Smettiamo di riutilizzare le password: cosa è emerso dal recente sondaggio di NordPass

I risultati del sondaggio 2025 di NordPass sul riutilizzo delle password

Per quantificare quanto sia tuttora diffusa l'abitudine di riutilizzare le password, NordPass ha incaricato un team di ricerca indipendente di condurre un sondaggio su un campione di 1.727 adulti: 619 americani, 605 britannici e 503 tedeschi. Il questionario approfondiva tre tematiche:

• Con quale frequenza le persone riutilizzano le credenziali.

• Quanti account e password sono interessati da questa consuetudine.

• Perché le persone continuano a farlo nel 2025.

Stati Uniti

• Il 62% degli americani confessa di riutilizzare una password "spesso" o "sempre".

• I riutilizzatori in media possiedono 3 password principali, che permettono di accedere a circa 5 account diversi.

• La metà degli intervistati afferma di farlo perché è "più facile ricordare meno password", mentre 1 su 3 si sente sopraffatto dalla moltitudine di servizi che utilizza ogni mese.

• Una percentuale preoccupante, pari all'11%, non vede "alcun rischio significativo" nel riutilizzo delle credenziali: ciò dimostra che è l'esperienza, e non gli avvertimenti, a influenzare i comportamenti delle persone.

Regno Unito

• Il 60% degli intervistati "ricicla" gli accessi.

• Il motivo predominante non è la pigrizia, ma la paura di dimenticare le credenziali: il 40% teme infatti di non riuscire più ad accedere ai propri account se ogni password è diversa.

• Al secondo posto, a pari merito, troviamo le motivazioni della comodità e dell'avere "troppi account"; anche l'11% dei britannici non percepisce rischi nel riutilizzo delle credenziali.

Germania

• Il 50% riutilizza le password: si tratta del punteggio "migliore", ma rimane comunque preoccupante.

• La comodità è la motivazione principale per il 37% dei tedeschi che riutilizzano le password, mentre per il 29% è il numero eccessivo di account.

• Il 13% ritiene che il riciclo delle credenziali sia sostanzialmente innocuo.

Considerati nel loro complesso, i dati comunicano chiaramente che circa il 57% dei consumatori in tre economie avanzate continuano ad affidarsi a credenziali duplicate. La percentuale è talmente elevata da assicurare che gli attacchi di credential stuffing (ovvero l'utilizzo di credenziali rubate per accedere ad altri account) continueranno a rimanere redditizi negli anni a venire.

Perché le persone continuano a riutilizzare le password

Agli intervistati è stato chiesto di spiegare le loro abitudini di riutilizzo delle password, in base alle quali sono stati suddivisi in 4 categorie parzialmente sovrapposte:

• I memorizzatori. Circa la metà degli americani, il 43% dei britannici e il 37% dei tedeschi che hanno partecipato al sondaggio affermano di riutilizzare le credenziali perché è "più facile ricordare meno password".

• I sopraffatti. Circa il 30% delle persone di ogni Paese afferma di possedere "troppi account" per poter usare password diverse.

• Gli ansiosi. La paura di dimenticare le proprie password univoche raggiunge percentuali del 40% nel Regno Unito, del 38% negli Stati Uniti e del 31% in Germania.

• Gli scettici. Una percentuale compresa tra l'11 e il 13% non ha mai dovuto affrontare le conseguenze di una violazione e ritiene che il rischio sia ingigantito.

Migliora la tua sicurezza online

Conserva e gestisci in modo sicuro i tuoi preziosi beni digitali

Inizia la prova gratuita

In che modo i criminali informatici sfruttano le password riutilizzate

Riciclare le credenziali trasforma una singola violazione in una reazione a catena. Se gli hacker riuscissero a rubare una delle tue password da un sito, proveranno a inserirla anche su tutti gli altri servizi online che utilizzi (come posta elettronica, home banking o app di lavoro) fino a trovare la combinazione giusta: ecco perché il riutilizzo delle password è molto pericoloso. Inoltre, l'economia criminale che ruota intorno agli accessi rubati assume proporzioni enormi e si muove velocemente. Quando una violazione appare su forum e siti di compravendita sul dark web, i malintenzionati hanno a disposizione diverse strategie per sfruttare le credenziali rubate e riutilizzate.

• Credential stuffing. I criminali informatici in possesso di grandi database di credenziali riciclate caricano milioni di combinazioni di nomi utente/password all'interno di botnet, che tentano a raffica una moltitudine di accessi automatizzati. Anche un tasso di successo irrisorio, ad esempio dell'1%, permette di prendere possesso di migliaia di account.

• Furto a tappeto di account. Una password riutilizzata (di solito trapelata a causa di una violazione di dati) che permette di accedere alla tua casella di posta elettronica consente ai criminali informatici di prendere il controllo di tutto il resto: servizi di archiviazione cloud, portafogli di criptovalute, e-mail e così via. La breccia iniziale spiana la strada a obiettivi di maggior valore.

