Password identiche: i rischi del riutilizzo delle password
Un login hackerato: tutti gli accessi in pericolo.
Gli amministratori IT hanno il compito principale di proteggere i sistemi e i dati. Un rischio particolarmente persistente è rappresentato dalle password identiche o riutilizzate. In questo modo gli utenti aprono, spesso involontariamente, le porte agli hacker per il credential stuffing, l'appropriazione di account e i movimenti laterali nella rete. Gli studi dimostrano che l'utilizzo di dati di accesso rubati è uno dei vettori iniziali più comuni negli incidenti di sicurezza (vedi fonti sotto).
Rischio di compromissione trasversale
Se un account viene compromesso, gli hacker provano automaticamente le stesse credenziali su altri servizi (credential stuffing). Una singola fuga di dati può quindi provocare una reazione a catena , dall'e-mail agli strumenti di collaborazione fino ai servizi cloud. Risultato: furto di dati, abuso di identità e accesso non autorizzato alle risorse aziendali.
Particolarmente critici sono i “Basic Web Application Attacks”, in cui predominano le credenziali di accesso rubate o riutilizzate: un chiaro indizio che il riutilizzo delle password è immediatamente sfruttabile nella pratica (vedi fonti).
Ransomware e appropriazione di account
Una volta ottenuti i dati di accesso validi, gli aggressori possono estendere i propri privilegi, muoversi lateralmente nella rete e distribuire malware, fino ad arrivare alla distribuzione di ransomware. Le raccomandazioni ufficiali sottolineano quindi: eliminare il riutilizzo delle password e attivare MFA resistente al phishing (ad es. FIDO2/Passkeys) ove tecnicamente possibile (CISA, NIST).
Misure per migliorare la sicurezza delle password
Linee guida (policy)
- Nessun cambio preventivo e regolare delle password – imporre il cambio solo in caso di sospetto o prova di compromissione (NIST, NCSC).
- Una password per account/servizio – vietare severamente il riutilizzo (NIST, NCSC).
- Aumentare la lunghezza minima (ad es. ≥ 14 caratteri) ed evitare inutili vincoli di complessità; puntare invece sulla lunghezza, l'unicità e il blocco delle “password comuni” (NIST).
- Verificare le password rispetto agli elenchi compromessi (NIST SP 800‑63B) – vedere la nota pratica su Password Depot di seguito.
- MFA obbligatoria, preferibilmente resistente al phishing (FIDO2/Passkeys), almeno per gli accessi amministrativi, remoti e cloud (CISA).
Controlli tecnici
- Limitazione della frequenza e monitoraggio Attivare la limitazione della frequenza e il monitoraggio durante gli accessi; riconoscere e bloccare modelli sospetti (ad es. molti tentativi di accesso da reti distribuite) (NIST).
- Consentire il “paste”/incolla per poter utilizzare in modo sicuro i gestori di password – nessun divieto di copia/incolla nel campo della password (NIST).
- Applicare sfide MFA basate sul rischio e una registrazione MFA coerente (CISA).
- Passkey introdurre dove possibile; sostituire in prospettiva l'inserimento delle password.
- Identificare le password compromesse: in Password Depot tramite Strumenti → Controllo di sicurezza → Controlla password compromesse e modificare immediatamente le voci interessate.
Consapevolezza e funzionamento
- Formare regolarmente gli utenti su credential stuffing, phishing e riutilizzo delle password (NCSC/CISA).
- Consigliare e fornire password manager; obiettivo: password lunghe, casuali e uniche per ogni servizio.
- Definire gli incidenti (fughe di dati, phishing, attacchi malware) come motivo per la modifica immediata della password e il rinnovo del token (NIST/CISA).
In parole povere: il vero nemico è il riutilizzo. I cambi forzati e regolari senza motivo peggiorano la qualità delle password e non risolvono il problema. Puntate sulla lunghezza, l'unicità, MFA/passkey e il controllo contro gli elenchi compromessi (ad es. direttamente in Password Depot).
Conclusione: il riutilizzo delle password rappresenta un rischio significativo per la sicurezza e favorisce il furto di account e persino gli attacchi ransomware. I team amministrativi devono implementare linee guida chiare e aggiornate e garantire la sicurezza tecnica , compreso il controllo regolare delle password compromesse con Password Depot, per proteggere in modo sostenibile identità e sistemi.
Fonti (selezione)
- NIST SP 800‑63B: Linee guida sull'identità digitale – Segreti memorizzati (tra cui nessun cambio obbligatorio; confronto con elenchi compromessi; consentire l'uso del copia-incolla)
- CISA “Secure Our World”: Use Strong Passwords (raccomandazioni sui gestori di password e sulle password univoche)
- NCSC (Regno Unito): Problemi con la scadenza forzata delle password e Credential‑Stuffing Advisory
- Verizon DBIR: Pagina del rapporto e sintesi (aggiornata annualmente)
- Have I Been Pwned: Pwned Passwords (fonte di dati pubblica per password compromesse)