A stilare la nuova graduatoria delle password usate in Italia è stato NordPass, in collaborazione con i ricercatori indipendenti di cybersicurezza di NordStellar. Lo studio si basa su dati aggregati, privi di riferimenti personali, ottenuti analizzando database di credenziali finiti online dopo violazioni di dati e archivi del dark web, nel periodo compreso tra settembre 2024 e settembre 2025.
Dal materiale esaminato emerge una fotografia piuttosto chiara: gli utenti tendono a scegliere combinazioni facili da ricordare, ripetendole su più servizi e seguendo schemi ripetuti. Una scelta comoda nell’immediato, ma disastrosa sul fronte della protezione degli account.
Password italiane 2025: cosa racconta la top 20
Nella classifica tricolore il primo posto è occupato dalla solita “admin”, comparsa oltre 340 mila volte nei database considerati. La seconda posizione è detenuta dalla parola “password”, mentre il terzo gradino del podio è occupato dalla sequenza numerica “123456”. Si tratta di combinazioni che qualsiasi software di attacco può indovinare praticamente all’istante.
Scorrendo la top 20, il quadro non migliora. Compaiono varianti con iniziali maiuscole e sequenze più lunghe, come “Password”, “12345678”, “123456789”, “12345”, insieme a un mix tipicamente italiano di riferimenti al calcio, parole d’uso comune, schemi di tastiera e automatismi mentali.
Tra le credenziali più ripetute figurano ad esempio “Napoli1926”, “123stella”, “perlenera”, “ciaociao”, “juventus”, “linkem123”, “adgj1357” (che segue le lettere alternate sulla tastiera), “1234567890”, “plutonio” e “amaroni”. A queste si aggiunge una serie di espressioni volgari o blasfeme che il report cita ma che non vengono riportate per esteso: la loro presenza mette in luce una tendenza a scegliere parole emotive, reazioni istintive più che decisioni ponderate, che risultano immediatamente prevedibili per chi attacca.
Questo ventaglio di credenziali dà solo l’illusione di varietà. La maggior parte delle password è breve, lineare, priva di caratteri speciali e facilmente memorizzabile. Proprio queste caratteristiche, spiegano gli esperti di NordPass, rendono le combinazioni estremamente deboli: gli utenti preferiscono scorciatoie mentali e comodità, ignorando quanto sia semplice violare credenziali costruite in questo modo. La sicurezza, in cima alla classifica italiana, resta un concetto assente.
Il quadro globale: abitudini simili in ogni Paese
La lista internazionale 2025 conferma lo stesso modello di comportamento. A livello globale dominano sequenze come “123456”, “admin”, “12345678”, “password”, “1234”, “qwerty”, “abc123”, “111111”, “123123”.
Cambiano i contesti, non i meccanismi: gli utenti, in molti paesi, continuano a preferire numeri in ordine, parole talmente diffuse da diventare quasi simboliche, schemi di tastiera digitati in automatico. In diverse aree del pianeta ricorrono poi varianti locali legate a squadre sportive, date di nascita, nomi comunissimi, vezzeggiativi o insulti, ma l’impostazione resta sempre la stessa.
Secondo NordPass, arrivata alla settima edizione del report, la psicologia della password debole non si è modificata. L’essere umano tende a optare per ciò che può richiamare alla mente in un istante, spesso sottovalutando le conseguenze o persino sfidandole, come se la complessità rappresentasse un fastidio più che uno strumento di difesa.
Perché queste password aprono la porta agli attaccanti (e come evitare il peggio)
Sequenze banali come “123456” possono essere individuate in una frazione di secondo da un attacco di forza bruta. Il vero problema, però, non è soltanto la fragilità della singola password, ma il suo riutilizzo sistematico.
Il report evidenzia come la maggior parte degli utenti sfrutti la stessa combinazione su servizi diversi. Se uno solo di questi viene coinvolto in un data breach, tutti gli altri account che condividono la medesima coppia username–password diventano esposti, almeno in parte. Un singolo errore di scelta finisce così per mettere a repentaglio identità digitali intere: posta elettronica, social network, piattaforme di e-commerce, persino la banca online.
L’autenticazione a due fattori contribuisce a limitare i danni, aggiungendo un livello aggiuntivo di controllo, ma non annulla la debolezza di base di credenziali scelte male e ripetute ovunque. Per cambiare realmente scenario, le regole restano le stesse di sempre: creare password lunghe, complesse e diverse per ogni servizio; evitare sequenze ovvie, parole troppo comuni e riferimenti diretti alla propria vita; affidarsi a un gestore di password per generare e conservare credenziali robuste; attivare, dove possibile, meccanismi di verifica aggiuntiva.
Gli esperti ricordano che queste buone pratiche resteranno fondamentali finché le password continueranno a essere lo strumento principale di accesso. Solo quando soluzioni come le Passkey diventeranno la norma si potrà pensare a un modello di sicurezza in cui l’utente non debba più inventare e ricordare combinazioni, riducendo alla radice gli errori di scelta che oggi emergono con tanta evidenza nel report NordPass.
