Lo studio è stato pubblicato in occasione del World Password Day 2026 da Kaspersky e si basa su 231 milioni di password uniche estratte dalle principali fughe di dati avvenute tra il 2023 e il 2026.
Il dato più ricorrente: il 53% delle password esaminate termina con una cifra, il 17% inizia con un numero e quasi il 12% contiene una sequenza che ricorda una data compresa tra il 1950 e il 2030. Sommando chi mette numeri all’inizio e chi alla fine, la stragrande maggioranza delle credenziali violate condivide lo stesso schema strutturale.
Il problema non è la presenza di cifre in sé, ma la loro posizione. Gli algoritmi di attacco brute force già tengono conto di questa abitudine: quando sanno che una cifra si trova quasi certamente all’inizio o alla fine, lo spazio di ricerca si restringe drasticamente, riducendo il tempo necessario per individuare la combinazione corretta. Un numero aggiunto in fondo a una parola non aggiunge entropia reale: aggiunge prevedibilità.
Cosa hanno in comune le password violate
Il 68% delle password moderne può essere violato nell’arco di una giornata. Le password da meno di otto caratteri vengono compromesse quasi istantaneamente. Ma il dato più sorprendente riguarda le password lunghe: grazie ad algoritmi basati sull’intelligenza artificiale, oltre il 20% delle password da 15 caratteri può essere violato in meno di un minuto, se seguono schemi comuni. La lunghezza, da sola, non è più un parametro sufficiente.
Cosa hanno in comune le password violate-melablog.it
I calcoli dello studio si basano sull’utilizzo di una singola GPU Nvidia RTX 5090 con algoritmo MD5. In scenari reali, gli hacker possono utilizzare più GPU contemporaneamente, aumentando la velocità di decifrazione di diversi ordini di grandezza. La barriera tecnologica per attaccare credenziali deboli è più bassa di quanto si immagini.
Lo studio rivela anche come la cultura pop influenzi le scelte. Tra il 2023 e il 2026, l’uso della parola “Skibidi” nelle password è aumentato di 36 volte, seguendo la diffusione del meme virale omonimo. Le parole più frequenti nelle credenziali compromesse sono termini emotivi positivi come “amore”, “magia”, “amico”, “angelo” e “stella”. Le parole negative esistono — “inferno”, “diavolo”, “incubo” — ma in proporzione molto minore.
Sul fronte dei simboli speciali, la situazione non è più rassicurante. Tra le password che contengono un solo carattere speciale, il simbolo “@” è il più utilizzato, presente nel 10% dei casi. Seguono il punto, nel 3%, e il punto esclamativo. Anche qui, la concentrazione su pochi simboli standard rende questi elementi quasi inutili dal punto di vista della sicurezza: gli algoritmi di attacco li testano per primi.
Un dettaglio rilevante che lo studio aggiunge al quadro: il 54% delle password identificate nelle fughe di dati recenti era già comparso in violazioni precedenti. La vita media di una password trovata nei database compromessi è stimata tra i tre e i cinque anni. Le credenziali non vengono cambiate, e questo trasforma un singolo episodio di furto in una vulnerabilità prolungata.
La raccomandazione tecnica è costruire passphrase composte da parole non correlate, con numeri e simboli distribuiti in posizioni casuali all’interno della stringa, non solo agli estremi. Un password manager genera combinazioni casuali che eliminano alla radice il problema degli schemi prevedibili: nessuna parola del dizionario, nessuna data, nessuna logica derivabile dal comportamento umano. L’autenticazione a due fattori rimane il livello di protezione aggiuntivo più efficace, indipendentemente dalla qualità della password scelta.
Il servizio Have I Been Pwned contiene oltre 900 milioni di password compromesse e permette di verificare gratuitamente se le proprie credenziali siano già circolate in qualche archivio della darknet — un controllo che la maggior parte degli utenti non ha mai eseguito.
