World Password Day 2026: è l’ora di andare oltre le password con le passkeys

Il 7 maggio 2026 si celebra il World Password Day 2026, giunto alla 13esima edizione e dedicato alla protezione delle identità digitali.

“Il World Password Day esiste da molti anni: è stato creato da Intel nel 2013 e si celebra ogni anno il primo giovedì di maggio“, ricorda Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Ma è l’ora di andare oltre le password”.

Ecco perché “e come ‘le password forti’ continuano a fallire (e cosa fare davvero per proteggersi)”, secondo Tomer Bar, Associate VP of Security Research di Semperis.

World Password Day 2026: cosa cambia nell’era dell’Agentic AI

Proteggere la propria identità digitale è un imperativo categorico. Oggi “stiamo assistendo a un loro incremento senza precedenti, dove gli agenti AI non sono più attori di supporto, ma protagonisti autonomi nei processi aziendali, ognuno dei quali richiede autenticazione, autorizzazione e supervisione su una scala che i sistemi tradizionali non sono mai stati progettati per gestire”, spiega Mark Molyneux, Field CTO North Europe di Commvault.

Ignorare le best practice di sicurezza vuol dire correre il rischio di spalancare le porte ai cyber criminali, esponendosi a pericoli incalcolabili.

“Il World Password Day è dedicato alla protezione delle identità digitali”, avverte Mark Molyneux: “I sistemi basati su agenti non si limitano ad ampliare la superficie di attacco, e fondamentalmente la rimodellano.

Vulnerabilità come prompt injection, model poisoning e manipolazione dei dati non prendono di mira solo il codice, ma la logica decisionale stessa, creando una nuova classe di rischi che i framework di sicurezza tradizionali non sono equipaggiati per mitigare”.

In questa prospettiva, secondo Mark Molyneux, “gli agenti AI devono essere gestiti come identità digitali critiche, richiedendo monitoraggio continuo, controllo degli accessi rigoroso e una forte governance fin da subito, anziché essere trattati come semplici automazioni plug-and-play all’interno dei sistemi esistenti. Senza un’adeguata governance del ciclo di vita, monitoraggio e chiari confini di accesso, gli agenti AI possono rapidamente evolversi da strumenti di produttività a rischi di sicurezza scalabili che amplificano le vulnerabilità in tutta l’azienda. Considerarli come identità digitali pienamente governate, con privilegi definiti, supervisione e controlli del ciclo di vita, è essenziale per trasformare l’autonomia in una risorsa di sicurezza e non una passività in rapida espansione“.

World Password Day: è l’ora di andare oltre

Creato da Intel tredici anni fa, questo evento va reinterpretato. “Dopo tredici anni dedicati a promuovere la consapevolezza sull’importanza delle password robuste nella sicurezza digitale, i risultati pratici del World Password Day sulla cultura degli utenti sembrano essere – purtroppo – molto modesti”, osserva Giorgio Sbaraglia che “lo constato ogni giorno nel mio lavoro di consulente e formatore sulla cyber security: le persone continuano a fare un uso sbagliato o quantomeno approssimativo – e quindi non sicuro – delle password”.

Infatti, 12345 svetta da anni ai primi posti delle password più (ab)usate.

“Noi tecnici del settore, dobbiamo dunque porci alcune domande: le password sono importanti? E sono veramente necessarie?“, si chiede retoricamente Sbaraglia. Ovviamente sì.

“La prima domanda ha una risposta ovvia: sono importanti, perché è noto che l’81% delle violazioni degli account sono realizzate con password rubate e/o password deboli (dati del Verizon Data Breach Investigation Report)”, sottolinea Sbaraglia.

La seconda domanda è più interessante. Infatti, “ci permette di ampliare l’orizzonte oltre le password”, mette in evidenza Giorgio Sbaraglia, che ripercorre l’uso moderno della password in informatica che risale all’inizio degli anni ’60.

Breve storia delle password

“Intorno al 1961–1964, con il sistema di time‑sharing CTSS sviluppato al MIT da Fernando Corbató – spiega Sbaraglia – si introdussero i primi account utente protetti da password per permettere a più persone di condividere lo stesso mainframe mantenendo privati i propri file. Questa in genere si considera la vera ‘nascita’ della password come meccanismo di autenticazione nei sistemi informatici“.

“Fernando José “Corby” Corbató è stato un informatico statunitense, pioniere dei sistemi time‑sharing ed è considerato l’inventore dell’uso moderno delle password nei computer – prosegue Sbaraglia -. La sua idea era certamente corretta, i sistemi informatici necessitano di un processo di autenticazione sicura a protezione della riservatezza (“confidentiality”) dei dati, ma oggi – 60 anni dopo – forse dobbiamo renderci conto che probabilmente le password non sono il metodo migliore per proteggere i dati e gli account”.

Pigrizia, disattenzione e scarsa consapevolezza: i nemici delle password

Non perché sia intrinsecamente scorrettto il concetto di password. “Molto più semplicemente perché le persone non le sanno usare, per pigrizia, disattenzione o scarsa consapevolezza“, mette in guardia Sbaraglia.

Nei World Password Day, anno dopo anno, “continuiamo a raccontare che le password devono essere: lunghe, complesse, sempre diverse per ogni account“, ricorda Sbaraglia: “Ma l’essere umano non è stato ‘progettato’ per ricordarsi centinaia di password diverse! E quindi finirà per usare sempre le stesse e queste saranno anche semplici per riuscire a ricordarle”.

In realtà esiste un’ottima soluzione per gestire tutte le password in modo pratico e sicuro. Infatti, “sono le applicazioni Password Manager, ma è noto che meno del 10% degli utenti le adottano”.

Perché le password falliscono: come proteggersi

Le password accompagnano l’informatica fin dai primi sistemi multi-utente. E, a distanza di decenni, sono ancora uno degli strumenti principali per dimostrare la nostra identità digitale. “Il problema è che continuano anche a essere uno dei punti più deboli della sicurezza“, avverte Tomer Bar di Semperis.

La loro cattiva reputazione, però, è in gran parte immeritata. “Non è la password in sé ad essere inefficace, ma il modo in cui la utilizziamo. La maggior parte dei rischi nasce infatti dai limiti umani e da comportamenti prevedibili, più che dalla possibilità teorica di ‘indovinare’ tutte le combinazioni possibili”, conferma Tomer Bar.

In occasione della Giornata Mondiale delle Password, occorre sfatare alcune leggende e capire perché anche le password considerate “forti” possono rivelarsi vulnerabili, oltre a vedere quali strategie adottano oggi gli attaccanti e come difendersi in modo più efficace.

“Uno dei luoghi comuni più diffusi è che una password sia sicura semplicemente perché complessa. In effetti, una password di 10 caratteri composta da lettere maiuscole e minuscole, numeri e simboli genera uno spazio di combinazioni enorme, nell’ordine di 5,4×10¹⁹ possibilità. Anche con una capacità di calcolo di un miliardo di tentativi al secondo, servirebbero circa 1.700 anni per esaurirle tutte con un attacco brute force“, sottolinea Bar.

“Sulla carta, questo dato è rassicurante. Nella pratica, però, è fuorviante. Il motivo è semplice: quasi nessuno sceglie password realmente casuali”, assicura Bar.

Il fattore umano

“Per renderle memorizzabili, gli utenti tendono a…