Admin, password, 123456. Se state usando una di queste combinazioni per proteggere i vostri account online, sappiate che non siete soli. Anzi, siete in compagnia di centinaia di migliaia di italiani. Il problema è che questa compagnia è decisamente poco raccomandabile dal punto di vista della sicurezza informatica. L’ultima indagine condotta da NordPass, in collaborazione con i ricercatori indipendenti di NordStellar, ha fotografato le abitudini digitali degli utenti del nostro Paese nel periodo compreso tra settembre 2024 e settembre 2025, analizzando database di credenziali emerse da violazioni pubbliche e repository del dark web. Il risultato è una classifica che oscilla tra il prevedibile e il sorprendente, ma che racconta soprattutto una storia di pigrizia digitale diffusa.
Al primo posto della classifica italiana troviamo “admin“, utilizzata ben 340.576 volte nei database analizzati. Segue “password” con 109.533 utilizzi, mentre il gradino più basso del podio spetta all’intramontabile “123456“, presente 95.899 volte. Si tratta di combinazioni talmente elementari che qualsiasi software di attacco automatizzato le violerebbe in meno di un secondo. Eppure continuano a essere le scelte predilette di chi, evidentemente, privilegia la memorizzazione immediata rispetto alla protezione dei propri dati sensibili.
La top 10 italiana prosegue con “Password” (con la P maiuscola, come se questo dettaglio bastasse a renderla più sicura), seguita da “12345678” e “123456789“. Poi arriva “12345“, e qui la classifica inizia a svelare alcune peculiarità nostrane. All’ottavo posto compare “Napoli1926“, un chiaro riferimento all’anno di fondazione della squadra partenopea, usata da oltre 18mila utenti. Al nono posto troviamo “123stella“, con più di 16mila utilizzi, un richiamo al gioco per bambini che evidentemente ha lasciato un’impronta indelebile nella memoria collettiva. Chiude la classifica “perlanera” con quasi 15mila utilizzi, forse un’allusione cinematografica ai Pirati dei Caraibi, anche se l’origine rimane incerta. E quasi 10 mila utilizzatori usano una bestemmia, “porcod**o“.
Quello che colpisce, al di là delle singole stringhe, è la logica che le accomuna. Gli italiani, come del resto gli utenti di tutto il mondo, scelgono password che possono ricordare senza sforzo: sequenze numeriche lineari, termini universalmente noti, riferimenti culturali condivisi. La varietà è solo apparente. Quasi tutte queste combinazioni sono brevi, prive di caratteri speciali, facilmente intuibili. Esattamente ciò che le rende pessime dal punto di vista della cybersecurity. E nel resto del mondo, come vanno le cose? Non meglio, a dire il vero. La classifica globale 2025 mostra una sostanziale uniformità nelle abitudini: “123456” domina con oltre 21,6 milioni di utilizzi, seguita da “admin” e “12345678“. Poi “123456789“, “12345“, “password“, fino ad arrivare a combinazioni come “qwerty” e “abc123“. Cambiano i numeri, non la mentalità. In molti paesi emergono varianti locali legate a squadre sportive, date simboliche o nomignoli comuni, ma la logica di fondo resta identica: la comodità batte la prudenza.
L’indagine di NordPass ha introdotto quest’anno un elemento interessante: l’analisi generazionale. Grazie all’esame dei metadati, incluse le date di nascita, è stato possibile associare le password alle diverse fasce d’età. Ci si aspetterebbe che i nativi digitali della Gen Z, cresciuti con smartphone e social network, abbiano una maggiore consapevolezza dei rischi informatici. Invece no. La qualità delle credenziali è uniformemente scarsa, dai Baby boomer fino alla Gen Z, passando per i Millenials. Il problema più grave, però, non è solo la debolezza della singola password: è il suo riutilizzo. Il report evidenzia come la maggior parte degli utenti impieghi la stessa combinazione su servizi diversi. Basta che uno solo di questi subisca una violazione perché tutti gli altri account associati allo stesso login diventano potenzialmente vulnerabili. Un’unica scelta sbagliata compromette intere identità digitali: posta elettronica, social network, piattaforme di e-commerce, home banking. Il tutto aggravato dal fatto che molti utenti non attivano nemmeno l’autenticazione a due fattori, che pure costituisce una barriera aggiuntiva efficace contro gli accessi non autorizzati.
Ma come si esce da questa situazione? Gli esperti di sicurezza informatica forniscono sempre le stesse raccomandazioni, e continuano ad avere ragione anno dopo anno. Prima regola: creare password lunghe e complesse, mescolando numeri, simboli e lettere maiuscole e minuscole. Ancora meglio affidarsi alle passphrase, ovvero sequenze di parole che formano una frase di senso compiuto: sono molto più lunghe e difficili da decifrare per un computer, ma più facili da ricordare per un essere umano. Seconda regola fondamentale: non riciclare mai le credenziali. Ogni servizio deve avere la sua password univoca. Per gestire questa complessità senza impazzire, il consiglio è utilizzare un password manager, un software che genera e conserva le credenziali al posto vostro, proteggendole con una singola password principale. Ne esistono diversi sul mercato, sia gratuiti che a pagamento, e rappresentano uno strumento essenziale per chi vuole bilanciare sicurezza e praticità. Inoltre, ovunque sia possibile, bisognerebbe attivare l’autenticazione a più fattori: quel sistema che, dopo la password, richiede un secondo codice via SMS, app di autenticazione o email per verificare l’identità dell’utente.
Nel frattempo, però, la situazione attuale parla chiaro: le porte delle nostre vite digitali sono spesso lasciate socchiuse. Che si tratti di nostalgia calcistica, sequenze numeriche elementari o parole comuni, la sostanza non cambia. La sicurezza viene sacrificata sull’altare della memorizzazione facile. E fino a quando questa mentalità non cambierà, i dati personali di milioni di italiani continueranno a essere esposti a rischi evitabili. La tecnologia offre gli strumenti per proteggersi: spetta agli utenti decidere se usarli davvero.
