Riutilizzare la stessa password su più account può risultare comodo, ma espone a rischi che possono propagarsi rapidamente in tutta la propria vita digitale. Questa cattiva abitudine crea infatti le condizioni ideali per il credential stuffing, una tecnica in cui i criminali informatici utilizzano elenchi di credenziali di accesso già compromesse e inseriscono sistematicamente le coppie username-password nei campi di login di servizi online selezionati. Quando le stesse credenziali vengono riciclate su più piattaforme, una sola combinazione può consentire l’accesso a servizi tra loro del tutto scollegati.
Il credential stuffing può essere paragonato all’equivalente digitale di una chiave universale capace di aprire casa, ufficio e cassaforte in un solo colpo. E reperire quella chiave non è affatto difficile: può provenire da violazioni di dati avvenute in passato, dai mercati del cybercrime oppure da malware infostealer, progettati per sottrarre credenziali direttamente dai dispositivi compromessi e dai browser web.
Perché il credential stuffing è così pericoloso ed efficace
Il motivo principale della sua efficacia è, come ormai evidente, la diffusa abitudine a riutilizzare le password, anche per account di particolare valore come quelli di online banking, email, social media o siti di e-commerce. A dimostrazione di quanto il fenomeno sia comune, una recente indagine condivisa da NordPass ha rilevato che il 62% degli utenti statunitensi ammette di riutilizzare spesso o sempre la stessa password.
Una volta ottenute delle credenziali valide, gli attaccanti possono provarle ovunque, sfruttando bot o strumenti automatizzati che “riempiono” moduli di login o API, talvolta ruotando gli indirizzi IP e simulando il comportamento di utenti legittimi per evitare di destare sospetti. Rispetto agli attacchi di tipo brute force, che tentano di indovinare le password attraverso combinazioni casuali o comuni e che possono essere individuati grazie ai numerosi tentativi falliti, il credential stuffing è più semplice ed efficace: utilizza credenziali già valide e spesso riesce a rimanere sotto traccia.
Sebbene non sia una tecnica nuova, alcuni trend recenti ne hanno amplificato l’impatto. Il volume dei malware infostealer è cresciuto in modo significativo, consentendo la raccolta silenziosa di credenziali direttamente dai browser web e rappresentando in alcuni casi una minaccia anche per i password manager. Parallelamente, gli attaccanti fanno sempre più ricorso a script, anche assistiti dall’AI, in grado di imitare il comportamento umano e aggirare le difese di base contro i bot, testando grandi quantità di credenziali in modo sempre più discreto e su larga scala.
Come proteggersi a livello individuale
Alcune misure pratiche possono ridurre in modo significativo il rischio. La più semplice, ma anche la più importante, consiste nel non riutilizzare mai la stessa password su più siti o servizi. L’uso di un password manager consente di generare e conservare password robuste e uniche per ogni account senza difficoltà. È inoltre fondamentale attivare l’autenticazione a due fattori ogni volta che è disponibile: anche se la password viene compromessa, l’accesso resta bloccato senza il secondo fattore. Un ulteriore accorgimento consiste nel verificare periodicamente, tramite servizi come haveibeenpwned.com, se il proprio indirizzo email o le proprie credenziali siano comparsi in violazioni passate; in caso positivo, è necessario intervenire immediatamente cambiando le password, soprattutto per gli account che gestiscono dati sensibili.
Come proteggere le organizzazioni Oggi il credential stuffing rappresenta uno dei principali vettori di account takeover, frodi e furti di dati su larga scala in numerosi settori, dal retail alla finanza, dal SaaS alla sanità. Molte organizzazioni continuano a fare affidamento esclusivamente sulle password e, anche quando l’autenticazione a due fattori è disponibile, non sempre viene imposta di default. È quindi opportuno limitare i tentativi di accesso, adottare allow-list di rete o whitelist di indirizzi IP, monitorare i comportamenti di login anomali e implementare sistemi di rilevamento dei bot o CAPTCHA per contrastare gli abusi automatizzati. Un numero crescente di aziende sta inoltre introducendo forme di autenticazione passwordless, come le passkey, che rendono di fatto inefficace il credential stuffing. Tuttavia, l’adozione non è ancora uniforme e le abitudini consolidate sono difficili da cambiare, motivo per cui questa tecnica continua a garantire agli attaccanti un ritorno elevato con uno sforzo minimo. Milioni di credenziali sottratte restano infatti valide per anni, soprattutto quando gli utenti non provvedono a modificare le proprie password dopo una violazione.
Il credential stuffing è una tecnica di attacco sorprendentemente semplice, a basso costo e altamente scalabile. Funziona perché sfrutta le abitudini degli utenti e aggira meccanismi di protezione ormai superati. In assenza di un passaggio completo a modelli passwordless, il rischio di compromissione degli account può essere drasticamente ridotto solo attraverso pratiche corrette di gestione delle password. Non si tratta di misure opzionali, ma di comportamenti che dovrebbero diventare la norma.
A cura di Sabrina Curti, Marketing Director di ESET Italia
