Modificare una password già esistente con una piccola variazione è una delle abitudini più diffuse e sottovalutate in ambito cybersecurity. Aggiungere un numero, cambiare una lettera o inserire un simbolo può sembrare una soluzione pratica. In realtà espone utenti e aziende a rischi concreti. Una nuova ricerca diffusa da NordPass conferma quanto il fenomeno sia radicato. Il 62% dei cittadini statunitensi, il 60% dei britannici e il 50% dei tedeschi ammette di utilizzare la stessa password su più account. In media le credenziali vengono riutilizzate su circa cinque servizi diversi. Un quinto degli intervistati arriva a impiegarle su dieci o più account.
L’effetto domino di una sola violazione
Secondo Karolis Arbaciauskas, Head of Product di NordPass, questa pratica genera un effetto domino. È sufficiente compromettere una sola password per ottenere accesso a un’intera identità digitale. Il problema non riguarda solo il riutilizzo integrale delle credenziali. Il 68% degli statunitensi, il 62% dei britannici e il 61% dei tedeschi dichiara di apportare lievi modifiche prima di riusare una password. La variazione più comune consiste nell’aggiungere o sostituire un numero, un simbolo o una lettera.
Dal punto di vista tecnico, questo comportamento facilita il lavoro degli strumenti di attacco automatizzati. I software utilizzati nei tentativi di brute force e credential stuffing applicano proprio trasformazioni prevedibili come l’aggiunta di “1”, “123” o la sostituzione di “a” con “@”. Una password che appare diversa all’occhio umano può risultare banale per un algoritmo.
Le 200 password più comuni del 2025: 119 duplicati
L’analisi delle credenziali trapelate nel dark web rafforza il quadro. Nella classifica “Le 200 password più comuni nel 2025” sono presenti 119 password quasi identiche tra loro. Le varianti più frequenti si concentrano su sequenze numeriche come 12345 o 1234567, su versioni di “admin” come admin123, su trasformazioni di “password” come Password1 o p@ssw0rd, su sequenze da tastiera come qwerty123, su pattern ricorrenti come 11111111 e su parole comuni con prefissi o suffissi numerici. Secondo Arbaciauskas, molte di queste combinazioni sembrano uniche ma seguono schemi facilmente prevedibili. Gli strumenti di hacking sono progettati proprio per sfruttare questo tipo di regolarità.
Perché si continua a riutilizzare le password
Un terzo degli utenti che riutilizza le credenziali afferma di avere troppi account per ricordare password diverse. Circa il 25% ritiene scomodo creare e gestire combinazioni univoche.
Il dato non sorprende. L’utente medio possiede circa 170 password tra strumenti di lavoro, servizi finanziari, social network, piattaforme di e-commerce e abbonamenti digitali. Memorizarle tutte senza supporti dedicati non è realistico.
Resta però preoccupante che circa il 10% degli intervistati non consideri pericoloso il riutilizzo delle password. In caso di violazione, le conseguenze possono includere furto di identità, accesso ai conti bancari, utilizzo fraudolento di carte di credito o richieste di prestiti a nome della vittima. In ambito aziendale, l’impatto può tradursi in perdite economiche rilevanti e in casi estremi in estorsioni.
Le contromisure raccomandate
Gli esperti indicano alcune azioni chiave per ridurre il rischio. La formazione interna resta un elemento centrale nelle aziende. Programmi strutturati aiutano a ridurre il riutilizzo delle credenziali e favoriscono comportamenti più consapevoli anche nella sfera privata.
Le imprese dovrebbero adottare politiche rigorose sulle password, con sistemi capaci di confrontare le nuove credenziali con database di password già compromesse. L’uso di generatori automatici consente di creare combinazioni lunghe e casuali, prive di schemi prevedibili. L’autenticazione a più fattori rappresenta oggi una misura essenziale. Anche in presenza di una password compromessa, un codice monouso o un secondo fattore di verifica può bloccare l’accesso non autorizzato. I password manager permettono di generare, archiviare e compilare automaticamente credenziali complesse senza doverle ricordare. Le password restano crittografate sul dispositivo dell’utente.
Infine, si diffonde l’adozione delle passkey, che combinano crittografia a chiave pubblica e autenticazione biometrica. In questo modello non esiste una password da digitare o riutilizzare. Quando disponibili, rappresentano una soluzione più robusta rispetto alle credenziali tradizionali. Il messaggio che emerge dalla ricerca è chiaro: cambiare una lettera non equivale a creare una nuova password. In un contesto in cui gli attacchi sono automatizzati e su larga scala, la prevedibilità è il primo alleato degli hacker.
