Giornata mondiale della password 2026: Gli aggressori si collegano semplicemente
In occasione della Giornata mondiale della password 2026, Rich Greene del Sans Institute trae una conclusione sconfortante: i dati di login rubati sono da tempo il punto di ingresso più comune per i cyberattacchi. Le password da sole non garantiscono più la protezione, e anche l'MFA non è una panacea.
In vista della Giornata mondiale della password 2026, che si terrà il 7 maggio, i team di sicurezza devono affrontare una spiacevole verità: Gli aggressori non entrano più in casa, ma vi accedono. Rich Greene, istruttore del Sans Institute, classifica la situazione attuale delle minacce e mostra dove è necessario intervenire.
I dati di accesso rubati sono il principale punto debole
Il Verizon DBIR 2025 ha analizzato oltre 22.000 incidenti di sicurezza e ha rilevato che le credenziali rubate sono state il primo punto di accesso nel 22% di tutte le violazioni della sicurezza confermate. Per gli attacchi semplici alle applicazioni web, questa percentuale sale addirittura all’88%. Un altro dato allarmante: IBM X-Force ha registrato un aumento dell'84% rispetto all'anno precedente del malware Infostealer, che viene distribuito tramite e-mail di phishing. Non si tratta di sofisticati exploit zero-day, ma di malware che raccolgono silenziosamente le password salvate dal browser.
Il riutilizzo delle password aggrava ulteriormente la situazione. L'analisi di Verizon dei log di Infostealer ha rivelato che nel caso mediano, solo il 49% delle password di un utente era unico tra i diversi servizi. Ciò significa che in più della metà dei casi, una singola password compromessa apre più porte. «Continuiamo a dire alle persone di usare password forti e uniche. Loro annuiscono e fanno esattamente il contrario», afferma Greene.
L'economia degli Infostealer si è industrializzata
Secondo il Kela Report 2025, i ricercatori di sicurezza hanno registrato 3,9 miliardi di credenziali rubate su 4,3 milioni di dispositivi infetti. Questi dati di accesso vengono raccolti in cosiddetti log e venduti ai broker di accesso iniziale, che a loro volta vendono l'accesso alla rete a gruppi di ransomware. L'infrastruttura criminale che sta dietro a tutto questo è organizzata professionalmente e si espande continuamente.
L'AMF aiuta, ma non è una panacea
L'autenticazione a più fattori (MFA) è considerata una misura standard in molti luoghi, ma non è una pallottola magica. Gli aggressori la aggirano attraverso il prompt bombing, il session hijacking e i kit di phishing adversary-in-the-middle che catturano i token in tempo reale. Il DBIR di Verizon ha identificato per la prima volta il prompt bombing come uno dei metodi di attacco più comuni. La conclusione di Greene è chiara: «Avere un MFA abilitato è il minimo che si possa fare. Un MFA resistente al phishing è ciò che fa davvero la differenza».»
I passkeys come alternativa promettente
La Fido Alliance riferisce che il 69% dei consumatori possiede almeno un passkey, rispetto a un livello di consapevolezza di appena il 39% di due anni fa. I passkey raggiungono un tasso di successo nel login del 93%, rispetto al 63% delle password tradizionali. Per quanto riguarda le aziende, secondo una ricerca di HID e Fido Alliance, l'87% delle organizzazioni ha introdotto o sta introducendo i passkey. Google ha oltre 800 milioni di account che utilizzano le passkey, con 2,5 miliardi di accessi tramite passkey.
Tuttavia, esistono barriere reali all'adozione che i team di sicurezza non devono ignorare. Gli ambienti aziendali con infrastrutture obsolete, Active Directory locale, postazioni di lavoro condivise e dispositivi vecchi senza Trusted Platform Module (TPM) o hardware biometrico devono affrontare sfide significative. L'interoperabilità multipiattaforma sta migliorando, ma non è ancora del tutto matura. Anche il recupero degli account e la delega dei dati di login nelle grandi organizzazioni non sono ancora stati completamente risolti. Le organizzazioni dovranno utilizzare l'autenticazione ibrida durante la transizione, che potrebbe durare anni a seconda dell'ambiente.
Conclusione: meno password, più sicurezza
Il tempo della ricerca della password migliore è passato. I team di sicurezza dovrebbero invece impegnarsi per utilizzare un minor numero di password: Ogni password è una superficie di attacco, ogni passkey ne elimina una. Si consigliano anche i gestori di password e l'uso diffuso di MFA resistenti al phishing. «Le password erano un male necessario. Ora sono semplicemente un male. Prima i team di sicurezza le sostituiscono, meglio è», afferma Greene. Le organizzazioni devono essere soddisfatte della loro situazione: non tutte le aziende hanno un nuovo hardware e il percorso verso l'assenza di password deve tenere conto di questa realtà.
Ulteriori informazioni: https://www.sans.org
Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/world-password-day-2026-angreifer-loggen-sich-einfach-ein/
