Oggi parlare di password rubate non significa più soltanto evocare i grandi data breach in cui un sito perde milioni di account. Nel 2025 la scena è popolata anche da stealer logs, archivi prodotti da malware capaci di succhiare password, cookie di sessione e perfino configurazioni di browser dai dispositivi infettati. Questi set di dati, venduti o condivisi nei circuiti criminali, sono molto più pericolosi delle vecchie liste statiche perché riflettono lo stato reale di un account compromesso, con chiavi ancora valide e sessioni già aperte. Accanto a questo fenomeno prosperano compilation gigantesche come RockYou2024, una lista da miliardi di password raccolte da vecchi leak e rese disponibili in massa: non sempre sono credenziali attive, ma rappresentano un arsenale per tentativi di brute-force e attacchi automatizzati. In questo contesto, il riuso delle password da parte degli utenti diventa il vero tallone d’Achille: basta che un singolo servizio venga violato perché la stessa combinazione email-password possa spalancare le porte di decine di altri account.
Strumenti per verificare l’esposizione delle credenziali
Il primo riferimento rimane Have I Been Pwned, che permette di inserire un indirizzo email e sapere in quali violazioni è comparso. Dal 2025 il servizio mostra anche i riferimenti agli stealer logs, segnalando se le credenziali sono finite in dump di malware. Per le password individuali, la sezione Pwned Passwords sfrutta la tecnica del k-anonymity: viene inviato solo un hash parziale della password e non la chiave completa, così da ridurre al minimo l’esposizione e restituire un risultato sicuro. Allo stesso tempo i password manager più diffusi, come 1Password e Bitwarden, offrono dashboard che evidenziano password compromesse o deboli incrociandole con i database di HIBP. Sul fronte dei sistemi operativi, Apple integra nelle impostazioni delle password raccomandazioni di sicurezza che avvisano se una combinazione è trapelata, mentre Google propone il Dark Web Report, estensione della funzione Password Checkup, che notifica quando un account compare nei mercati sotterranei. Anche Microsoft Edge ha un Password Monitor che confronta le credenziali salvate con archivi compromessi, inviando alert immediati. In alternativa, Mozilla Monitor consente di ricevere report periodici sulla presenza di dati personali online, arricchendo le verifiche con un’analisi dei data broker.
Azioni da intraprendere quando le credenziali risultano compromesse
Scoprire che una password è stata esposta non deve generare panico, ma un piano d’azione. Il primo passo è la rotazione immediata della chiave compromessa, che va cambiata non solo nel servizio coinvolto ma anche in tutti i siti dove era stata riutilizzata. In parallelo è indispensabile controllare le sessioni attive: molti portali, da Google a Facebook, permettono di vedere quali dispositivi sono collegati e di forzare la disconnessione da quelli sospetti. Va poi verificata la sezione delle app collegate, perché gli attaccanti possono sfruttare token OAuth per mantenere l’accesso anche dopo il cambio password. Una volta ripulito il campo, la difesa strutturale passa dall’attivazione dell’autenticazione multifattore: codici temporanei, notifiche push o, meglio ancora, chiavi di sicurezza fisiche e passkey. Le passkey, basate su crittografia a chiave pubblica, sono resistenti al phishing e annullano il valore delle password rubate, perché legano l’accesso a un dominio specifico e non possono essere replicate altrove.
Come prevenire nuove esposizioni e rendere sicuro il futuro digitale
La prevenzione non si esaurisce nel rispondere all’incidente, ma richiede verifiche periodiche: controllare email e password con servizi noti come HIBP, affidarsi ai report integrati nei browser o nei sistemi operativi, attivare le notifiche dei password manager. È fondamentale diffidare dai falsi strumenti che proliferano su canali non ufficiali, come i bot Telegram che promettono controlli nei database rubati: spesso sono parte del problema, non della soluzione, e raccolgono ulteriori credenziali per fini illeciti. Nel medio termine la vera svolta sarà la progressiva diffusione di un ecosistema senza password, dove l’accesso passa per passkey o per sistemi biometrici legati al dispositivo, riducendo l’impatto di ogni fuga di dati. Non si tratta solo di tecnologia, ma di cultura digitale: imparare a trattare la password come un bene consumabile, da ruotare e abbandonare, e a fidarsi di strumenti progettati per ridurre l’errore umano e limitare l’impatto dei cybercriminali.
