26 Aprile 2026 • Corso Cyber Security

Password e furto di credenziali

Introduzione

Ogni giorno, senza pensarci troppo, accediamo a decine di servizi:

  • email aziendale
  • gestionale interno
  • portali clienti e fornitori
  • strumenti come Teams, Google, CRM
  • piattaforme di firma digitale

Per entrare… basta una password.

Ed è proprio questo il punto.

Molti attacchi informatici oggi non cercano più di “bucare” sistemi complessi.
Cercano qualcosa di molto più semplice: le tue credenziali.

Se un attaccante ottiene username e password, non deve forzare nulla.
Può entrare come se fosse te.

1. Cosa sono davvero le credenziali

Quando si parla di credenziali, spesso si pensa solo a username e password.

In realtà il concetto è più ampio.

Le credenziali sono tutto ciò che permette di dimostrare che sei tu:

  • username
  • password
  • codici temporanei (OTP)
  • token di accesso
  • sessioni già aperte
  • autenticazioni salvate

In ambito aziendale, queste credenziali permettono di accedere a:

  • dati sensibili
  • informazioni sui clienti
  • documenti interni
  • sistemi operativi aziendali

In pratica: sono le chiavi dell’azienda

2. Perché il furto di credenziali è così pericoloso

Molti pensano: “Se rubano la password, basta cambiarla”

In realtà il problema è molto più serio.

Se qualcuno entra nella tua email aziendale, può:

  • leggere tutte le conversazioni
  • capire come lavora l’azienda
  • individuare clienti e fornitori
  • inviare email credibili a tuo nome
  • chiedere pagamenti falsi
  • resettare altre password
  • accedere ad altri sistemi collegati

Esempio concreto

Un attaccante entra nella tua email.

Legge una conversazione con un cliente.

Risponde fingendosi te: “Ti giro il nuovo IBAN per il pagamento”

Il cliente paga e i soldi finiscono all’attaccante.

3. Come vengono rubate le credenziali

Ci sono diversi modi. E molti sono più semplici di quanto si pensi.

Phishing

Inserisci tu la password… ma nel posto sbagliato.

Esempio:

  • ricevi una mail “Microsoft”
  • clicchi
  • inserisci password
  • hai appena consegnato le credenziali

Data breach

Un sito viene violato e le password finiscono online.

Se usi la stessa password altrove… sei a rischio.

Credential stuffing

Gli attaccanti provano automaticamente:

email + password rubate da altri servizi

Su:

  • email aziendale
  • servizi cloud
  • VPN

Se hai riutilizzato la password → accesso diretto.

Malware

Un software malevolo registra ciò che digiti (anche le password)

Attacchi “banali”

  • qualcuno vede la password su un post-it
  • qualcuno accede al tuo PC sbloccato
  • qualcuno legge un file con password salvate

4. Esempio reale completo

Vediamolo passo passo.

Un dipendente usa:

stessa password per:

  • email aziendale
  • sito e-commerce

Il sito viene violato.

Le credenziali finiscono in un database online.

Un attaccante prova quella combinazione su Office 365.

Accesso riuscito.

Da lì:

  • legge email
  • invia messaggi
  • prepara una truffa

Tutto senza “hackerare” nulla.

5. Errori più comuni

Password semplici

Esempi:

  • 123456
  • password
  • nomeazienda123

Sono le prime che vengono provate

Password riutilizzate

Una sola password per tutto.

Se cade una… cadono tutte

Password prevedibili

  • data di nascita
  • nome figli
  • squadra

Facili da indovinare

Password scritte ovunque

  • post-it sul monitor
  • file Excel
  • blocco note

Comodo… ma rischioso

Condivisione password

“Ti passo la password un attimo”

errore gravissimo

Metodo consigliato: passphrase

Esempio: “IlMioLavoroIniziaAlle8OgniGiorno!”

  • facile da ricordare
  • difficile da indovinare
  • lunga

7. Password manager

Un password manager è uno strumento che:

  • salva le password
  • le genera automaticamente
  • le compila al posto tuo

8. Autenticazione a due fattori (2FA)

Oltre alla password serve un secondo elemento:

  • codice su app
  • SMS
  • notifica sul telefono
  • impronta digitale

Perché è fondamentale

Se qualcuno ha la password:

senza il secondo fattore non entra.