Secondo il Data Breach Investigations Report di Verizon 2024, l'80% delle violazioni che coinvolgono l'hacking utilizzano credenziali rubate o deboli. La password è ancora la prima linea di difesa della tua azienda — e nella maggior parte dei casi, è una linea fragilissima.

Le password più comuni in Italia

Ogni anno NordPass pubblica la classifica delle password più usate. In Italia, nel 2024:

  1. 123456
  2. password
  3. 12345678
  4. ciao
  5. juventus

Se qualcuno nella tua azienda usa una di queste, hai un problema serio. Un attaccante le prova tutte in meno di un secondo.

Come creare una password sicura

Una password sicura deve essere:

  • Lunga — minimo 16 caratteri. La lunghezza batte la complessità
  • Unica — una password diversa per ogni servizio. Se riusi la stessa e uno viene bucato, li bucano tutti
  • Non prevedibile — niente nomi, date di nascita, squadre del cuore, nomi di figli o animali

Il metodo più efficace: usa una passphrase. Invece di “P@ssw0rd123”, usa “cavallo-batteria-graffetta-luna”. È più lunga, più facile da ricordare, e molto più difficile da violare.

Password manager: la soluzione reale

Nessun essere umano può ricordare 50 password uniche di 16+ caratteri. La soluzione è un password manager: un'applicazione che genera, salva e compila automaticamente password complesse.

I principali per le aziende:

  • Bitwarden — open source, piano aziendale conveniente
  • 1Password Business — ottimo per team, integrazione SSO
  • KeePass — gratuito, self-hosted (nessun dato nel cloud)

Il dipendente deve ricordare una sola password (quella del password manager). Tutto il resto è generato automaticamente.

Autenticazione a due fattori (2FA)

Anche la password più forte del mondo può essere rubata (phishing, data breach, keylogger). Il 2FA aggiunge un secondo livello: dopo la password, devi confermare con qualcosa che hai fisicamente (il telefono).

Tipi di 2FA, dal più al meno sicuro:

  1. Chiave hardware (YubiKey) — il più sicuro, impossibile da phishare
  2. App authenticator (Google Authenticator, Authy) — ottimo compromesso
  3. SMS — meglio di niente, ma vulnerabile a SIM swap

Policy aziendale sulle password

Ogni azienda dovrebbe avere una policy scritta che include:

  • Lunghezza minima: 16 caratteri
  • Password manager obbligatorio
  • 2FA obbligatorio su email, VPN, servizi cloud, pannelli admin
  • Divieto di riutilizzo password tra servizi
  • Cambio immediato se si sospetta una compromissione
  • Divieto di condivisione password (neanche al collega, neanche all'IT)

Hai bisogno di verificare se le credenziali della tua azienda sono già esposte? Contattaci per un controllo delle credenziali compromesse.