La password aziendale ha cambiato natura: non è più solo una chiave d’accesso personale, ma un asset digitale scambiato su scala industriale. Se un tempo l’immagine dell’attacco informatico era legata a un hacker che tentava di forzare un singolo account, oggi siamo davanti a un mercato strutturato dove le credenziali vengono catalogate e vendute come prodotti su uno scaffale digitale.

Il dato che emerge dal recente Specops Breached Password Report 2026 è imponente: oltre sei miliardi di password intercettate e analizzate in dodici mesi. Non si tratta solo di grandi violazioni di database, ma di un flusso continuo di dati sottratti direttamente dai dispositivi degli utenti tramite malware silenziosi. In questo scenario, il concetto tradizionale di “perimetro di sicurezza” perde significato.

Per navigare in questo scenario, serve consapevolezza. Comprendere come ragionano gli attaccanti è il primo passo: il Corso Security Awareness per utenti aziendali permette di trasformare i dipendenti da potenziali punti di ingresso a prima linea di difesa. Allo stesso tempo, per i professionisti IT, approfondire le tecniche di intrusione tramite il Corso Ethical Hacking è fondamentale per implementare barriere tecnologiche che vadano oltre la semplice configurazione di una password complessa.

Il paradosso degli 8 caratteri: quando la compliance non basta

Uno degli aspetti più rilevanti del report riguarda il fallimento delle policy basate sulla lunghezza minima. Per anni, lo standard degli otto caratteri con simboli e numeri è stato considerato sufficiente. I dati del 2026 dimostrano il contrario: le password da otto caratteri sono le più colpite in assoluto (1,07 miliardi). Seguono quelle da dieci (926 milioni) e nove caratteri (882 milioni). In totale, oltre 4,4 miliardi di credenziali rubate rientrano tra gli 8 e i 12 caratteri — esattamente il range richiesto dalla maggior parte delle policy aziendali.

Il problema non è la lunghezza, ma la prevedibilità. Quando chiediamo una password “complessa ma memorizzabile”, il risultato è quasi sempre una struttura ripetitiva con variazioni minime. Password come Admin@123 o Welcome@123 rispettano formalmente le regole, ma sono tra le prime a essere testate automaticamente o a comparire nei database di credenziali compromesse.

La vera vulnerabilità non nasce al momento della creazione, ma nel tempo: una password conforme, una volta esposta, perde immediatamente ogni valore difensivo.

La Hall of Shame: le password più rubate

Nonostante anni di campagne di formazione, le abitudini restano sorprendentemente stabili. Le password più compromesse nel 2025-2026 sono ancora:

• 123456
• 123456789
• 12345678
• admin
• password

Il dato più delicato riguarda però le password di onboarding o di servizio. Template come Welcome@123 o Nome@123 vengono creati per accessi temporanei o condivisi e poi dimenticati. Restano attivi per mesi o anni e finiscono nei dump di credenziali pronti per essere testati automaticamente su VPN, Active Directory e servizi cloud.

Non è un problema tecnico: è un problema operativo.

L’esercito invisibile degli Infostealer

Oggi la maggior parte delle password non viene forzata con tecniche di cracking. Viene sottratta direttamente dal dispositivo dell’utente.

Gli infostealer sono malware leggeri progettati per estrarre credenziali senza attirare attenzione. L’utente apre un allegato, installa un software apparentemente legittimo o clicca su un falso aggiornamento. In pochi secondi:

• vengono copiate le password salvate nei browser
• vengono esfiltrati cookie e token di sessione
• vengono raccolte credenziali da client email, VPN e strumenti di collaborazione

Nel 2025-2026 il malware più prolifico è stato LummaC2, responsabile di circa 61 milioni di credenziali sottratte, seguito da RedLine con oltre 31 milioni.

Il punto critico è questo: non serve un attacco sofisticato contro l’infrastruttura aziendale. Basta compromettere un singolo endpoint.

L’economia ULP: le credenziali non scadono

Il report introduce il concetto di economia ULP (Username-Login-Password). Le credenziali rubate non vengono utilizzate una sola volta: vengono aggregate in dataset strutturati e rivendute più volte.

Nel 2025 sono stati identificati quasi 6 miliardi di record ULP pronti all’uso, che combinano log di malware, breach storici e raccolte precedenti. Una password sottratta oggi può essere sfruttata anche dopo mesi, se non viene cambiata.

Quando un attaccante acquista un pacchetto ULP completo di URL di accesso, può lanciare tentativi mirati su RDP, VPN e portali aziendali con un’efficacia elevata. Non è più un tentativo casuale: è un accesso con chiavi già pronte.

Come ridurre davvero il rischio: 5 azioni concrete

Se gestisci un’infrastruttura IT, il messaggio è chiaro: le policy statiche non sono più sufficienti. Bisogna assumere che una password possa essere esposta e costruire controlli compensativi.

1. Blocca le password già compromesse
   Non basta vietare “123456”. Serve un confronto continuo con database di credenziali note.
2. Impedisci strutture prevedibili
   Blocca pattern ricorrenti come NomeAzienda2026! o Welcome@123.
3. Rafforza gli accessi remoti con MFA resistente al phishing
   VPN e RDP devono essere protetti con meccanismi che non consentano il riutilizzo di token sottratti.
4. Proteggi i processi di reset password
   Il recupero credenziali è spesso il punto di rientro dopo una compromissione.
5. Implementa il Device Trust
   Non verificare solo l’identità dell’utente: controlla anche lo stato e l’affidabilità del dispositivo.

Conclusione: la domanda giusta nel 2026

Non è più: “Questa è una buona password?”
È: “Questa password è già stata esposta?”

Il report Specops mostra una realtà chiara: le password non sono obsolete, ma il modello di gestione tradizionale non è più adeguato. Se la sicurezza si limita al momento della creazione, l’organizzazione resta esposta per tutto il ciclo di vita della credenziale.

Serve monitoraggio continuo, controlli dinamici e una strategia che consideri l’esposizione come un evento probabile, non eccezionale.

Vuoi mettere in sicurezza la tua azienda? Non aspettare di scoprire che le tue credenziali sono già in circolazione. Se vuoi approfondire come implementare il blocco automatico delle password compromesse in Active Directory, possiamo analizzare insieme il tuo scenario. Contattaci.