Comprendere gli attacchi di password spraying

In un attacco di password spraying, gli attori della minaccia provano un piccolo set di password comuni su molti account utente o di servizio. L'obiettivo è compromettere un account rimanendo sotto le soglie di blocco dell'account.

Cos'è il password spraying?

Il password spraying è un metodo in cui un attaccante prova un piccolo set di password comuni (ad esempio: “Password123!”, “qwerty”, “Summer2024”, “Welcome1”) su molti account utente o account di servizio in un archivio di identità, come Active Directory on-premises, provider di identità cloud (Microsoft Entra ID, Okta, Google Workspace), app SaaS, applicazioni web, VPN e altri sistemi di autenticazione. L’obiettivo è compromettere un account senza attivare i controlli di blocco account che entrano in vigore quando qualcuno effettua ripetuti tentativi falliti su un singolo account. Il password spraying distribuisce poche ipotesi ampiamente, rendendolo molto efficace contro organizzazioni con password deboli o riutilizzate.

Pensalo come un intruso che prova una chiave comune alle porte di un intero condominio invece di provare molte chiavi diverse su una singola porta. Se un inquilino ha usato quella chiave comune, l'intruso entra, ma l'allarme della porta dell'edificio non si attiva a causa dei tentativi ripetuti su una sola serratura.

Ecco come il password spraying differisce dagli attacchi di forza bruta e credential stuffing.

Come funziona il password spraying

Il password spraying è un approccio “lento e costante”. L’attaccante scambia profondità (molti tentativi su un account) con ampiezza (pochi tentativi su molti account) per rimanere furtivo. Ecco un flusso passo dopo passo dell’attacco.

Ricognizione (nomi utente)

L'attaccante prima crea una lista di nomi utente validi. Le fonti includono:

• Intelligence open source (OSINT), ad esempio LinkedIn, pagine aziendali, comunicati stampa, database governativi
• Dump di violazioni pubbliche
• Raccolta del formato email (come in first.last@company.com)
• Enumerazione live contro una pagina di login (diversi messaggi di errore, tempi di risposta e flussi di recupero account rivelano quali nomi utente sono validi)

Il risultato è un set target di nomi di account umani o di servizio su cui l'attaccante eseguirà l'attacco, come una lista di 500 indirizzi email di dipendenti da LinkedIn.

Scegli un piccolo set di password

Successivamente, gli aggressori scelgono una lista molto piccola di password probabili, come:

• Password predefinite
• Password deboli comuni
• Combinazioni stagione/anno
• Varianti azienda/mascotte

Le campagne spray utilizzano tipicamente solo un piccolo set di tentativi di password, comunemente da 3 a 10. Mantenere il set di password piccolo minimizza i fallimenti per account, prevenendo i blocchi.

Onda di spruzzo #1 (lenta e costante)

L'attaccante prova una password su molti account, come provare "Winter2024!" su tutti i 500 account. Distribuiscono i tentativi per rimanere al di sotto delle soglie di blocco e rilevamento (ad esempio, 1 o 2 tentativi per account durante la finestra di blocco). Questo basso volume per account attiva a malapena gli avvisi mentre l'attaccante continua a sondare per credenziali deboli o riutilizzate.

Ruotare e eludere

Per evitare ulteriormente il rilevamento, gli aggressori ruotano la loro infrastruttura e le impronte digitali.

• Cambiano ciclicamente tra diversi indirizzi IP utilizzando proxy, VPN, Tor o botnet distribuite.
• Randomizzano le stringhe user-agent per imitare il traffico legittimo da vari dispositivi e browser.
• Il tempo tra i tentativi di autenticazione viene variato per rimanere al di sotto delle soglie di limite di frequenza.
• Gli attacchi sono distribuiti in più località geografiche per apparire come un accesso globale normale.

Queste tattiche combinate rendono la campagna più difficile da rilevare e bloccare. Gli aggressori a volte prendono di mira anche sistemi legacy o endpoint che utilizzano protocolli di autenticazione di base, poiché mancano di controlli di sicurezza moderni come l'autenticazione a più fattori (MFA) e un robusto limite di velocità. Questo rende più facile lo sfruttamento senza attivare allarmi.

