Il 7 maggio 2026 si celebra il World Password Day 2026, giunto alla 13esima edizione e dedicato alla protezione delle identità digitali.
“Il World Password Day esiste da molti anni: è stato creato da Intel nel 2013 e si celebra ogni anno il primo giovedì di maggio“, ricorda Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Ma è l’ora di andare oltre le password”.
Ecco perché “e come ‘le password forti’ continuano a fallire (e cosa fare davvero per proteggersi)”, secondo Tomer Bar, Associate VP of Security Research di Semperis.
Indice degli argomenti
World Password Day 2026: cosa cambia nell’era dell’Agentic AI
Proteggere la propria identità digitale è un imperativo categorico. Oggi “stiamo assistendo a un loro incremento senza precedenti, dove gli agenti AI non sono più attori di supporto, ma protagonisti autonomi nei processi aziendali, ognuno dei quali richiede autenticazione, autorizzazione e supervisione su una scala che i sistemi tradizionali non sono mai stati progettati per gestire”, spiega Mark Molyneux, Field CTO North Europe di Commvault.
Ignorare le best practice di sicurezza vuol dire correre il rischio di spalancare le porte ai cyber criminali, esponendosi a pericoli incalcolabili.
“Il World Password Day è dedicato alla protezione delle identità digitali”, avverte Mark Molyneux: “I sistemi basati su agenti non si limitano ad ampliare la superficie di attacco, e fondamentalmente la rimodellano.
Vulnerabilità come prompt injection, model poisoning e manipolazione dei dati non prendono di mira solo il codice, ma la logica decisionale stessa, creando una nuova classe di rischi che i framework di sicurezza tradizionali non sono equipaggiati per mitigare”.
In questa prospettiva, secondo Mark Molyneux, “gli agenti AI devono essere gestiti come identità digitali critiche, richiedendo monitoraggio continuo, controllo degli accessi rigoroso e una forte governance fin da subito, anziché essere trattati come semplici automazioni plug-and-play all’interno dei sistemi esistenti. Senza un’adeguata governance del ciclo di vita, monitoraggio e chiari confini di accesso, gli agenti AI possono rapidamente evolversi da strumenti di produttività a rischi di sicurezza scalabili che amplificano le vulnerabilità in tutta l’azienda. Considerarli come identità digitali pienamente governate, con privilegi definiti, supervisione e controlli del ciclo di vita, è essenziale per trasformare l’autonomia in una risorsa di sicurezza e non una passività in rapida espansione“.
World Password Day: è l’ora di andare oltre
Creato da Intel tredici anni fa, questo evento va reinterpretato. “Dopo tredici anni dedicati a promuovere la consapevolezza sull’importanza delle password robuste nella sicurezza digitale, i risultati pratici del World Password Day sulla cultura degli utenti sembrano essere – purtroppo – molto modesti”, osserva Giorgio Sbaraglia che “lo constato ogni giorno nel mio lavoro di consulente e formatore sulla cyber security: le persone continuano a fare un uso sbagliato o quantomeno approssimativo – e quindi non sicuro – delle password”.
Infatti, 12345 svetta da anni ai primi posti delle password più (ab)usate.
“Noi tecnici del settore, dobbiamo dunque porci alcune domande: le password sono importanti? E sono veramente necessarie?“, si chiede retoricamente Sbaraglia. Ovviamente sì.
“La prima domanda ha una risposta ovvia: sono importanti, perché è noto che l’81% delle violazioni degli account sono realizzate con password rubate e/o password deboli (dati del Verizon Data Breach Investigation Report)”, sottolinea Sbaraglia.
La seconda domanda è più interessante. Infatti, “ci permette di ampliare l’orizzonte oltre le password”, mette in evidenza Giorgio Sbaraglia, che ripercorre l’uso moderno della password in informatica che risale all’inizio degli anni ’60.
Breve storia delle password
“Intorno al 1961–1964, con il sistema di time‑sharing CTSS sviluppato al MIT da Fernando Corbató – spiega Sbaraglia – si introdussero i primi account utente protetti da password per permettere a più persone di condividere lo stesso mainframe mantenendo privati i propri file. Questa in genere si considera la vera ‘nascita’ della password come meccanismo di autenticazione nei sistemi informatici“.
