Passano gli anni, le tecnologie evolvono, le minacce si affinano, ma una cosa resta sorprendentemente stabile: la tendenza a privilegiare la comodità alla sicurezza, scegliendo password deboli e facilmente violabili.
Sette anni dopo la pubblicazione del primo elenco delle 200 password più comuni, il panorama della sicurezza digitale racconta una storia fatta di piccoli cambiamenti e grandi resistenze. Ogni anno l’analisi delle credenziali più diffuse restituisce lo stesso verdetto: le pessime abitudini sono dure a morire. Ma nel 2025 l’osservazione si è spinta oltre, con una nuova domanda chiave: esistono differenze generazionali nel modo di scegliere le password?
Dalla Generazione silenziosa fino alla Generazione Z, uno studio ha messo sotto la lente le preferenze di utenti di età diverse. Il risultato? Le cattive pratiche non conoscono età. Sequenze numeriche elementari, nomi propri, riferimenti personali e culturali continuano a dominare le classifiche, indipendentemente dall’anno di nascita.
Il rapporto sulle 200 password più comuni nasce dalla collaborazione tra NordPass e NordStellar, con il supporto di ricercatori indipendenti specializzati in sicurezza informatica. L’analisi si basa su violazioni recenti di dati pubblici e su repository del dark web, raccolti tra settembre 2024 e settembre 2025. I dati sono stati elaborati esclusivamente in forma aggregata e statistica: nessuna informazione personale è stata acquistata o utilizzata.
Le password sono state classificate anche in base al Paese di origine, consentendo di individuare tendenze e vulnerabilità specifiche in 44 paesi diversi: un’analisi che mette in luce come la fragilità delle credenziali sia un problema globale, con declinazioni locali.
La vera novità dell’edizione 2025 è l’approccio per fasce d’età. Quando disponibili, le date di nascita associate alle credenziali hanno permesso di attribuire le password alle diverse generazioni. Un’operazione che ha restituito un quadro chiaro: nonostante linguaggi e abitudini digitali differenti, l’uso di password prevedibili accomuna giovani e meno giovani.
Da “123456” a “DelPiero”, passando per squadre del cuore e nomi celebri: nel 2025 milioni di italiani continuano a proteggere i propri account con password facilissime: dalla posta elettronica ai social network, dallo SPID all’internet banking, la nostra vita digitale è blindata – almeno sulla carta – da una miriade di password. Eppure, proprio queste chiavi di accesso rappresentano spesso l’anello più debole della catena.
Secondo NordPass, ogni persona gestisce in media 168 password personali e 87 professionali. Numeri impressionanti, che però non si traducono automaticamente in maggiore sicurezza. Anzi. Un’analisi recente di Truffa.net rivela che milioni di utenti italiani continuano a utilizzare combinazioni banali, intuibili e violabili in meno di un secondo.
Il caso più emblematico resta l’intramontabile “123456”, violata oltre 132 milioni di volte, la password più hackerata in Italia, seguita da “123456789” e “12345678”. Un podio che, in realtà, accomuna il nostro Paese al resto del mondo.
Ma non finisce qui. L’indagine mostra come molti utenti scelgano password legate alla propria identità: città di nascita (napoli, milano, palermo), squadre del cuore (juventus, acmilan, fiorentina) o nomi propri. “Andrea” supera le 510 mila violazioni, mentre “Antonio” e “Alessandro” figurano stabilmente tra le quindici password più compromesse in Italia.
C’è poi il capitolo, quasi folkloristico, delle celebrità. Nonostante la loro evidente fragilità, nomi dello sport e dello spettacolo restano sorprendentemente popolari: “delpiero” conta oltre 80mila violazioni, seguito da amadeus e linobanfi. Non mancano altri riferimenti noti come maldini, mina, mahmood e persino pippobaudo.
La soluzione definitiva non esiste, ma alcune regole restano fondamentali. Chi riconosce una delle password più comuni tra le proprie credenziali, il primo passo è cambiarla subito, scegliendo una combinazione lunga, con maiuscole, minuscole, numeri e simboli, evitando riferimenti personali evidenti.
Infine, una regola d’oro spesso ignorata: una password diversa per ogni account. Riutilizzare la stessa combinazione su più piattaforme significa spalancare la porta agli attacchi automatizzati, capaci di testare migliaia di opzioni al secondo. Perché, alla fine, la sicurezza non è solo una questione tecnologica, ma soprattutto di abitudini.
