Il World Password Day 2026, che cade giovedì 7 maggio, arriva in una fase in cui la password resta centrale nella vita digitale quotidiana, ma mostra limiti sempre più evidenti. Per anni è stata il principale meccanismo di protezione per e-mail, home banking, social network, servizi sanitari, piattaforme di lavoro e account personali. Oggi però il problema non riguarda più soltanto la scelta di una combinazione più lunga o più complessa. Il punto riguarda l’intero modello di autenticazione.
Gli attacchi basati sulle credenziali sono diventati più rapidi, più economici e più facili da automatizzare. Phishing, credential stuffing, malware infostealer, brute-force e furti di sessione hanno trasformato la password in un bersaglio costante. Panda Security ricorda che le password deboli restano uno dei modi più semplici per violare gli account e cita statistiche secondo cui una persona su quattro ha subito almeno una compromissione legata a password poco sicure.
Il problema non è solo scegliere una password più forte
Per Clusit, l’Associazione Italiana per la Sicurezza Informatica, la sicurezza delle password è ormai un tema sistemico. Anna Vaccarelli, presidente dell’associazione, sottolinea che «non è più solo una questione di come scegliamo le password, ma di come l’intero sistema digitale protegge le informazioni personali nel tempo». Il messaggio è chiaro: l’utente deve adottare buone pratiche, ma aziende, istituzioni e piattaforme devono costruire sistemi meno dipendenti da segreti facili da rubare.
La password “perfetta” ha ancora senso solo dentro una strategia più ampia. Deve essere unica, lunga, non prevedibile, non legata a dati personali e conservata in un password manager affidabile. Le linee guida NIST chiedono ai servizi di bloccare password comuni, prevedibili o già compromesse, e di permettere l’uso di password manager e funzioni di incolla, proprio per favorire credenziali più robuste.
Questo significa che alcune vecchie abitudini hanno perso efficacia. La rotazione automatica e frequente delle password, per esempio, può portare gli utenti a scegliere varianti prevedibili. Molto più utile è verificare se le credenziali sono finite in una violazione, cambiare subito quelle compromesse e usare password diverse per ogni account.
L’autenticazione a più fattori ha alzato la soglia, ma non basta sempre
L’autenticazione a più fattori ha rappresentato un passo avanti rispetto alla sola password. Aggiunge una verifica ulteriore: qualcosa che l’utente conosce, possiede o è, nel caso della biometria. Codici via app, notifiche push, SMS e token hanno reso più difficile l’accesso non autorizzato.
Anche la MFA, però, non offre sempre lo stesso livello di protezione. Gli attaccanti hanno imparato ad aggirare alcuni metodi con tecniche come adversary-in-the-middle, furto dei cookie di sessione, MFA fatigue e social engineering contro utenti o help desk. CISA indica FIDO/WebAuthn come la forma di autenticazione resistente al phishing oggi più ampia a disposizione delle organizzazioni.
La differenza è sostanziale. Un codice OTP può essere inserito su una pagina falsa. Una notifica push può essere approvata per errore o per stanchezza. Una passkey, invece, verifica crittograficamente che l’accesso avvenga sul dominio corretto.
Come funzionano le passkey
Le passkey sono credenziali basate sugli standard FIDO2 e WebAuthn. Non richiedono all’utente di ricordare una password e si fondano sulla crittografia a chiave pubblica. Per ogni servizio viene creata una coppia di chiavi: una pubblica, conservata dal servizio online, e una privata, che resta sul dispositivo dell’utente, in un gestore di credenziali o su una chiave hardware.
Durante l’accesso, il servizio invia una richiesta crittografica al dispositivo. L’utente sblocca la passkey con il metodo previsto, come PIN, impronta digitale o riconoscimento del volto. Il dispositivo firma la richiesta con la chiave privata. Il server verifica la firma con la chiave pubblica. Nessuna password viaggia in rete e nessun segreto riutilizzabile viene conservato dal sito. FIDO Alliance descrive le passkey come sostituti delle password, resistenti al phishing e basati su coppie di chiavi crittografiche.
Questo modello riduce il rischio di phishing tradizionale. Se l’utente finisce su una pagina falsa, la passkey non completa l’autenticazione perché è legata al dominio legittimo. FIDO Alliance precisa che ogni passkey è unica e vincolata al dominio del servizio online; inoltre, i dati biometrici, quando usati, restano sul dispositivo e non vengono inviati al server.
Perché le passkey interessano anche le aziende
Per le organizzazioni, il passaggio alle passkey non riguarda solo la sicurezza. Riguarda anche costi, operatività e supporto interno. Sophos, in una guida operativa dedicata ai CISO, racconta che il proprio percorso di adozione delle passkey ha richiesto più tentativi, a conferma del fatto che la tecnologia è matura ma il rollout va pianificato con attenzione.
I benefici potenziali sono evidenti. Meno password significa meno credenziali da rubare, meno reset da gestire e meno ticket legati ad account bloccati o codici non ricevuti. Per gli utenti il login diventa più rapido; per i team IT si riduce una quota di lavoro ripetitivo. La FIDO Alliance cita tra i vantaggi aziendali una riduzione di phishing, credential stuffing, superficie d’attacco, reset password e richieste di supporto.