Onda spray #2

Se la prima ondata non produce risultati, gli aggressori eseguono ondate successive utilizzando la password successiva nel piccolo set contro la stessa lista di nomi utente (o ampliata). Utilizzano strumenti di automazione per controllare la cadenza dei tentativi, ruotare gli IP, riprovare se necessario e analizzare le risposte di accesso. Questo consente alle campagne di scalare rimanendo al di sotto delle soglie di rilevamento.

Primo successo (appoggio)

Quando un account accetta una password indovinata, l'attaccante ottiene l'accesso. Successivamente si muove rapidamente per stabilire la persistenza ed espandere l'accesso prima che la compromissione venga rilevata.

• L'attaccante crea meccanismi di accesso alternativi come password specifiche per applicazioni o token API, raccoglie credenziali aggiuntive, registra token OAuth per app di terze parti o configura regole di inoltro della casella di posta per mantenere l'accesso anche se la password originale viene cambiata.
• Successivamente enumerano l'ambiente interno, esplorando applicazioni accessibili, risorse condivise, servizi cloud e archivi di dati sensibili per capire a cosa può accedere l'account compromesso.
• Tentano di aumentare i privilegi sfruttando le procedure di helpdesk (ad esempio, impersonando l’utente per reimpostare le password di account con privilegi più elevati), avviando flussi di reimpostazione della password per account amministrativi o lanciando attacchi di affaticamento MFA (in cui bombardano ripetutamente gli utenti legittimi con notifiche push MFA finché non approvano l’accesso).

Questa fase trasforma una singola credenziale compromessa in una presenza persistente all'interno dell'infrastruttura dell'organizzazione.

Risultati

Una volta stabilito l'accesso, gli aggressori perseguono i loro obiettivi finali. Possono:

• Esfiltrare dati sensibili
• Avviare frodi di compromissione della posta elettronica aziendale (BEC) tramite caselle di posta compromesse
• Usa il punto d'appoggio per il movimento laterale attraverso la rete

In questo modo, la violazione iniziale si trasforma in attacchi più gravi come il rilascio di ransomware, l'escalation dei privilegi agli account amministratore o l'accesso persistente a lungo termine per spionaggio continuo. Ciò che inizia come un semplice attacco di spray di password può causare perdite finanziarie significative, violazioni dei dati e interruzioni operative.

Diagramma del flusso di attacco

Ecco un semplice flusso visivo dell’attacco di password spraying e un esempio di storia dal punto di vista di un’organizzazione che mostra come una campagna di password spraying si sposta dalla ricognizione all’impatto.

La rubrica dei dipendenti di un'azienda di logistica è parzialmente esposta tramite LinkedIn e un vecchio dump di credenziali. Un attaccante crea una lista di indirizzi email validi e testa una password comune su tutti gli account, distanziando i tentativi di giorni per rimanere sotto le soglie di blocco.

Un account accetta l'ipotesi: un coordinatore del magazzino che non aveva mai aggiornato una password predefinita di onboarding. L'attaccante configura l'inoltro della casella di posta, mappa le condivisioni di file interne, quindi utilizza una chiamata di impersonificazione helpdesk per reimpostare la password di un amministratore IT e ottenere l'accesso ad AD. Quando l'attività di accesso insolita genera un avviso, sono passati 11 giorni, i record delle buste paga sono stati esfiltrati e il ransomware è stato posizionato su più server.

Esempi di attacchi di password spraying

Gli attacchi di password spraying sono stati utilizzati in diverse violazioni reali contro grandi organizzazioni. Di seguito alcuni esempi notevoli.

Conseguenze del password spraying

Gli incidenti di password spraying evidenziano come una singola password debole possa aprire la porta a una compromissione su larga scala, portando a conseguenze gravi e di vasta portata per un'organizzazione. Ecco come gli effetti si manifestano nelle aree chiave di impatto.

Obiettivi comuni del password spraying: Chi è a rischio?

