Riutilizzare la stessa password su pi\u00f9 account pu\u00f2 risultare comodo, ma espone a rischi che possono propagarsi rapidamente in tutta la propria vita digitale. Questa cattiva abitudine crea infatti le condizioni ideali per il credential stuffing, una tecnica in cui i criminali informatici utilizzano elenchi di credenziali di accesso gi\u00e0 compromesse e inseriscono sistematicamente le coppie username-password nei campi di login di servizi online selezionati. Quando le stesse credenziali vengono riciclate su pi\u00f9 piattaforme, una sola combinazione pu\u00f2 consentire l\u2019accesso a servizi tra loro del tutto scollegati.<\/p>\n
Il credential stuffing pu\u00f2 essere paragonato all\u2019equivalente digitale di una chiave universale capace di aprire casa, ufficio e cassaforte in un solo colpo. E reperire quella chiave non \u00e8 affatto difficile: pu\u00f2 provenire da violazioni di dati avvenute in passato, dai mercati del cybercrime oppure da malware infostealer, progettati per sottrarre credenziali direttamente dai dispositivi compromessi e dai browser web.<\/p>\n
Perch\u00e9 il credential stuffing \u00e8 cos\u00ec pericoloso ed efficace<\/strong><\/p>\n Il motivo principale della sua efficacia \u00e8, come ormai evidente, la diffusa abitudine a riutilizzare le password, anche per account di particolare valore come quelli di online banking, email, social media o siti di e-commerce. A dimostrazione di quanto il fenomeno sia comune, una recente indagine condivisa da NordPass ha rilevato che il 62% degli utenti statunitensi ammette di riutilizzare spesso o sempre la stessa password.<\/p>\n Una volta ottenute delle credenziali valide, gli attaccanti possono provarle ovunque, sfruttando bot o strumenti automatizzati che \u201criempiono\u201d moduli di login o API, talvolta ruotando gli indirizzi IP e simulando il comportamento di utenti legittimi per evitare di destare sospetti. Rispetto agli attacchi di tipo brute force, che tentano di indovinare le password attraverso combinazioni casuali o comuni e che possono essere individuati grazie ai numerosi tentativi falliti, il credential stuffing \u00e8 pi\u00f9 semplice ed efficace: utilizza credenziali gi\u00e0 valide e spesso riesce a rimanere sotto traccia.<\/p>\n Sebbene non sia una tecnica nuova, alcuni trend recenti ne hanno amplificato l\u2019impatto. Il volume dei malware infostealer \u00e8 cresciuto in modo significativo, consentendo la raccolta silenziosa di credenziali direttamente dai browser web e rappresentando in alcuni casi una minaccia anche per i password manager. Parallelamente, gli attaccanti fanno sempre pi\u00f9 ricorso a script, anche assistiti dall\u2019AI, in grado di imitare il comportamento umano e aggirare le difese di base contro i bot, testando grandi quantit\u00e0 di credenziali in modo sempre pi\u00f9 discreto e su larga scala.<\/p>\n Come proteggersi a livello individuale<\/strong><\/p>\n Alcune misure pratiche possono ridurre in modo significativo il rischio. La pi\u00f9 semplice, ma anche la pi\u00f9 importante, consiste nel non riutilizzare mai la stessa password su pi\u00f9 siti o servizi. L\u2019uso di un password manager consente di generare e conservare password robuste e uniche per ogni account senza difficolt\u00e0. \u00c8 inoltre fondamentale attivare l\u2019autenticazione a due fattori ogni volta che \u00e8 disponibile: anche se la password viene compromessa, l\u2019accesso resta bloccato senza il secondo fattore. Un ulteriore accorgimento consiste nel verificare periodicamente, tramite servizi come haveibeenpwned.com, se il proprio indirizzo email o le proprie credenziali siano comparsi in violazioni passate; in caso positivo, \u00e8 necessario intervenire immediatamente cambiando le password, soprattutto per gli account che gestiscono dati sensibili.<\/p>\n Come proteggere le organizzazioni Oggi il credential stuffing rappresenta uno dei principali vettori di account takeover, frodi e furti di dati su larga scala in numerosi settori, dal retail alla finanza, dal SaaS alla sanit\u00e0. Molte organizzazioni continuano a fare affidamento esclusivamente sulle password e, anche quando l\u2019autenticazione a due fattori \u00e8 disponibile, non sempre viene imposta di default. \u00c8 quindi opportuno limitare i tentativi di accesso, adottare allow-list di rete o whitelist di indirizzi IP, monitorare i comportamenti di login anomali e implementare sistemi di rilevamento dei bot o CAPTCHA per contrastare gli abusi automatizzati. Un numero crescente di aziende sta inoltre introducendo forme di autenticazione passwordless, come le passkey, che rendono di fatto inefficace il credential stuffing. Tuttavia, l\u2019adozione non \u00e8 ancora uniforme e le abitudini consolidate sono difficili da cambiare, motivo per cui questa tecnica continua a garantire agli attaccanti un ritorno elevato con uno sforzo minimo. Milioni di credenziali sottratte restano infatti valide per anni, soprattutto quando gli utenti non provvedono a modificare le proprie password dopo una violazione.<\/p>\n Il credential stuffing \u00e8 una tecnica di attacco sorprendentemente semplice, a basso costo e altamente scalabile. Funziona perch\u00e9 sfrutta le abitudini degli utenti e aggira meccanismi di protezione ormai superati. In assenza di un passaggio completo a modelli passwordless, il rischio di compromissione degli account pu\u00f2 essere drasticamente ridotto solo attraverso pratiche corrette di gestione delle password. Non si tratta di misure opzionali, ma di comportamenti che dovrebbero diventare la norma.<\/p>\n A cura di Sabrina Curti<\/a>, Marketing Director di ESET Italia<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Riutilizzare le password pu\u00f2 sembrare una scorciatoia innocua, finch\u00e9 una sola violazione non apre le porte a pi\u00f9 account<\/p>\n","protected":false},"author":1,"featured_media":8168,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[7,1],"tags":[4056,5565],"class_list":{"0":"post-8272","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-speciale-sicurezza","9":"tag-eset","10":"tag-sabrina-curti"},"yoast_head":"\n