• Ingegneria sociale. Dopo aver assunto il controllo di profili sui social o account professionali, i criminali studiano la cronologia dei messaggi e creano richieste credibili, del tipo: "Puoi approvare questa fattura?" oppure "Ho dimenticato di pagare il fornitore: usa questo conto". Le vittime cadono nel tranello, poiché la richiesta proviene da quella che sembrerebbe essere un'identità affidabile.

Il ruolo delle aziende nel prevenire il riutilizzo delle password

Per quanto riguarda il problema del riciclo delle credenziali, le aziende sono impegnate su due fronti opposti: da una parte devono evitare che il personale adotti abitudini non sicure e, dall'altra, sono chiamate a proteggere i clienti le cui credenziali potrebbero essere già in vendita sul dark web. Le imprese possono affrontare questi problemi in diversi modi.

Divieto di riutilizzo delle credenziali

Durante la procedura di registrazione di un nuovo account o di reimpostazione della password, il sito dovrebbe verificare che la combinazione scelta non figuri in un database di violazioni note. Se la password è già stata compromessa in passato, o è identica a una presente nel database, all'utente viene proposto di scegliere una combinazione più sicura; a tal proposito, incorporare nella procedura un generatore di password con un solo clic può semplificare molto le cose.

Autenticazione dei livelli

L'autenticazione a più fattori impedisce il furto automatico degli account anche se le credenziali dovessero trapelare. Sempre più siti e servizi oggi bypassano completamente le password, offrendo al loro posto le chiavi di accesso o passkey FIDO: si tratta di dati crittografici segreti per l'autenticazione legati al dispositivo, che non possono essere riutilizzati né rubati.

Formazione sulla sicurezza

Nelle aziende che organizzano frequenti workshop pratici sulla sicurezza informatica, i casi di riutilizzo delle credenziali da parte dei dipendenti sono nettamente inferiori. Dimostrare con quanta rapidità le conseguenze negative di un solo accesso violato possono propagarsi a macchia d'olio in un'intera rete dimostra chiaramente alle persone che riciclare le password è una pessima abitudine.

Adozione di gestori di password

Molte imprese oggi incoraggiano – o addirittura rendono obbligatorio – l'uso di gestori di password aziendali. Quando il personale dispone di una cassaforte sicura nella quale custodire le proprie credenziali, è molto meno probabile che ricicli le password. La maggior parte di queste casseforti è inoltre dotata di generatori di password integrati che, su richiesta, creano combinazioni casuali e sicure: in questo modo, le persone non dovranno più sforzarsi di inventare credenziali robuste.

Come smettere di riutilizzare le password

Per debellare una volta per tutte la cattiva abitudine di riciclare le password, tutto ciò che serve è un flusso di lavoro nel quale le credenziali forti e univoche rappresentano la regola e non l'eccezione. Ecco alcuni suggerimenti per farlo.

Adotta un gestore di password

Strumenti come NordPass generano, sincronizzano e compilano automaticamente le credenziali su tutti i dispositivi. L'utente deve ricordare solo la sua Password principale; la cassaforte memorizzerà tutto il resto. Il Generatore di password integrato di NordPass crea combinazioni di caratteri altamente casuali con un solo clic, eliminando la tentazione di scegliere "P@ssw0rd2026" come password per il nuovo anno.

Valuta l'adozione delle passkey

Una passkey combina la crittografia a chiave pubblica coi dati biometrici conservati sul dispositivo: quindi non c'è nulla da digitare, nulla da dimenticare e nulla da riutilizzare. Molte tra le principali piattaforme le supportano già; nel nostro articolo Cos'è una passkey? troverai informazioni utili per configurarle la prima volta. Se le passkey non fossero disponibili, attiva comunque l'autenticazione a più fattori (MFA) per aggiungere un secondo elemento di verifica che i criminali non possono carpire da un elenco di credenziali violate.

Verifica gli account inattivi

Vecchi forum, siti di e-commerce usati una sola volta, quell'applicazione di fitness ormai finita nel dimenticatoio: ognuno di questi casi è una vulnerabilità latente se le sue credenziali sono le stesse di altri servizi attivi. Chiudi gli account che non usi più, o perlomeno reimpostane l'accesso scegliendo password univoche. Dai un'occhiata all'elenco delle password più comuni che stiliamo ogni anno per trovare ispirazione su cosa "non" scegliere.

Conclusioni

Il riutilizzo delle password rimane un'abitudine diffusa, spinta dalla comodità a breve termine e dall'ottimismo a lungo termine: dal nostro sondaggio è emerso che il 57% degli utenti in tre economie digitali mature fa ancora affidamento su questo ottimismo, anche se i criminali hanno ormai industrializzato il furto di credenziali. La soluzione al problema è tutt'altro che esotica o complessa: bastano gestori di password, autenticazione a più livelli e valutazioni realistiche del rischio. Abbandonare le cattive abitudini non richiede una vigilanza costante, quanto piuttosto la volontà di rimpiazzare le nostre scarse capacità di memoria con strumenti creati appositamente.