Gli attacchi di password spraying possono prendere di mira qualsiasi organizzazione che abbia account online o sistemi di login esposti. Tuttavia, alcuni ambienti e utenti sono molto più attraenti per gli aggressori a causa dell'accesso, dei dati o dei sistemi che controllano. Alcuni obiettivi comuni delle campagne di password spraying sono:

Valutazione del rischio

Il password spraying è un attacco a basso costo e ampiamente diffuso che sfrutta password deboli e superfici di autenticazione esposte. Le organizzazioni dovrebbero considerarlo un rischio ad alta priorità e regolare i controlli di conseguenza.

Come prevenire il password spraying

Per prevenire il password spraying, le organizzazioni dovrebbero adottare pratiche di autenticazione forte, monitoraggio proattivo e consapevolezza degli utenti. Le seguenti misure possono essere utili.

Applicare politiche di password robuste

Il primo passo è alzare il livello di robustezza della password.

• Applica password lunghe e complesse per gli account (almeno 14 caratteri).
• Utilizza elenchi di password vietate o compromesse (come Have I Been Pwned) e schemi comuni per bloccare gli utenti dall'usare password compromesse o deboli.
• Assicurati che gli account nuovi e predefiniti cambino le loro password al primo accesso per eliminare punti di ingresso facili.

Implementa l'autenticazione a più fattori

MFA è una delle difese più efficaci contro il password spraying poiché chiude le comuni vie di bypass.

• Distribuisci MFA su tutti i sistemi esposti esternamente come email, VPN e app cloud.
• Quando possibile, utilizza opzioni MFA resistenti al phishing come le chiavi di sicurezza FIDO2 o l'autenticazione basata su certificati.
• Blocca i protocolli legacy (come NTLM o autenticazione base) che non supportano MFA. Assicurati che le tue piattaforme cloud e di identity consentano solo l'autenticazione moderna, così gli attaccanti non possono infiltrarsi usando metodi deboli e obsoleti.

Applica il blocco dell'account e il rate limiting

Gli aggressori si affidano a tentativi ripetuti di accesso nel password spraying, quindi puoi limitare questi tentativi per rallentare o fermare i loro progressi.

• Imposta con attenzione le politiche di blocco. Rendile abbastanza rigide da proteggere gli account, ma abbastanza flessibili da non frustrarne gli utenti legittimi.
• Aggiungi ritardi progressivi, richieste CAPTCHA e blocchi temporanei dopo diversi tentativi falliti.
• Limita il numero di tentativi di accesso da un singolo indirizzo IP o dispositivo per prevenire attacchi di forza bruta su larga scala.

Rafforzare il rilevamento e il monitoraggio

Il monitoraggio continuo consente alle organizzazioni di individuare precocemente i segnali di avvertimento.

• Traccia i tentativi di accesso falliti su più account dalla stessa IP o regione.
• Indaga picchi di blocco degli account, richieste MFA insolite e accessi da geografie sconosciute.
• Utilizzare strumenti di security information and event management (SIEM) o user and entity behavior analytics (UEBA) per identificare schemi di “basso e lento” che si confondono con il traffico normale. Rilevare questi schemi precocemente può prevenire una violazione su larga scala.

Mantenere l'igiene del nome utente e dell'identità

Il primo passo in una catena di attacco di password spraying è quando l'attaccante inizia a raccogliere o dedurre nomi utente validi in un'organizzazione. Per questo motivo:

• Evita formati di nome utente prevedibili come “firstname.lastname@company.com” o “employeeID@domain.com.”
• Limita o proteggi qualsiasi elenco pubblicamente accessibile di nomi utente, indirizzi email o informazioni sui dipendenti che gli aggressori potrebbero utilizzare per creare elenchi validi di nomi di accesso.
• Configura le tue pagine di accesso per prevenire l'enumerazione dei nomi utente: non rivelare se un nome utente è valido durante i tentativi di accesso falliti.
• Come esercizio di routine, disabilitare gli account inattivi, di test e legacy che non sono in uso ma sono ancora attivi nella directory.

