Hai finalmente concepito una password forte. Soddisfa tutti i requisiti di sicurezza consigliati per le credenziali: contiene infatti numeri, lettere maiuscole sparse qua e là, un paio di simboli "^" e "$" posizionati strategicamente e, ciliegina sulla torta, termina con un punto interrogativo capovolto. È progettata alla perfezione per essere la password più sicura in assoluto per tutti i tuoi account. C'è tuttavia un pericolo in agguato: riutilizzare la stessa password, a prescindere da quanto sia complessa, può mettere a rischio tutti i tuoi account online se venisse hackerata. Oggi parleremo degli attacchi di credential stuffing, delle loro conseguenze sugli account che usano le stesse password e di cosa puoi fare per rimanere al sicuro.
Contenuti:
Cos'è il credential stuffing e come funziona?
Il credential stuffing è un tipo di attacco informatico nel quale i criminali utilizzano credenziali rubate per accedere senza autorizzazione ad account di utenti o sistemi aziendali. Di solito, per condurre questi attacchi, ottengono nomi utente e password da database violati sul dark web.
Il termine "stuffing", che può essere tradotto in "riempimento", suggerisce come si svolgono questi attacchi: il credential stuffing consiste infatti nell'immissione di enormi quantità di dati di accesso rubati in numerosi siti web o sistemi aziendali, nella speranza di indovinare la combinazione giusta e riuscire ad accedervi. Il credential stuffing si basa sull'automazione e sul presupposto che molte persone riutilizzino i medesimi dati di accesso su diversi account e piattaforme online.
Perché gli attacchi di credential stuffing sono in aumento?
Secondo la ricerca complementare del Data Breach Investigations Report (DBIR) del 2025 di Verizon, le credenziali compromesse sono state il metodo di accesso principale in quasi una su quattro di tutte le violazioni analizzate. Molte di queste credenziali sono state compromesse durante un attacco di credential stuffing: il rapporto indica infatti che il 19% dei tentativi di autenticazione giornalieri è stato effettuato proprio con questa modalità. La percentuale più elevata di tentativi di credential stuffing registrati in un solo giorno è stata del 44%.
Gli attacchi di credential stuffing sono così diffusi per via della loro efficacia. I criminali informatici dispongono infatti delle specifiche credenziali di accesso da provare e, sebbene non possano confermare che tali dati siano ancora in uso, riescono a scoprirlo in tempi relativamente brevi. Utilizzano bot e sistemi automatizzati per testare velocemente innumerevoli combinazioni di login provenienti da database violati, scoprendo così a quali account possono accedere. Se gli utenti non avevano configurato l'autenticazione a più fattori (MFA), quegli account sono, di fatto, compromessi.
I dati utilizzati dai criminali informatici sono facili da ottenere: le credenziali rubate possono costare appena un dollaro, quindi gli hacker non perdono chissà quanto denaro anche se alcuni accessi non funzionano. Le credenziali, inoltre, spesso sono disponibili in database contenenti migliaia o addirittura milioni di singoli dati: i criminali hanno quindi materiale a volontà da testare nei loro attacchi.
Dopo aver raccolto l'insieme di dati necessario, gli hacker iniziano a inviare centinaia di richieste di accesso automatizzate su numerosi servizi, per verificare quali combinazioni funzionano. Se un set di credenziali di accesso funziona su una piattaforma importante, è probabile che i criminali lo proveranno di nuovo su altri siti web o applicazioni. Considerando che un utente medio possiede all'incirca 168 account, le probabilità che una password sia stata "riciclata" sono piuttosto elevate.
Migliora la tua sicurezza online
Conserva e gestisci in totale sicurezza i tuoi preziosi beni digitali
Scegli NordPassConfronto tra attacchi di credential stuffing e forza bruta
All'apparenza, gli attacchi di credential stuffing e gli attacchi di forza bruta funzionano in modo simile. L'aspetto comune è che i criminali informatici cercano di accedere ad account online o sistemi aziendali per assumerne il controllo, rubare informazioni sensibili o comprometterli in altro modo.
I due tipi di attacchi, tuttavia, seguono un approccio diverso. Durante gli attacchi di forza bruta, i criminali sfruttano processi automatizzati per indovinare il maggior numero possibile di potenziali combinazioni delle credenziali di accesso delle vittime. Secondo l'esperto di sicurezza informatica Adrianus Warmenhoven, gli hacker usano strumenti basati sull'AI per prevedere gli schemi ricorrenti delle credenziali di accesso e compromettere il maggior numero possibile di dati, il che si traduce in attacchi più efficaci.
Per condurre i loro attacchi di credential stuffing, i criminali utilizzano dati raccolti da database di violazioni: ciò significa che sanno che le combinazioni hanno già funzionato da qualche altra parte, anche se potrebbero non sapere su quale specifico sito web o sistema. Per questo motivo, gli attacchi di credential stuffing sono più efficaci di quelli di forza bruta.
Come prevenire gli attacchi di credential stuffing
Per evitare il credential stuffing, occorre affrontare il problema di fondo che accomuna molti altri attacchi informatici: mantenere al sicuro le credenziali. Spesso, purtroppo, i criminali prendono di mira direttamente i fornitori di servizi, e se questi non offrono una protezione adeguata contro le violazioni, puoi fare ben poco per mantenere i tuoi dati al sicuro. Puoi comunque adottare alcune misure di sicurezza di base per ridurre il rischio di cadere vittima di un attacco di credential stuffing.
