Una recente ricerca mette in luce una criticità finora sottovalutata: internet si fonda su sistemi di sicurezza basati su regole di password incomplete o inefficaci.
Cosa è nato prima, le password deboli o i requisiti di sicurezza inadeguati? Secondo un nuovo studio di NordPass, i siti web più visitati al mondo continuano a favorire cattive abitudini, non tanto per ciò che comunicano, ma per ciò che omettono di richiedere.
Analizzando i 1.000 siti web più popolari al mondo, i ricercatori hanno scoperto che nella maggior parte dei casi è ancora troppo semplice creare password deboli. Dalle piattaforme e-commerce ai portali governativi, anche i colossi del web ignorano regole basilari per la sicurezza digitale.
“Internet ci ha insegnato a entrare nei nostri account, ma con regole sbagliate. Se un sito accetta ‘password123’, gli utenti imparano che è sufficiente. È così che si consolida un’abitudine rischiosa e diffusa”, spiega Karolis Arbaciauskas, Head of Product di NordPass.
Il paradosso delle password
NordPass ha riscontrato una grande disomogeneità nelle politiche di protezione. Alcuni siti applicano requisiti minimi, altri non ne prevedono affatto, e solo una piccola parte adotta criteri chiari e coerenti.
Il risultato è un panorama confuso: ogni piattaforma impone regole diverse, disorientando gli utenti e abbassando progressivamente gli standard globali.
Secondo i dati raccolti:
– Il 61% dei siti richiede una password, ma nessuno soddisfa gli standard di sicurezza del NIST o di NordPass.
– Il 58% non obbliga all’uso di caratteri speciali.
– Il 42% non impone una lunghezza minima.
– L’11% non stabilisce alcun requisito.
– Solo l’1% rispetta pienamente le best practice.
I settori più sensibili, come governo, sanità e alimentare, sono risultati tra i peggiori.
“La sicurezza non può essere solo responsabilità dell’utente. I siti web devono promuovere buone pratiche, ad esempio attraverso regole chiare, feedback visivi o l’adozione di metodi moderni come le passkey”, aggiunge Arbaciauskas.
Innovazione ancora troppo lenta
Lo studio ha indagato anche le modalità di autenticazione. I risultati mostrano che le soluzioni innovative si diffondono con lentezza:
– Solo il 39% dei siti consente l’accesso tramite Single Sign-On (SSO), soprattutto via Google.
– Appena il 2% supporta le passkey, la tecnologia senza password promossa dalla FIDO Alliance.
– Soltanto cinque siti (bahn.de, cuisineaz.com, fedex.com, interia.pl e ups.com) hanno rispettato i criteri più rigorosi di NordPass e NIST.
“La superficialità non nasce dal nulla: se i siti smettono di richiedere password complesse, gli utenti smettono di crearle. È un fenomeno culturale che va invertito”, sottolinea ancora Arbaciauskas.
Perché è un problema urgente
In un’epoca di violazioni di dati in crescita e strumenti di hacking automatizzati, la qualità delle password rappresenta la prima linea di difesa.
Standard deboli producono un effetto domino: se i grandi siti non impongono regole forti, quelli più piccoli non ne vedono la necessità. Questo espone non solo gli utenti, ma anche aziende e istituzioni.
Le password prevedibili, unite alle capacità dell’intelligenza artificiale, agevolano attacchi di forza bruta e credential stuffing, mettendo a rischio milioni di account.
Metodologia
L’indagine ha analizzato i 1.000 siti più visitati al mondo (classifica Ahrefs, febbraio 2025) basandosi sul traffico di ricerca organico. I ricercatori hanno verificato metodi di autenticazione e requisiti di password tra il 26 febbraio e il 6 marzo 2025.