Adotta Zero Trust e controlli di accesso

Un modello Zero Trust limita i danni derivanti da un singolo account compromesso.

• Applica il principio del minimo privilegio (PoLP), concedendo agli utenti solo l'accesso di cui hanno realmente bisogno.
• Usa le policy di Accesso Condizionale per bloccare gli IP rischiosi e applicare MFA per accessi ad alto rischio.
• Segmenta l'accesso tra i sistemi in modo che una violazione non si propaghi attraverso la rete.

Lavorare sulla consapevolezza e formazione degli utenti

L'errore umano è spesso il punto più debole. Per affrontarlo:

• Educa i dipendenti sull'igiene delle password, i pericoli del riutilizzo delle password e su come funzionano gli attacchi di spraying.
• Incoraggiate l'uso di gestori di password per generare e memorizzare password uniche e complesse.
• Esegui campagne di sensibilizzazione regolari e simulazioni di phishing/spray di password per mantenere fresche le buone abitudini.

Utilizza protezioni avanzate

Le difese moderne dell'identità vanno oltre le password. Le organizzazioni dovrebbero:

• Distribuisci strumenti di Identity threat detection & response (ITDR), come quelli forniti da Netwrix, per rilevare e contenere attività sospette legate all'identità prima che gli aggressori possano aumentare l'attacco.
• Abilita le funzionalità di applicazione delle password vietate come Microsoft Entra ID Password Protection.
• Considera di passare all'autenticazione senza password, come le chiavi FIDO2, la biometria o le smartcard per una sicurezza più forte.

Come Netwrix può aiutare

Netwrix offre una gamma di soluzioni di cybersecurity che consentono alle organizzazioni di applicare un'autenticazione più forte, individuare gli attacchi precocemente, bloccarli in tempo reale e mantenere l'igiene tra le identità.

Applica un'autenticazione forte con Netwrix Password Policy Enforcer

Netwrix Password Policy Enforcer ti consente di impostare politiche di password dettagliate e personalizzate per bloccare password deboli e compromesse. Supporta sia Active Directory on-premises che ambienti cloud come Microsoft Entra ID. Può controllare le liste di password trapelate, applicare regole diverse per gruppo di utenti e aiutare a soddisfare modelli normativi come NIST e PCI.

Blocca le autenticazioni dannose in tempo reale con Netwrix Threat Prevention

Netwrix Threat Prevention monitora e blocca accessi rischiosi e modifiche non autorizzate in tempo reale, come accessi sospetti, modifiche ai gruppi privilegiati e autenticazione con protocolli legacy. Questo impedisce agli aggressori di stabilire una base o di muoversi lateralmente.

Threat Prevention fa parte della soluzione di Identity Threat Detection & Response (ITDR), che comprende più prodotti che lavorano insieme. Questa soluzione consente alle organizzazioni di rilevare precocemente attacchi incentrati sull’identità, inclusi password spraying, tentativi di accesso lenti e a basso volume, uso improprio delle credenziali, utilizzo di protocolli legacy, accessi insoliti e escalation di privilegi in Active Directory e Entra ID. Fornisce analisi in tempo reale e avvisi quando si verifica un’attività sospetta, guidando i team di sicurezza a rispondere prima che gli aggressori aumentino l’attacco.

Mantieni l'igiene dell'identità tramite Netwrix Directory Manager

Netwrix Directory Manager automatizza le attività del ciclo di vita degli utenti nella directory, come la disabilitazione di account inattivi e legacy, l’applicazione di credenziali forti sui nuovi account e l’aggiornamento automatico delle appartenenze ai gruppi in base alle policy. Questo tipo di pulizia riduce la superficie di attacco disponibile per il password spraying.

Strategie di rilevamento, mitigazione e risposta

Il password spraying è una minaccia silenziosa ma ad alto impatto. Per cogliere i primi segnali, le organizzazioni necessitano di un rilevamento accurato, seguito da una risposta rapida per contenere e risolvere il danno.

