Il rapporto di Comparitech su oltre 2 miliardi di password trapelate conferma la dipendenza globale da combinazioni banali e mette in luce rischi pratici e culturali per la sicurezza digitale.
Nel 2025, mentre gli strumenti di attacco automatico diventano sempre più sofisticati, una costante imbarazzante rimane: gli utenti continuano a scegliere password facilmente indovinabili. Lo studio citato da Comparitech, basato sull’analisi di dataset trapelati e verificati raccolti durante l’anno, mostra che la sequenza 123456 domina ancora la classifica con milioni di occorrenze. Non si tratta di un fenomeno isolato ma di un comportamento radicato: combinazioni come admin, password, sequenze numeriche semplici e ripetute o stringhe mnemoniche brevissime permangono nelle prime posizioni. Questo primo paragrafo serve a orientare il lettore sul fatto che il problema non è solo tecnico, ma profondamente culturale e diffuso, con ricadute concrete su privacy, finanza e reputazione online.
Come leggiamo i dati e cosa significano per gli utenti comuni
Il dataset esaminato include oltre due miliardi di password emerse in fuga di dati confermate nel 2025: ogni occorrenza è stata conteggiata dopo processi di pulizia e deduplica, per ridurre i bias dei dump multipli. Il risultato è sorprendentemente netto: una parte significativa delle combinazioni più usate è composta esclusivamente da numeri, con una forte prevalenza di sequenze come 123456, 12345678 e affini. Questa prevalenza non è una curiosità statistica: ha implicazioni immediate. Le moderne suite di attacco implementano dizionari estesi e modelli di machine learning che testano prima le password con massima probabilità d’uso, quindi combinazioni banali vengono provate nei primissimi istanti di un attacco automatizzato. La velocità con cui una password semplice viene compromessa è misurabile in secondi o minuti con attacchi di forza bruta ottimizzati su GPU o tramite servizi cloud malevoli.
La ricerca segnala anche che solo il 3,2% delle password supera i 16 caratteri: questo dato dovrebbe far suonare un campanello d’allarme per chi gestisce account sensibili. La lunghezza media e la presenza di schemi facilmente riproducibili (ripetizioni, sequenze numeriche, parole comuni) riducono drasticamente l’efficacia di qualunque criterio nominale di “complessità ”. Oltre alla sola robustezza della singola password, il problema si aggrava per il riutilizzo: gli account compromessi in una fuga possono essere usati per attacchi “credential stuffing” su altri servizi. Il rapporto sottolinea inoltre differenze culturali e regionali: alcune password localizzate, come India@123, emergono spesso in determinati contesti geolocali, ma rimangono prevedibili per chi costruisce dizionari mirati. Per l’utente comune la diagnosi è semplice e preoccupante: molte protezioni restano illusorie se la scelta della password segue logiche di comodità invece che di sicurezza. Infine, la ricerca insiste su un punto essenziale: l’autenticazione a due fattori non è più un optional ma la principale barriera a un account compromesso, riducendo in modo significativo il rischio anche in presenza di password deboli.
Cosa fare oggi: dalla singola persona alle aziende, misure pratiche e politiche efficaci
La risposta al problema deve muoversi su due piani paralleli: comportamento individuale e infrastrutture organizzative. Per gli utenti privati la prima misura pratica è adottare un gestore di password che generi e conservi passphrase lunghe e casuali, evitando la tentazione di creare varianti “memorabili” di combinazioni già viste. Le passphrase lunghe, composte da parole non correlate e caratteri speciali, aumentano l’entropia e restano più resistenti agli attacchi rispetto a una singola parola complessa ma corta. È fondamentale contrastare il riutilizzo: una singola password per più servizi trasforma ogni fuga di dati in una potenziale porta d’ingresso su decine di piattaforme. L’implementazione diffusa dell’autenticazione a due fattori (preferibilmente con app di autenticazione o chiavi hardware) è un’altra barriera decisiva: anche se la password viene rubata, l’accesso non diventa immediato.
Sul fronte aziendale e istituzionale bisogna passare da politiche reattive a programmi di protezione proattivi. Le organizzazioni devono implementare sensori di rilevamento delle credenziali compromesse, forzare il reset obbligatorio delle password quando una fuga coinvolge domini aziendali e monitorare i tentativi di credential stuffing con strumenti di threat intelligence. Le policy di password dovrebbero privilegiare la lunghezza rispetto alla complessità artificiale, incentivando le passphrase e l’uso di password manager approvati. Formazione continua e comunicazioni chiare restano elementi imprescindibili: campagne che mostrino in tempo reale quanto velocemente una password banale può essere violata tendono a modificare comportamenti più di regole astratte.
Infine, la dimensione normativa e tecnologica va considerata: standard di settore e best practice devono spingere per l’adozione di metodi di autenticazione più robusti e per la deprecazione delle password semplici nei processi di onboarding. La combinazione di educazione, strumenti e policy può ridurre sensibilmente la porosità degli account online, ma il presupposto rimane culturale: cambiare abitudini è più difficile che aggiornare software. Se il 2025 conferma che 123456 rimane la password più comune, la sfida non è solo tecnica ma sociale: trasformare la sicurezza digitale da fastidio opzionale a riflesso quotidiano.
Lo studio di Comparitech è un avvertimento, non una sorpresa: la sicurezza comincia dalle scelte che facciamo ogni giorno.