Il Caffettino di Mario Moroni

Le password più usate in Italia 2025: perché “admin”, calcio e imprecazioni sono un boomerang

Ogni anno la stessa storia: crediamo di essere furbi, ma i criminali informatici lo sono di più. La nuova classifica NordPass conferma che in Italia trionfano ancora “admin”, “password”, sequenze tipo “123456” e perfino imprecazioni. Una combinazione pericolosa, che rende la vita troppo semplice a chi vuole entrare nei nostri account. In questo articolo vediamo cosa emerge dai dati, perché queste scelte sono pessime e come mettere in sicurezza i tuoi profili senza diventare un tecnico.

La classifica NordPass 2025: il quadro italiano

NordPass ha pubblicato la settima edizione dello studio sulle 200 password più comuni nel mondo e in 44 Paesi, Italia compresa. La ricerca, disponibile a questo link, è una fotografia impietosa delle nostre abitudini digitali.

In Italia, “admin” resta in cima. Subito dopo compaiono varianti banali come “password” e le solite sequenze numeriche: “12345”, “123456”, “12345678”. Il calcio continua a fare capolino con nomi di squadre e riferimenti calcistici. E c’è un dato che fa riflettere: tra le prime posizioni spunta anche una bestemmia. Non serve aggiungere altro sul livello di superficialità con cui molti gestiscono la sicurezza dei propri account.

Le “furbate” che non funzionano

Uno dei trend rilevati da NordPass è l’aumento dei caratteri speciali nelle password. Bene? Non esattamente. Moltissime persone trasformano “password” in “P@ssword” o “Password!” o usano combinazioni come “Admin@123”. Per gli strumenti di attacco automatici è come cambiare la targa senza cambiare l’auto: si indovinano in pochi secondi, perché queste varianti sono previste nei dizionari usati dal cybercrime.

Non è un problema “da boomer”

Un altro mito da sfatare: non è solo una questione generazionale. Secondo l’analisi, la qualità delle password è scarsa in tutte le fasce d’età. La Gen Z magari evita i nomi propri più banali, ma cade nelle stesse trappole: riutilizzo della stessa password, scelte ovvie, falsi miti sulla “creatività” di un simbolo o un numero alla fine.

Perché queste scelte sono pericolose

Tre motivi, semplici e concreti:

  • Forza bruta: strumenti automatici provano milioni di combinazioni al secondo. Le sequenze comuni crollano in un attimo.
  • Dizionari di password: gli hacker usano liste aggiornate delle password più usate (e delle loro varianti “furbe”). Se sei nella lista, sei un bersaglio facile.
  • Credential stuffing: se un servizio subisce un data breach e riutilizzi la stessa password altrove, l’attaccante entra in catena su tutti i tuoi account.

Risultato: accessi non autorizzati, acquisti a tuo nome, furto di identità, perdita di dati personali o aziendali. E spesso te ne accorgi tardi.

Cosa fare subito: la checklist anti-figuraccia

  • Usa password lunghe (almeno 20 caratteri): più sono lunghe, più il tempo di attacco esplode. Non bastano 8–12 caratteri.
  • Combinazione casuale: lettere maiuscole/minuscole, numeri e caratteri speciali. Niente parole del dizionario, niente dati personali.
  • Una password diversa per ogni account: il riuso è il vero tallone d’Achille.
  • Password manager: genera e memorizza in modo sicuro credenziali uniche e robuste per ogni servizio.
  • Autenticazione a più fattori (MFA): attivala ovunque. Preferisci app di autenticazione o chiavi hardware rispetto agli SMS.
  • Monitoraggio delle violazioni: usa strumenti affidabili di controllo delle violazioni per sapere se le tue credenziali sono finite in un data breach.
  • Aggiorna le vecchie password: inizia dagli account critici (email, banca, e-commerce) e prosegui a scalare.
  • Evita le scorciatoie: “P@ssword2025!” non è sicura solo perché ha un simbolo e un numero.

Come creare passphrase robuste (senza impazzire)

Le passphrase sono frasi lunghe generate in modo casuale. Funzionano perché uniscono lunghezza e imprevedibilità. Schema pratico:

  • Tre o quattro parole casuali non correlate tra loro.
  • Separatori con caratteri speciali.
  • Aggiunta di numeri in posizioni non ovvie.

Importante: non usare mai esempi presi online. Genera le passphrase con un password manager o con un generatore affidabile, e conservale solo nel tuo manager. Per gli account più sensibili, valuta una chiave fisica come secondo fattore.

Password manager: come scegliere

  • Sicurezza e trasparenza: cifratura end-to-end, audit indipendenti, bug bounty.
  • Funzioni: generatore di password, compilazione automatica, condivisione sicura, allerta violazioni.
  • Portabilità: estensioni per browser, app mobile e desktop.
  • Recupero e 2FA: procedure chiare e supporto all’autenticazione multipla.

Un manager affidabile è il modo più semplice per rendere sostenibile nel tempo una buona igiene digitale.

Sport e imprecazioni: perché finiscono nelle password

Calcio e imprecazioni compaiono perché sono memorabili e legate all’emotività. Il problema è che sono anche prevedibili. I sistemi di attacco le mettono in cima ai tentativi, spesso legandole a informazioni pubbliche (post social, nickname, biografie). Se il tuo profilo mostra la tua squadra del cuore o un tormentone linguistico, indovinare la password diventa un esercizio di routine.

Regola d’oro: se qualcosa ti rappresenta, non deve stare nella password. L’identità online è un indizio, non un elemento di sicurezza.

Casa, lavoro, azienda: gli errori da evitare

  • Credenziali di default: “admin/admin” su router, NAS o pannelli interni è un invito aperto. Cambiale subito alla prima attivazione.
  • Account condivisi: elimina gli “account generici” e passa a profili personali con permessi minimi necessari.
  • MFA obbligatoria: definisci una policy aziendale e verifica l’attivazione, non basta consigliarla.
  • SSO dove possibile: semplifica l’accesso e centralizza i controlli.
  • Formazione continua: pochi punti chiari, casi reali, test periodici. La cultura batte i manuali polverosi.

La sicurezza non è un progetto “una tantum”: è una pratica. Le password sono solo l’inizio, ma se non sistemi l’inizio, il resto non regge.

Cosa dicono davvero i dati

La lezione della ricerca NordPass è cristallina: non basta “sapere” cosa è giusto, bisogna metterlo in pratica. Oggi gli attaccanti hanno strumenti industriali e automatizzati; se la tua password è breve, comune o riutilizzata, sei statisticamente esposto. La buona notizia è che con pochi interventi mirati (password lunghe e uniche, manager e MFA) puoi ridurre il rischio in modo drastico, senza complicarti la vita.

In sintesi: smettiamola di regalare accessi facili. La sicurezza non è paranoica, è pragmatica.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.