Rilevamento

Puoi individuare la campagna di password spraying cercando modelli ampi e a basso volume piuttosto che esplosioni rumorose.

Correlare i tentativi di accesso falliti tra gli account

Correlare i tentativi di accesso falliti su molti account provenienti dallo stesso indirizzo IP, rete (ASN) o stringa user-agent entro una finestra temporale (ad esempio, più di 5 account falliti da un IP in 30 minuti). Questo schema di “stessa password provata ovunque” è un forte indicatore di attività di spraying.

Rilevare una cadenza lenta e costante

Gli aggressori sfruttano protocolli più vecchi perché mancano di funzionalità di sicurezza avanzate e non supportano MFA. Segnala qualsiasi tentativo di autenticazione che utilizzi IMAP, POP, SMTP AUTH o altre API obsolete. Monitora anche user-agent insoliti, strumenti automatizzati e applicazioni raramente usate nel tuo ambiente. Presta attenzione a tentativi di accesso lenti e costanti distribuiti su molti account, poiché sono progettati per rimanere al di sotto delle soglie di blocco e rilevamento.

Monitorare fonti a rischio

Monitora le connessioni provenienti da fonti rischiose o anonimizzate, come nodi di uscita Tor, VPN e proxy aperti o anonimi. Traccia gli accessi da IP precedentemente segnalati per attività dannose o associati ad attacchi alle credenziali. Rileva viaggi impossibili (ad esempio, un utente che effettua il login da New York e poi da Tokyo 30 minuti dopo) e anomalie geografiche come accessi da paesi o regioni in cui la tua organizzazione non è presente. Questi segnali aiutano a identificare fonti di connessione intrinsecamente sospette.

Monitora il successo dopo i fallimenti

Quando osservi un modello in cui più tentativi di accesso falliti su diversi account sono seguiti da un accesso riuscito dallo stesso IP o fonte, resta vigile. Questa transizione è un indicatore ad alta affidabilità di una violazione.

Regole SIEM/UEBA

Le baseline di machine learning rilevano anomalie che gli analisti umani possono non notare. Configura regole SIEM o UEBA per rilevare accessi falliti distribuiti su molti account, violazioni dei limiti di velocità e improvvisi picchi di negazioni MFA o blocchi degli account.

Mitigazione

Per mitigare gli attacchi di password spraying, adottare misure per rendere gli account più difficili da indovinare, più difficili da abusare e più facili da proteggere. Oltre alle pratiche elencate nella sezione How to Prevent Password Spraying, adottare le seguenti misure per la mitigazione.

Difese contro bot e anomalie

Rendi più difficile per gli strumenti automatizzati continuare a indovinare le password. Aggiungi sfide CAPTCHA dopo ripetuti tentativi di accesso falliti, usa il fingerprinting del dispositivo per riconoscere schemi sospetti e affidati a segnali comportamentali (come la velocità di digitazione o l'orario di accesso) per distinguere gli umani dai bot. Questi piccoli punti di attrito possono interrompere efficacemente la maggior parte dei tentativi automatizzati di attacchi a spruzzo.

Accesso condizionale

Rafforza le decisioni di accesso con il contesto. Usa le politiche di Accesso Condizionale per consentire l'accesso solo da posizioni attendibili, bloccare gli accessi da “viaggi impossibili” e attivare l'autenticazione step-up quando un accesso sembra rischioso. Questo garantisce che, anche se le credenziali vengono indovinate, gli attaccanti debbano affrontare ulteriori verifiche.

Igiene del provider di identità (IdP)

Proteggi i tuoi processi di autenticazione. Abilita le funzionalità di protezione delle password a livello di tenant (come le liste di password vietate), attiva il blocco extranet in AD FS per limitare i tentativi esterni di forza bruta e configura avvisi a livello di tenant per comportamenti sospetti di accesso. Questi controlli riducono la finestra di opportunità per gli attaccanti di sfruttare credenziali deboli o riutilizzate.