Non riutilizzare le password
Abbiamo già accennato alla questione: riutilizzare per ogni account la stessa password, per quanto tu possa ritenerla inviolabile, è sostanzialmente un disastro annunciato. Già soltanto utilizzarla per due account aumenta in modo automatico il rischio che venga compromessa. Se la piattaforma in questione subisse una violazione, e la password finisse in un pacchetto di dati da qualche parte sul dark web, nulla potrebbe impedire ai criminali informatici di impossessarsene e utilizzarla in un attacco di credential stuffing.
Per proteggere i tuoi dati personali, non riutilizzare mai la stessa password. Se sei a corto di idee, puoi usare un generatore di password online per creare credenziali univoche e complesse per ogni tuo account. Con questo utile strumento puoi impostare a piacimento la lunghezza e la complessità della password, decidendo anche quali simboli includere o escludere. Consigliamo di generare una password lunga almeno 15 caratteri e che includa una combinazione casuale di lettere maiuscole e minuscole, numeri e simboli speciali.
Configura l'autenticazione a più fattori
L'autenticazione a più fattori è un passaggio aggiuntivo di verifica dell'identità che si attiva quando provi ad accedere a uno dei tuoi account online. Uno dei tipi più comuni di MFA consiste nell'inserimento di un codice a più cifre dopo aver fornito le credenziali di accesso; di solito, il codice viene inviato tramite email o generato da un autenticatore integrato. Usare l'autenticazione a più fattori significa che, anche se i criminali informatici provassero a usare le tue credenziali rubate per un attacco di credential stuffing, questo fallirebbe perché non possono accedere ai codici MFA sul tuo dispositivo.
Usa un gestore password
La raccomandazione di usare password univoche per ogni account potrebbe sembrarti impraticabile, soprattutto se possiedi un gran numero di credenziali sia per uso privato che lavorativo. Ma ecco la buona notizia: con un gestore password puoi risolvere facilmente il problema. Questo strumento ti aiuta infatti a memorizzare e accedere in modo sicuro a password, carte di credito e altre informazioni personali ogni volta che ne hai bisogno.
Con un gestore password come NordPass, puoi creare, conservare e gestire le tue credenziali di accesso con la massima semplicità. Un ulteriore vantaggio è che non dovrai più inserire manualmente password e nomi utente: per ogni sito web o applicazione, lo strumento compila in automatico le relative credenziali memorizzate nella cassaforte. NordPass rileva automaticamente i nuovi dati di accesso e ti permette di salvarli con un solo click, aiutandoti a risparmiare tempo ed evitando le seccature dovute a errori di digitazione e password dimenticate.
Controlla regolarmente se le tue credenziali sono state divulgate
Sapere se il tuo nome utente o la tua password sono stati compromessi è fondamentale per prevenire gli attacchi di credential stuffing e mantenere al sicuro gli account. Alcuni siti web permettono agli utenti di visualizzare uno storico delle attività dei loro account e di conoscere eventi come i tentativi di accesso non riusciti, corredati di ora, data e luogo in cui si sono verificati: queste utili informazioni ti aiutano a capire quando la tua password potrebbe essere finita nelle mani degli hacker.
Tuttavia, sappiamo bene che è impraticabile monitorare manualmente le attività di accesso su ogni sito web che utilizzi, alla ricerca di possibili violazioni di dati. Anche se dovresti ricevere un avviso quando una piattaforma subisce una violazione che coinvolge i tuoi dati personali, quando questa comunicazione ufficiale arriva potrebbe già essere troppo tardi. In alternativa, usando NordPass puoi configurare uno strumento di monitoraggio del dark web come il Data Breach Scanner.. Monitora automaticamente il dark web alla ricerca dei tuoi dati personali, come password, indirizzi email e dati di carte di credito, e ti invia una notifica non appena trova una corrispondenza.
Affidati al fingerprinting e all'analisi comportamentale per dimostrare la tua identità
Il credential stuffing fa un ampio uso di bot per automatizzare e tentare rapidamente di accedere agli account senza autorizzazione. Questi bot hanno una propria impronta digitale univoca, che consente di identificarli e distinguerli dai veri utenti in carne e ossa. Ogni volta che accedi di persona a un sito web, crei un'impronta digitale che il fornitore del servizio può utilizzare per identificarti; se invece un bot cerca di inserire le credenziali di accesso a tua insaputa, il sito web riconosce l'impronta non corrispondente e attiva una risposta di sicurezza (ad esempio, una verifica CAPTCHA) oppure blocca completamente l'accesso.
L'analisi comportamentale è un approccio più tecnico per prevenire il credential stuffing. Consente alle piattaforme di distinguere gli utenti reali dai bot grazie alla biometria comportamentale, che analizza ad esempio i movimenti del mouse, la velocità di digitazione e il tempo trascorso sulla pagina. Se un sito web rileva movimenti del mouse minimi o assenti, una frequenza di click e una velocità di digitazione insolitamente elevate, oppure un inserimento innaturale delle credenziali tramite copia e incolla automatici, può segnalare questo comportamento come simile a quello di un bot e impedire che il tentativo di accesso vada a buon fine.
In conclusione
Gli attacchi di credential stuffing hanno un elevato tasso di successo, ma sono facilmente evitabili seguendo buone pratiche per la gestione sicura delle credenziali. Sostituendo le password usate più volte con combinazioni univoche, proteggerai meglio i tuoi account dai criminali informatici. Grazie a NordPass Premium, puoi modificare facilmente tutti i dati di accesso, configurare l'autenticazione a più fattori direttamente nella tua cassaforte e tenere sempre sotto controllo eventuali credenziali vulnerabili o compromesse grazie a strumenti come la Salute password. Tieni sempre alta la guardia e non permettere ai criminali informatici di compromettere la sicurezza dei tuoi account.