Il nodo, semmai, è organizzativo. Prima di adottare le passkey, un’azienda deve capire quali dispositivi usa il personale, quali sistemi operativi sono presenti, quali applicazioni supportano WebAuthn, quali account hanno priorità e come recuperare l’accesso in caso di smarrimento o sostituzione di un device. Le passkey possono essere sincronizzate tra dispositivi tramite un provider, oppure restare vincolate a un singolo dispositivo o a una chiave hardware. Questa scelta cambia il livello di comodità, controllo e rischio.
Password sicure nel 2026: cosa resta valido
Il passaggio a un futuro passwordless richiederà tempo. Nel frattempo, le password restano necessarie per moltissimi servizi. Per questo le buone pratiche continuano ad avere un ruolo concreto.
Una password efficace non deve sembrare per forza una sequenza impossibile da ricordare. Può nascere da una passphrase lunga, da parole casuali non collegate tra loro o da una frase personale trasformata in acronimo. Panda Security suggerisce strategie come acronimi ricavati da frasi note solo all’utente, passphrase con almeno quattro parole casuali, simboli e numeri inseriti in modo non prevedibile, password manager, autenticazione a due fattori e monitoraggio delle violazioni. Resta però un limite: molte persone costruiscono password “creative” in modo prevedibile. Sostituire la “a” con “@” o la “o” con “0” non basta, perché gli strumenti di attacco conoscono questi schemi. Una parola come P@ssw0rd! appare complessa a occhio umano, ma resta debole per un sistema addestrato a cercare varianti comuni.
L’intelligenza artificiale cambia gli attacchi alle credenziali
L’intelligenza artificiale rende più sofisticati gli attacchi alle password perché aiuta a riconoscere schemi ricorrenti nei comportamenti umani. Gli attaccanti non devono provare ogni combinazione possibile. Possono partire da enormi archivi di credenziali già violate e costruire modelli capaci di imitare il modo in cui le persone scelgono password, date, nomi, riferimenti sportivi, citazioni e combinazioni semi-personali.
Il rischio aumenta quando le informazioni personali sono pubbliche. Profili social, LinkedIn, vecchi forum, nickname, foto, anniversari e nomi di animali domestici possono alimentare dizionari d’attacco personalizzati. Per questo una password forte deve essere lunga e imprevedibile, ma anche scollegata dalla biografia digitale dell’utente.
Sul versante difensivo, l’AI può aiutare a rilevare accessi anomali: posizione insolita, orario atipico, dispositivo nuovo, ritmo di digitazione diverso, impossibilità logica tra due login ravvicinati da luoghi lontani. La password, da sola, non basta più; il contesto dell’accesso diventa parte della difesa.
Il fattore quantum e il rischio sui dati di lungo periodo
Il tema dei computer quantistici allarga il discorso oltre la password. La minaccia non riguarda l’accesso quotidiano a un singolo account, ma la solidità degli algoritmi crittografici che proteggono comunicazioni, transazioni, identità digitali e archivi sensibili.
NIST ha già pubblicato i primi standard di crittografia post-quantum, pensati per resistere ad attacchi condotti con computer quantistici. L’istituto invita gli amministratori dei sistemi informatici a iniziare la transizione verso questi standard il prima possibile, perché la migrazione crittografica richiede anni e coinvolge software, hardware, protocolli, fornitori e processi interni.
Clusit richiama proprio questo punto: dati che oggi viaggiano cifrati potrebbero essere raccolti e conservati da attori avanzati con l’obiettivo di decifrarli in futuro. È lo scenario noto come harvest now, decrypt later. Per l’utente comune può sembrare distante, ma per sanità, finanza, pubblica amministrazione, infrastrutture critiche e aziende che trattano proprietà intellettuale è già un tema di pianificazione.
Cosa devono fare utenti, aziende e istituzioni
Per gli utenti, il primo passo resta pragmatico: usare password uniche, attivare la verifica in due passaggi, scegliere un password manager, controllare le violazioni e iniziare a usare le passkey dove disponibili. L’obiettivo non è ricordare password sempre più complicate, ma ridurre il numero di password da gestire e proteggere meglio gli account più sensibili.
Per le aziende, il percorso richiede un inventario degli accessi, una mappa dei sistemi compatibili, una gerarchia degli account più esposti e una strategia di recupero credenziali. I profili amministrativi, gli account finanziari, i sistemi HR, le e-mail aziendali e le piattaforme cloud dovrebbero avere priorità. Il rollout funziona meglio se parte da un gruppo pilota eterogeneo, con comunicazioni chiare, supporto preparato e metriche utili a misurare errori, blocchi e richieste di assistenza.
Per istituzioni e fornitori digitali, la sfida consiste nel rendere la sicurezza meno dipendente dalla capacità dell’utente di non sbagliare. Le passkey vanno in questa direzione: meno memoria, meno codici da copiare, meno segreti da digitare, più verifica crittografica dell’identità e del servizio. Il World Password Day 2026 segna quindi un passaggio culturale: la password resta utile, ma non può più essere considerata il centro della sicurezza digitale.
Aiutaci a crescere: lasciaci un like :)