Per la prima volta dal 2020, il numero medio di password gestite da ciascun utente mostra una flessione. Secondo una nuova ricerca di NordPass, nel 2026 ogni persona ha in media circa 120 password personali e 67 password di lavoro. Il dato segna una variazione rilevante rispetto al picco del 2024, quando la media era arrivata a 168 password personali e 87 credenziali professionali. La ricerca è stata condotta tra il 4 e il 15 aprile 2026 su un campione di 1.509 utenti NordPass.
Il calo non indica una riduzione della vita digitale degli utenti. Al contrario, il numero complessivo di account e credenziali resta elevato. Il dato suggerisce però un cambiamento nel modo in cui le persone accedono ai servizi online: meno password create per ogni singolo account e maggiore ricorso a soluzioni alternative, come single sign-on, passkey, riconoscimento biometrico e standard come WebAuthn.
La prima flessione dopo anni di crescita
NordPass monitora l’evoluzione dell’impronta digitale legata alle password dal 2020. Prima della pandemia, la media indicata era di circa 80 password per utente. Nei mesi successivi, con l’aumento delle attività online, il numero era salito a 100, per poi crescere ancora fino al massimo registrato nel 2024.
Il dato del 2026 interrompe questa progressione. La spiegazione proposta da Karolis Arbačiauskas, Head of Product di NordPass, riguarda soprattutto la maggiore diffusione di accessi semplificati tramite account principali, come Google, Apple o Facebook, e la crescita delle soluzioni passwordless. Questo tipo di accesso riduce la necessità di creare una password diversa per ogni servizio, anche se non elimina i rischi legati alla sicurezza degli account principali.
Passkey e SSO cambiano il rapporto con le password
Le passkey rappresentano una delle alternative più rilevanti alle password tradizionali. A differenza delle credenziali classiche, non richiedono la memorizzazione di una stringa segreta da parte dell’utente e si basano su chiavi crittografiche associate al dispositivo o all’account. La FIDO Alliance le descrive come credenziali progettate per offrire autenticazione resistente al phishing, con l’obiettivo di ridurre attacchi come furto di password, credential stuffing e accessi fraudolenti.
Il single sign-on offre invece un vantaggio di comodità: permette di accedere a più servizi tramite un account principale. Questa scelta riduce il numero di password distinte, ma concentra il rischio su pochi account centrali. Se l’account usato per l’accesso federato risulta compromesso, l’impatto può estendersi a più servizi collegati. Per questo motivo, l’adozione di autenticazione a più fattori, passkey e controlli periodici sugli accessi resta un passaggio importante.
Il problema resta il riutilizzo delle credenziali
La diminuzione del numero medio di password non elimina una delle abitudini più rischiose: il riutilizzo delle stesse credenziali su più servizi. Quando gli utenti hanno molti account, tendono spesso a scegliere password simili tra loro o varianti minime della stessa combinazione. In caso di violazione di un solo servizio, gli aggressori possono testare la stessa password su piattaforme diverse.
A questo si aggiunge il rischio degli account dimenticati. Profili creati anni prima, servizi usati una sola volta o piattaforme con misure di sicurezza deboli possono restare esposti senza che l’utente se ne accorga. NordPass evidenzia che strumenti di monitoraggio delle violazioni possono aiutare a rilevare credenziali comparse in data breach o nel dark web.
Cosa cambia per utenti e aziende
Per gli utenti privati, il dato conferma una transizione graduale verso un modello in cui la password non è più l’unico elemento di accesso. La scelta più sicura resta l’uso di password uniche e robuste dove le passkey non sono disponibili, affiancate da autenticazione a più fattori e controlli regolari sugli account inutilizzati.
Per le aziende, il calo delle password non deve portare a una riduzione dell’attenzione. Le credenziali professionali restano un bersaglio centrale per campagne di phishing, furto di identità e accessi non autorizzati. La migrazione verso passkey, WebAuthn e sistemi di autenticazione più resistenti agli attacchi può ridurre la dipendenza dalle password, ma richiede governance, formazione interna e gestione corretta degli account privilegiati.
Il dato di NordPass indica quindi una direzione chiara: la password tradizionale perde centralità, ma la sicurezza dell’identità digitale diventa più importante. Meno password non significa automaticamente meno rischio. Significa, piuttosto, che la protezione degli accessi si sposta verso pochi punti decisivi: account principali, dispositivi personali, strumenti di autenticazione e capacità di rilevare credenziali compromesse.
