Nel 2024, nonostante i numerosi avvertimenti degli esperti di cybersecurity, milioni di utenti italiani continuano a utilizzare password estremamente prevedibili e vulnerabili. Questo problema non si limita alla sfera personale: anche le PMI italiane spesso sottovalutano i rischi legati a credenziali deboli, mettendo a rischio dati sensibili e sistemi aziendali.

Secondo uno studio recente di NordPass, tra le password più comuni troviamo le classiche combinazioni numeriche come “123456” e “123456789”. In Italia, si distinguono anche altre scelte curiose come “cambiami” e “juventus”, spesso legate a preferenze culturali o alla pigrizia degli utenti. Queste password possono essere violate in meno di un secondo attraverso attacchi di brute force o Dictionary Attack, compromettendo dati personali, identità digitali e accessi a servizi online.

Le password aziendali non sono esenti da questo trend. Tra le combinazioni più comuni nelle PMI italiane figurano “new_user” e “password”, evidenziando una mancanza di protocolli di sicurezza adeguati. Tali scelte mettono a rischio non solo l’accesso ai sistemi, ma anche la fiducia di clienti e partner. È preoccupante notare come molte aziende continuino a sottovalutare la necessità di implementare pratiche di Cyber security e gestione sicura delle credenziali.

Gli hacker utilizzano software automatizzati per testare miliardi di password in pochissimo tempo.

Tra le strategie più comuni vi sono:

• Brute Force Attack: un sistema automatizzato prova tutte le possibili combinazioni di caratteri fino a individuare quella corretta. Le password semplici possono essere decifrate in una frazione di secondo.

• Dictionary Attack: gli hacker si avvalgono di elenchi di password comuni, spesso derivati da database violati in precedenza. Termini banali come “password” o sequenze prevedibili come “123456” sono tra i primi tentativi.

• Credential Stuffing: questo metodo sfrutta il riutilizzo delle password. Una volta che un hacker ottiene accesso a un account, utilizza le stesse credenziali per cercare di accedere ad altri servizi o piattaforme correlati.

Se violano un account aziendale, pertanto, possono estendere l’attacco ad altri sistemi, causando gravi danni finanziari e reputazionali. Qualche esempio? Informazioni aziendali riservate, come dati dei clienti o proprietà intellettuali, possono essere vendute sul mercato nero o divulgate pubblicamente; possono eseguire frodi finanziarie per effettuare transazioni non autorizzate o lanciare attacchi ramsoware per bloccare i sistemi aziendali e richiedere un riscatto…  Insomma tutte attività poco simpatiche e che generano grossi problemi!

1. Password lunghe e complesse: devono contenere almeno 12-16 caratteri con lettere maiuscole, minuscole, numeri e simboli.

2. Gestione unica delle password: ogni account dovrebbe avere una password differente per evitare rischi a catena.

3. Password manager: Strumenti che generano e memorizzano password complesse in modo sicuro.

4. Autenticazione a due fattori (2FA): aggiunge un ulteriore livello di sicurezza richiedendo un codice inviato via SMS o app.

5. Formazione continua: per aziende, formare i dipendenti sulle migliori pratiche di cybersecurity è essenziale.

Adottare queste misure è cruciale non solo per proteggere i dati personali, ma anche per salvaguardare il business. Investire in sicurezza informatica aziendale oggi è una necessità per garantire competitività e resilienza nel panorama digitale.