Pensi che una lettera maiuscola, un numero e un punto esclamativo bastino a rendere la tua password sicura? Probabilmente no. In occasione del World Password Day del 7 maggio 2026, Kaspersky ha pubblicato uno studio basato su 231 milioni di password trapelate in data breach degli ultimi tre anni, e il dato più inquietante è anche il più semplice: il 68% di quelle password può essere violato in meno di un giorno. Non da un hacker particolarmente abile, ma da un algoritmo automatizzato che esegue attacchi a dizionario nel giro di pochi minuti o poche ore. Il problema non è la lunghezza della password, o non solo: è che quasi tutti usano gli stessi schemi, e gli hacker lo sanno.
Perché le nostre password sono tutte uguali
I dati di Kaspersky fotografano un quadro preoccupante, ma soprattutto prevedibile. Il 53% delle password analizzate termina con una sequenza di cifre. Il 17% inizia con dei numeri. Il 12% contiene una data riconoscibile: un anno di nascita, un compleanno, l’anno corrente. Il 3% usa ancora sequenze di tasti banali come QWERTY o 1234. In altre parole: c’è un numero limitato di modi in cui le persone costruiscono le proprie password, e gli algoritmi progettati per violarle partono esattamente da quei pattern. Aggiungere un numero alla fine di una parola non è una scelta originale — è la scelta più comune in assoluto, e quindi la prima che viene provata.
La lunghezza è un fattore importante ma non sufficiente da sola. Kaspersky rileva che il 60% delle password analizzate può essere violato in circa un’ora, e che le password fino a 8 caratteri cadono quasi invariabilmente entro 24 ore. Ma anche una password di 15 caratteri costruita su uno schema prevedibile — una parola comune seguita da una data — può essere decifrata in pochi minuti grazie ai modelli di intelligenza artificiale attualmente in circolazione.
Il test in 5 domande: la tua password è davvero sicura?
Partendo dagli schemi identificati da Kaspersky, è possibile fare una valutazione rapida della propria password rispondendo a cinque domande semplici. La prima: la tua password finisce con un numero? La seconda: la tua password inizia con un numero? La terza: la password contiene una data specifica, come il tuo anno di nascita, un compleanno o l’anno corrente? La quarta: la password è più corta di 16 caratteri? La quinta: stai usando ancora la password che hai trovato sull’adesivo del modem che ti ha installato l’operatore?
Se hai risposto sì a due o più di queste domande, la tua password rientra nei pattern più sfruttati dagli attacchi automatizzati. Non significa che verrà violata entro stanotte, ma significa che la tua linea di difesa è molto più debole di quanto pensi.
Router Wi-Fi di casa con l’etichetta della password preimpostata visibile, uno dei dispositivi più esposti
La password del Wi-Fi: la più trascurata di casa
Un caso particolare merita attenzione: la password del Wi-Fi di casa. È quella che si digita meno spesso, spesso una sola volta per ogni dispositivo, e per questo viene quasi sempre dimenticata, non aggiornata e lasciata così come era al momento dell’installazione del router. Moltissimi utenti usano ancora la password preimpostata dall’operatore, quella scritta sull’etichetta incollata sotto il modem. Quella password è per definizione non personale, spesso non lunga e generata con schemi standardizzati che variano poco tra un dispositivo e l’altro dello stesso modello.
Lasciare quella password invariata significa che chiunque si avvicini abbastanza al router — un vicino, qualcuno ospite in casa, chiunque abbia visto anche solo per un momento la targhetta sul dispositivo — potrebbe avere accesso alla tua rete. Cambiare la password del Wi-Fi richiede circa trenta secondi: si accede al pannello di amministrazione del router tramite il browser (di solito digitando 192.168.1.1 o 192.168.0.1 nella barra degli indirizzi), si va nella sezione Wi-Fi e si impostano nuovi SSID e password. È anche consigliabile verificare che il router usi il protocollo WPA2 o WPA3 e disattivare la funzione WPS, che semplifica la connessione ma introduce vulnerabilità note.
Come costruire una password che regge davvero
Le indicazioni di Kaspersky per costruire password resistenti sono precise. Prima di tutto, la lunghezza deve essere di almeno 16 caratteri: non 8, non 12, almeno 16. Secondo punto: usare più parole non correlate tra loro, magari con qualche errore ortografico deliberato, è molto più efficace di una parola sola con simboli appiccicati. Terzo: usare simboli diversi dai soliti @ e !, e inserire i numeri al centro della password, non all’inizio né alla fine. Quarto: non riutilizzare la stessa password su più servizi, e dove possibile attivare l’autenticazione a due fattori, che aggiunge un secondo livello di verifica indipendente dalla password stessa.
Per chi gestisce decine di account diversi, la soluzione più razionale è un password manager: uno strumento che genera automaticamente password complesse, le memorizza in modo sicuro e le inserisce al momento del login. Significa ricordare una sola password principale al posto di quaranta, con tutte le altre gestite da software progettato appositamente per questo scopo.