“Fernando José “Corby” Corbató è stato un informatico statunitense, pioniere dei sistemi time‑sharing ed è considerato l’inventore dell’uso moderno delle password nei computer – prosegue Sbaraglia -. La sua idea era certamente corretta, i sistemi informatici necessitano di un processo di autenticazione sicura a protezione della riservatezza (“confidentiality”) dei dati, ma oggi – 60 anni dopo – forse dobbiamo renderci conto che probabilmente le password non sono il metodo migliore per proteggere i dati e gli account”.
Pigrizia, disattenzione e scarsa consapevolezza: i nemici delle password
Non perché sia intrinsecamente scorrettto il concetto di password. “Molto più semplicemente perché le persone non le sanno usare, per pigrizia, disattenzione o scarsa consapevolezza“, mette in guardia Sbaraglia.
Nei World Password Day, anno dopo anno, “continuiamo a raccontare che le password devono essere: lunghe, complesse, sempre diverse per ogni account“, ricorda Sbaraglia: “Ma l’essere umano non è stato ‘progettato’ per ricordarsi centinaia di password diverse! E quindi finirà per usare sempre le stesse e queste saranno anche semplici per riuscire a ricordarle”.
In realtà esiste un’ottima soluzione per gestire tutte le password in modo pratico e sicuro. Infatti, “sono le applicazioni Password Manager, ma è noto che meno del 10% degli utenti le adottano”.
Perché le password falliscono: come proteggersi
Le password accompagnano l’informatica fin dai primi sistemi multi-utente. E, a distanza di decenni, sono ancora uno degli strumenti principali per dimostrare la nostra identità digitale. “Il problema è che continuano anche a essere uno dei punti più deboli della sicurezza“, avverte Tomer Bar di Semperis.
La loro cattiva reputazione, però, è in gran parte immeritata. “Non è la password in sé ad essere inefficace, ma il modo in cui la utilizziamo. La maggior parte dei rischi nasce infatti dai limiti umani e da comportamenti prevedibili, più che dalla possibilità teorica di ‘indovinare’ tutte le combinazioni possibili”, conferma Tomer Bar.
In occasione della Giornata Mondiale delle Password, occorre sfatare alcune leggende e capire perché anche le password considerate “forti” possono rivelarsi vulnerabili, oltre a vedere quali strategie adottano oggi gli attaccanti e come difendersi in modo più efficace.
“Uno dei luoghi comuni più diffusi è che una password sia sicura semplicemente perché complessa. In effetti, una password di 10 caratteri composta da lettere maiuscole e minuscole, numeri e simboli genera uno spazio di combinazioni enorme, nell’ordine di 5,4×10¹⁹ possibilità. Anche con una capacità di calcolo di un miliardo di tentativi al secondo, servirebbero circa 1.700 anni per esaurirle tutte con un attacco brute force“, sottolinea Bar.
“Sulla carta, questo dato è rassicurante. Nella pratica, però, è fuorviante. Il motivo è semplice: quasi nessuno sceglie password realmente casuali”, assicura Bar.
Il fattore umano
“Per renderle memorizzabili, gli utenti tendono a seguireschemi ricorrenti: una lettera maiuscola iniziale, una sequenza di minuscole, qualche numero (spesso un anno) e un simbolo finale. È un modello talmente comune che gli attaccanti non hanno bisogno di esplorare l’intero spazio teorico: basta concentrarsi sulle abitudini umane”, avverte Bar.
“Riducendo la ricerca a questi pattern ‘realistici’, lo spazio delle combinazioni si contrae drasticamente, fino a circa 10¹⁴ possibilità. A quel punto, con hardware moderno come GPU di fascia alta in grado di effettuare decine o centinaia di miliardi di tentativi al secondo, il tempo necessario per violare una password scende da secoli a pochi minuti“, calcola Tomer Bar.
In teoria, “una password casuale di 15 caratteri sarebbe ancora oggi praticamente inviolabile. Ma anche qui entra in gioco il fattore umano. Quando si tratta di creare password lunghe, gli utenti preferiscono soluzioni facili da ricordare: frasi comuni, citazioni, testi di canzoni, oppure varianti di password già utilizzate in passato“, stigmatizza Bar.
Rainbow table e le scelte su cui si focalizzano gli attaccanti
È proprio su queste scelte che si concentrano gli attaccanti. Secondo Bar, “oggi utilizzano enormi database di credenziali trafugate, combinati con tecniche automatizzate che applicano modifiche prevedibili, come l’aggiunta dell’anno corrente o la sostituzione di lettere con simboli, per aumentare drasticamente l’efficacia dei tentativi”.