Igiene dell'amministratore

Tratta gli account amministrativi come gioielli della corona. Gli amministratori dovrebbero utilizzare account separati per il lavoro amministrativo e quotidiano. Applica il principio del minimo privilegio in modo che nessuno abbia più accesso del necessario ed elimina completamente le password predefinite o condivise. Implementa l’accesso just-in-time (JIT) e Just Enough Administration (JEA) per concedere privilegi elevati temporanei solo quando necessario. Questo limita l’esposizione se un account viene compromesso.

Risposta

Quando scatta un allarme di rilevamento, rispondi. Il tuo obiettivo è contenere i danni, scoprire come l’attaccante è persistito e assicurarti che non accada di nuovo.

Contieni rapidamente la minaccia

• Blocca intervalli di IP o ASN sospetti (o mettili in quarantena al WAF o al bordo della rete).
• Implementa il geofencing se gli attacchi provengono da regioni geografiche inaspettate.
• Revoca tutte le sessioni attive e i token di aggiornamento per gli account compromessi (non solo quelli sospetti perché gli aggressori potrebbero essersi già mossi lateralmente).
• Invalidare eventuali token di accesso o chiavi API attivi associati agli account interessati.
• Applica politiche di Conditional Access di emergenza per richiedere MFA, bloccare accessi rischiosi o limitare l'accesso a reti attendibili.
• Rafforza temporaneamente i requisiti di autenticazione per bloccare i percorsi di accesso rischiosi.

Reimposta le credenziali mirate

• Reimposta le password degli account che sono stati presi di mira o compromessi con successo. Usa la valutazione del rischio e gli indicatori confermati di compromissione per guidare il processo di reimpostazione della password.
• Applicare l'iscrizione MFA.
• Rimuovere regole sospette di inoltro della cassetta postale, autorizzazioni di invio come e delegati da account compromessi e ad alto rischio.
• Revoca i consensi delle app OAuth non autorizzate e le autorizzazioni delle applicazioni per gli account target.

Caccia alla persistenza

Cerca account compromesse per:

• Regole della casella di posta (inoltro, eliminazione, risposta automatica)
• Delegati della cassetta postale e autorizzazioni di invio come/inviato per conto di
• Password delle app e token di autenticazione legacy (IMAP, POP3, SMTP)
• Token OAuth e consensi delle applicazioni
• Chiavi API e credenziali del principal di servizio
• Dispositivi MFA registrati (rimuovere telefoni o altri autenticatori aggiunti da attaccanti)
• Modifiche ai metodi di autenticazione registrati
• Service principal e registrazioni app con permessi eccessivi
• Modifiche alla policy di Conditional Access (gli aggressori potrebbero indebolire le policy di sicurezza)
• Credenziali salvate nei browser o nei gestori di password

Rimuovere tutto ciò che potrebbe consentire all'attaccante di tornare senza ri-autenticarsi.

Analisi forense e ambito

• Raccogli i log di autenticazione (accessi Entra ID, log di sistema Okta, log AD on-premises) e i flussi di rete (come movimenti laterali est-ovest, indicatori di esfiltrazione dati, modelli di traffico anomali).
• Crea una cronologia di eventi, IP di origine, user-agent, app interessate e quali tentativi di accesso sono riusciti o falliti.
• Determina quali dati o sistemi sono stati accessi.

Notificare le parti interessate

• Informa immediatamente gli utenti interessati e guidali su cosa fare.
• Successivamente, informare la leadership, il reparto legale, la sicurezza IT e i team di conformità secondo necessità.
• Aggiorna partner e fornitori se sono interessati sistemi o dati condivisi.
• Se la violazione comporta una non conformità normativa, preparare le notifiche regolamentari, se applicabile.

Disabilita vettori di attacco

• Disabilitare i protocolli di autenticazione legacy se non sono necessari.
• Rafforzare le politiche di blocco degli account e i limiti di velocità.
• Distribuisci account esca (honeypots) con monitoraggio per rilevare futuri tentativi di spraying.
• Aggiorna i feed di intelligence sulle minacce con IP degli aggressori, modelli e TTP.
• Affina le regole di rilevamento SIEM basate sugli indicatori di attacco osservati.
• Implementa misure di mitigazione a livello organizzativo.

