.
- Password nuove ed esistenti confrontare con elenchi compromessi; verificare in Password Depot: Extra → Controllo di sicurezza → Verifica nelle password compromesse.
Rischio di compromissione trasversale
Se un account viene compromesso, gli attaccanti testano automaticamente le stesse credenziali su altri servizi (Credential‑Stuffing). Un singolo leak può così trasformarsi in una reazione a catena – dall’e-mail agli strumenti di collaborazione fino ai servizi Cloud. Risultato: furto di dati, abuso d’identità e accessi non autorizzati alle risorse aziendali.
Particolarmente critici sono i “Basic Web Application Attacks”, in cui predominano le credenziali rubate o riutilizzate – un chiaro segnale che il riutilizzo delle password è immediatamente sfruttabile nella pratica (vedi fonti).
Ransomware e compromissione degli account
Una volta ottenute credenziali valide, gli attaccanti possono estendere i privilegi, muoversi lateralmente nella rete e distribuire malware – fino alla distribuzione di ransomware. Le raccomandazioni ufficiali sottolineano quindi: eliminare il riutilizzo delle password e attivare l’MFA resistente al phishing (ad es. FIDO2/passkey) dove tecnicamente possibile (CISA, NIST).
Misure per migliorare la sicurezza delle password
Linee guida (Policy)
- Nessun cambio password preventivo e periodico – da imporre solo in caso di sospetto o prova di compromissione (NIST, NCSC).
- Una password per ogni account/servizio – vietarne rigorosamente il riutilizzo (NIST, NCSC).
- Aumentare la lunghezza minima (ad es. ≥ 14 caratteri) ed evitare requisiti di complessità non necessari; puntare invece su lunghezza, unicità e blocco delle “password comuni” (NIST).
- Verificare le password rispetto a elenchi di credenziali compromesse (NIST SP 800–63B) – vedere la nota pratica su Password Depot più sotto.
- MFA obbligatoria, preferibilmente resistente al phishing (FIDO2/Passkeys), almeno per gli accessi admin, remoti e Cloud (CISA).
Controlli tecnici
- Rate-Limiting & Monitoring per gli accessi; rilevare e bloccare modelli sospetti (ad es. molti tentativi di login da reti distribuite) (NIST).
- Consentire il “paste”/incolla, in modo da permettere l’uso sicuro di un password manager – nessun divieto di copy/paste nel campo password (NIST).
- Challenge MFA basate sul rischio e registrazione MFA applicata in modo coerente (CISA).
- Passkeys da introdurre ove possibile; sostituire progressivamente l’inserimento delle password.
- Identificare le password compromesse: In Password Depot tramite Extras → Sicherheitscheck → In Pwned-Kennwörter prüfen verificare e modificare immediatamente le voci interessate.
Nella pratica con Password Depot:
- Apra Extra → Controllo di sicurezza → Verifica nelle password compromesse, per controllare le password salvate confrontandole con elenchi di credenziali compromesse.
- Esegua questo controllo regolarmente – in particolare dopo fughe di dati pubbliche o casi di phishing.
- Sostituisca immediatamente le password contrassegnate con passphrase lunghe e univoche e attivi, ove possibile, MFA/passkey.
Awareness e operatività
- Formare regolarmente gli utenti su credential stuffing, phishing e riutilizzo delle password (NCSC/CISA).
- password manager raccomandare e mettere a disposizione; obiettivo: password lunghe, casuali e univoche per ogni servizio.
- Definire gli incidenti (leak, phishing, infezioni da malware) come fattori scatenanti per il cambio immediato della password e il rinnovo dei token (NIST/CISA).
In breve: Il riutilizzo è il vero nemico. I cambi obbligatori e regolari senza un motivo concreto peggiorano la qualità delle password – e non risolvono il problema. Punti su lunghezza, unicità, MFA/passkey e sulla verifica rispetto a elenchi di credenziali compromesse (ad es. direttamente in Password Depot).
Conclusione: Il riutilizzo delle password rappresenta un rischio significativo per la sicurezza e favorisce le compromissioni degli account fino ad arrivare a incidenti ransomware. I team di amministrazione devono attuare linee guida chiare e aggiornate e proteggerle con misure tecniche – inclusa la verifica regolare delle password compromesse con Password Depot –, per proteggere in modo duraturo identità e sistemi.
Fonti (selezione)
- NIST SP 800–63B: Linee guida sull’identità digitale – Segreti memorizzati (tra l’altro: nessun cambio forzato; confronto con elenchi di credenziali compromesse; incolla consentito)
- CISA “Secure Our World”: Usate password robuste (raccomandazione su password manager e password univoche)
- NCSC (Regno Unito): Problemi legati all’imposizione della scadenza periodica delle password & Avviso sul credential stuffing
- Verizon DBIR: Pagina del report & Executive Summary (aggiornata annualmente)
- Have I Been Pwned: Pwned Passwords (fonte dati pubblica per password compromesse)
Mantenere uniche le password
Scoprite come Password Depot vi aiuta a gestire ogni password in modo univoco e sicuro.
Consigli per password sicure