Attacchi cyber ai portafogli password

Nel 2025, oltre 16 miliardi di username e password sono finite in database pubblici o vendute nel dark web, segnando uno dei record nella storia dell’esposizione di credenziali.

Ma quindi avere un password manager è rischioso?

La risposta breve è no. La crittografia AES‑256 rimane uno standard solidissimo, ma gli attacchi non puntano quasi mai a “rompere” la crittografia:

cercano ciò che sta fuori dal vault, l’utente, il dispositivo e il suo ambiente di lavoro.

3 Principali Tecniche di Attacco

1. Infostealer

Gli infostealer entrano senza fare rumore, una mail credibile, un software gratuito, un aggiornamento fasullo.
Nessun allarme.
Una volta dentro, cercano il vault locale e aspettano la master password, registrando la combinazione di tasti, nel momento in cui viene digitata.

2. Master Password Stuffing

In questo caso il meccanismo è industriale.
I database di vecchie violazioni vengono usati per provare credenziali su altri servizi.
Se la tua Master Password è la stessa usata in altri servizi, ed è trapelata da data breach di siti, forum o servizi c’è la possibilità che venga testata in modo automatico su sistemi cloud.
Senza MFA, questa tecnica funziona sorprendentemente bene.
La Regola d’Oro è usare una Master Password unica e attivare sempre l’autenticazione a due fattori.

3. Clipboard Hijacking (Rubare dalla clipboard)

Ogni password trasferita nella clipboard rimane temporaneamente esposta nella memoria del sistema operativo e in quello spazio intermedio può essere intercettata.
Alcuni malware monitorano costantemente la clipboard e prelevano la stringa prima che venga incollata, senza necessità di accesso privilegiato o interazione con l’utente.
I migliori password manager più moderni prevedono la pulizia automatica della clipboard dopo un intervallo predefinito, ma questa funzione non è ancora uniforme né garantita su tutte le piattaforme.

Iterazioni KDF

Assicurati che il tuo password manager permetta di configurare iterazioni KDF molto alte. OWASP nel 2025 raccomanda ~600.000 iterazioni per PBKDF2/HMAC-SHA256.

Questo perché la Master Password non è memorizzata direttamente ma viene trasformata in un hash attraverso una Key Derivation Function (KDF) con molte iterazioni. Un vecchio password manager bloccato a 5.000 iterazioni può essere craccato in pochi minuti se il database viene rubato.

Checklist di Sicurezza

1. Usa una Master Password forte e unica

• Lunghezza ≥ 16 caratteri,
• Nessuna password riciclata.

2. Attiva l’autenticazione multifattoriale (MFA/2FA)

• Preferisci chiavi hardware o app di autenticazione.

3. Mantieni aggiornati sistema ed EDR

• Patch regolari,
• Protezione endpoint robusta.

4. Abilita autofill sicuro e pulizia clipboard

• Scegli manager che offrono timeout clipboard automatico.

5. Evita esportazioni non criptate

• Non generare file CSV/Excel con password in chiaro.

6. Considera Passkeys per servizi che le supportano

• Tecnologia più sicura delle password tradizionali

Quando le credenziali entrano in circolazione, diventano materiale vivo: possono essere testate, combinate, automatizzate e rivendute.

Non è sufficiente affidarsi solo a buone pratiche, serve visibilità continua su tutto ciò che l’azienda espone online.

Si tratta di chiudere il cerchio, proteggendo anche ciò che può diventare una porta d’ingresso dall’esterno.

Un servizio di monitoraggio della superficie di attacco, come CyberSonar, è uno strumento di prevenzione e controllo continuo che ti mostra in anticipo le credenziali compromesse, i domini saas esfiltrati, gli infostealer, gli asset esposti, le configurazioni errate e le infrastrutture non presidiate, per darti una visione reale completa e sempre aggiornata dello stato di rischio.