Lezioni apprese

• Pianifica una revisione formale post-incidente entro una o due settimane dalla chiusura dell'incidente e documenta cosa ha funzionato bene e cosa necessita di miglioramenti.
• Rivedi i runbook di risposta agli incidenti con le lezioni apprese.
• Documenta nuovi IOC, TTP e firme di rilevamento.
• Esegui esercizi da tavolo simulando scenari di password spraying.
• Eseguire esercizi di purple-team per convalidare i miglioramenti nella rilevazione e risposta.
• Esegui simulazioni controllate di password spraying (con autorizzazione) per testare i controlli.

Forma il personale di helpdesk e IT a riconoscere e rispondere agli attacchi alle credenziali.

Impatto specifico del settore

Gli attacchi di password spraying comportano conseguenze diverse a seconda del settore. Comprendendo i rischi specifici del settore, le organizzazioni possono dare priorità alle difese e personalizzare la risposta agli incidenti.

Evoluzione degli attacchi e tendenze future

Gli attacchi basati sulle password sono evoluti da tentativi rumorosi di forza bruta a campagne furtive e automatizzate che fanno parte di operazioni di minaccia più ampie. Osservando l'evoluzione degli attacchi e le tendenze attuali, i team di sicurezza possono rafforzare le difese di conseguenza.

Statistiche chiave e infografiche

I numeri raccontano la vera storia dietro il password spraying e gli attacchi basati sulle credenziali. Le seguenti statistiche evidenziano perché un'autenticazione forte e una migliore igiene delle password sono più critiche che mai.

• Nel 2025 Verizon Data Breach Investigations Report, gli analisti hanno rilevato che il 22% delle violazioni confermate è iniziato con l'abuso di credenziali (come password rubate o riutilizzate), e tra gli attacchi “Basic Web Application”, l'88% ha coinvolto credenziali rubate.
• Secondo Microsoft, oltre il 99,9% degli account compromessi non aveva MFA al momento della violazione. La ricerca ha inoltre rilevato che gli account senza MFA erano particolarmente vulnerabili ad attacchi di password spraying e password replay, specialmente quando si utilizzano protocolli di autenticazione legacy come SMTP, IMAP e POP che non supportano MFA.
• Secondo analisi recenti (ad esempio, di NordPass e altri nel 2025), password come “123456,” “password,” “qwerty,” “12345,” e “qwerty123” continuano a dominare le prime posizioni delle liste delle password più usate.

Attacchi quotidiani all'identità

Il grafico seguente mostra un forte aumento degli attacchi quotidiani all'identità, che passano da circa 300 milioni nel 2022 a quasi 800 milioni nella prima metà del 2025. Evidenzia la crescente portata delle minacce basate su password e identità.

Tipi di attacchi all'identità

Il grafico a torta mostra che nel 2025, il 97% degli attacchi all'identità erano basati su password, principalmente password spraying e attacchi brute-force. Questo conferma che le credenziali deboli o rubate rimangono l'obiettivo principale degli aggressori.

Crescita dell'adozione di MFA

Il grafico a linee mostra una crescita costante nell'adozione di MFA tra i clienti aziendali Microsoft dal 2014, tuttavia, nel 2024, il 59% degli account è ancora privo di protezione MFA.

Considerazioni finali

Gli aggressori spruzzano le credenziali sulla tua base utenti come la pioggia contro le finestre. La maggior parte dei tentativi scivola via senza danni, ma serve solo una debole protezione per far entrare l’inondazione. La bellezza dell’attacco, dal loro punto di vista, è la sua semplicità: basso sforzo, alto rendimento e quasi invisibile fino a quando non si verifica il danno. Non essere la protezione debole. Non lasciare che una singola credenziale compromessa annulli mesi di investimenti in sicurezza. Il password spraying ha successo proprio perché non sembra un attacco, fino a quando non è troppo tardi. Rileva presto lo spruzzo, chiudi i punti di ingresso e tieni a bada l’inondazione.