A questo si aggiungono le cosiddette rainbow table, ovvero tabelle precomputate di hash di password. Poiché i sistemi memorizzano normalmente solo gli hash e non le password in chiaro, queste tabelle consentono di risalire rapidamente alla password originale, se presente nel database. E sono spesso disponibili anche pubblicamente.
In questi casi, nemmeno una password lunga offre reali garanzie: può essere compromessa in pochi secondi”, avverte Bar.
Password utili, ma non più sufficienti
“La prima misura fondamentale è l’adozione dell’autenticazione a più fattori (MFA), che riduce drasticamente il valore di una password compromessa. Anche nel caso in cui venga rubata o indovinata, l’accesso rimane protetto da un ulteriore livello di verifica”, evidenzia Bar.
Allo stesso tempo, è necessario cambiare approccio nella gestione delle password. “La soluzione più efficace è smettere di affidarsi alla memoria umana: utilizzare un password manager permette di generare password lunghe, uniche e realmente casuali, idealmentesuperiori ai 20 caratteri, senza doverle ricordare”, sottolinea Bar: “Per le poche credenziali che devono essere memorizzate, è preferibile utilizzare passphrase lunghe composte da parole casuali, evitando frasi di senso compiuto, citazioni o schemi facilmente riconoscibili”.
“L’obiettivo, in definitiva, non è raggiungere una sicurezza assoluta, ma rendere il costo e la complessità di un attacco così elevati da spingere gli attaccanti a cercare bersagli più facili. In un contesto in cui le minacce sono sempre più automatizzate e sofisticate, è spesso questo il vero discrimine tra un account compromesso e uno sicuro”, conclude Tomer Bar.
Oltre le password con le passkeys: cambio di paradigma nel World Password Day
Se negli anni ’60 le password rappresentavano l’unica soluzione possibile, oggi con l’evoluzione degli smartphone, della biometria e della crittografia asimmetrica possiamo pensare ad un radicale cambio di paradigma. Occorre “migrare verso un mondo senza più le password, un mondo appunto passwordless”, avverte Giorgio Sbaraglia.
Questa soluzione esiste già e si chiama Passkey.
“Il progetto Passkeys è stato presentato il 5 maggio 2022 proprio nel World Password Day di quattro anni fa”, ricorda Sbaraglia: “Lo annunciarono Apple, Microsoft e Google, assieme alla FIDO Alliance nel cui ambito questo progetto è stato sviluppato”.
“Passkeys utilizza un autenticatore FIDO (che in genere è il nostro smartphone, ma potrebbe essere anche un computer). La funzione di autenticazione che permette di eliminare completamente l’uso delle password è la biometria, combinata con l’uso della crittografia asimmetrica (implementata sull’autenticatore FIDO) che genera una coppia di chiavi (pubblica e privata)“, illustra Giorgio Sbaraglia.
Come funziona Passkeys e come aumentarne l’adozione
“Con questa tecnica, l’autenticatore FIDO (che verrà sbloccato ed attivato con la biometria) scambia una chiave pubblica con il sito nel quale si vuole fare l’autenticazione – continua Sbaraglia -. Il sistema Passkeys elimina quindi completamente la necessità di creare (e dover ricordare!) una password”.
Quindi è pratico ed anche sicuro perché realizza un’autenticazione forte, equiparabile ad una MFA (Multi-Factor Authentication).
“Intervengono infatti due fattori:
- una cosa che hai (lo smartphone oppure il computer);
- e una cosa che sei (lo sblocco con la biometria).
Quindi la strada è già stata tracciata, ma il traguardo è ancora lontano, perché Passkeys – a distanza di quattro anni dal suo lancio – registra ancora un tasso di adozione molto basso”, mette in guardia Sbaraglia.
Non è sufficiente “la spinta di Google, Microsoft ed Apple, che peraltro gestiscono alcuni degli account più importanti utilizzati dagli utenti e che l’hanno già adottato da anni. Affinché le persone abbandonino completamente le password servirà che tutti i servizi web adottino Passkeys“, secondo Sbaraglia.
E, ovviamente, servirà che gli utenti conoscano Passkeys: “purtroppo – e lo constato ogni giorno nella mia attività di formazione quando cerco di divulgarlo – sono ancora molto pochi gli utenti che ne conoscono l’esistenza e che quindi non lo adottano”, conclude amaramente Giorgio Sbaraglia.
Ancora una volta formazione e consapevolezza sono le migliori armi di difesa anche in occasione del World Password Day 2026.
