← Back to Blog

Perché gli aggressori adorano le password create dagli umani

2025-12-23

Questo articolo si basa su ricerche di sicurezza informatica pubblicamente disponibili, rapporti del settore e pratiche di sicurezza ampiamente accettate. Dove viene menzionata l'esperienza personale, è esplicitamente indicato.

Una violazione che la maggior parte delle persone ha dimenticato — ma non dovrebbe

Nel 2012, LinkedIn è stato colpito da quella che era, all'epoca, una delle più grandi violazioni di dati della storia. Analisi successive hanno mostrato che circa 167 milioni di record di account sono stati esposti, e circa 117 milioni di essi includevano indirizzi email e hash delle password.

Quando i team di sicurezza hanno esaminato le password decifrate, i risultati sono stati dolorosamente familiari. password1, linkedin123 e simili scelte di scarso impegno sono apparse a milioni. Più interessante — e più preoccupante — anche le password che sembravano intelligenti, come L!nk3d1n2020, sono cadute rapidamente. Perché? Perché seguivano schemi che gli umani usano quasi sempre.

Ho passato più di quindici anni a lavorare nei test di penetrazione della sicurezza informatica. Il mio lavoro è entrare nei sistemi — legalmente — usando gli stessi metodi su cui fanno affidamento i veri aggressori. Le password non sono un argomento teorico per me; sono qualcosa che vedo fallire nella pratica ogni singolo giorno.

Come le password vengono effettivamente attaccate

Per capire perché alcune password sopravvivono e altre no, devi guardare dal lato dell'aggressore. Gli aggressori non stanno lì a indovinare le password una per una. Automatizzano tutto.

  1. Attacchi a dizionario (Dictionary Attacks): Questi si basano su massicce raccolte di password reali, parole, frasi e variazioni raccolte da anni di violazioni dei dati. Questi dizionari contengono miliardi di voci e continuano a crescere.
  2. Attacchi basati su regole (Rule-Based Attacks): Questi sono devastantemente efficaci contro la creatività umana. Gli strumenti applicano automaticamente abitudini comuni: scambiare "o" con "0", aggiungere "123" o "!" alla fine, mettere la prima lettera maiuscola, inserire un anno, e così via. La maggior parte delle password "intelligenti" cade proprio qui.
  3. Forza bruta (Brute Force): Provare ogni possibile combinazione. Questo sembra spaventoso, ma contro password lunghe e veramente casuali memorizzate con moderni algoritmi di hashing, la forza bruta diventa rapidamente impraticabile semplicemente perché richiede troppo tempo.

Il problema con le password create da soli

Ci piacciono le password che inventiamo noi stessi perché sembrano personali e memorabili. Sfortunatamente, la ricerca — e l'esperienza — mostra che sono anche altamente prevedibili.

  • I modelli si ripetono: Studi su larga scala, compreso il lavoro della Carnegie Mellon University, mostrano costantemente le stesse strutture: una parola o un nome, una lettera maiuscola all'inizio e numeri o simboli alla fine. Il contenuto cambia, ma la forma rimane la stessa. Una volta che gli aggressori modellano quella struttura, la decifrazione diventa drasticamente più veloce.
  • La lunghezza raggiunge un tetto: La maggior parte delle password create dagli utenti si attesta tra gli 8 e i 10 caratteri. Non perché le persone non sappiano che più lungo è più sicuro, ma perché la memoria ci spinge verso stringhe più corte.
  • Le informazioni personali trapelano: Compleanni, nomi di animali domestici, anniversari — le persone li usano costantemente. E nell'era dei social media, gli aggressori spesso non hanno nemmeno bisogno di indovinare.

Perché le password casuali giocano un gioco diverso

Una password creata da un generatore di password casuali sicuro — qualcosa come r8$NpL#2qW9 — non è solo "più complessa". È fondamentalmente diversa.

Ogni carattere è scelto in modo indipendente. Non ci sono parole, né sostituzioni, né logica umana. Quel singolo fatto rimuove gli strumenti più potenti dell'aggressore: dizionari e regole.

Da una prospettiva numerica:

  • Una password di 8 caratteri che utilizza solo lettere minuscole ha circa 26⁸ possibilità (~209 miliardi).
  • Aggiungi maiuscole, numeri e simboli, e sei improvvisamente intorno a 95⁸ (~6 quadrilioni).
  • Portalo a 12 caratteri e lo spazio diventa astronomicamente grande.

Ma il vero vantaggio non è solo la dimensione — è che le password casuali costringono gli aggressori alla forza bruta, che è lenta, costosa e spesso non vale lo sforzo.

Come appare la violazione di queste password nella pratica

Dal punto di vista di un penetration tester, la differenza è netta:

| Tipo di Password | Esempio | Metodo dell'Aggressore | Tempo per Decifrare | | :--- | :--- | :--- | :--- | | Creata da sé | Tiger2021! | Dizionario & Basato su regole | Da Minuti a Ore | | Generata Casualmente | r8$NpL#2qW9 | Pura Forza Bruta | Anni / Secoli |

Se la password è correttamente sottoposta a hashing con qualcosa come bcrypt o Argon2, la forza bruta contro la stringa casuale implica un lasso di tempo che rende l'attacco impraticabile. Nella maggior parte dei casi del mondo reale, l'aggressore semplicemente passa oltre.

Il vero compromesso: Umani vs. Casualità

La più grande debolezza delle password casuali non è la sicurezza — è l'usabilità. Gli umani sono terribili nel ricordare stringhe senza significato. Questa è la tensione centrale nella sicurezza delle password:

  • Le password che gli umani ricordano bene tendono ad essere deboli.
  • Le password che sono forti tendono ad essere immemorabili.

Le moderne pratiche di sicurezza esistono per colmare questo divario.

Cosa funziona davvero oggi

Sulla base del consenso del settore e dell'esperienza nel mondo reale:

  1. Usa un Password Manager: Strumenti come Bitwarden o 1Password ti permettono di affidarti a un'unica password principale forte mentre tutto il resto è lungo, casuale e unico. Questa è ampiamente considerata l'opzione migliore per la maggior parte delle persone.
  2. Se devi memorizzare, usa la lunghezza: Una stringa di parole non correlate (ad esempio, coffee-zebra-battery-stapler) è spesso più resistente agli attacchi — e più facile da ricordare — di una password breve e piena di simboli.
  3. Non riutilizzare mai le password: Una volta che un sito viene violato, il riutilizzo lo trasforma in un effetto domino.
  4. Abilita l'MFA: Email, banche, account cloud — usa sempre l'autenticazione a più fattori.
  5. Controlla l'esposizione alle violazioni: Servizi come Have I Been Pwned ti permettono di vedere se la tua email appare in set di dati di violazioni noti.

Pensieri Finali

Questo non è un dibattito filosofico su chi tra umani o macchine crei password "migliori". Riguarda la gestione del rischio.

I computer sono bravi a generare casualità. Gli umani sono bravi a proteggere un singolo segreto e a rispondere a prompt come l'MFA. L'approccio più sicuro è lasciare che ognuno faccia ciò che sa fare meglio.

Pronto ad aggiornare la tua sicurezza? Genera una password forte offline ora per proteggere immediatamente i tuoi account.