Nonostante l’attenzione crescente verso la sicurezza informatica, le abitudini degli utenti continuano a raccontare una realtà sorprendentemente statica: le password più usate al mondo nel 2025 sono tra le più fragili in assoluto. È quanto emerge dal nuovo rapporto Top 200 Most Common Passwords di NordPass, realizzato insieme ai ricercatori indipendenti di NordStellar e basato sull’analisi di credenziali esposte tra settembre 2024 e settembre 2025. Il risultato è un ritratto nitido di quanto la cultura digitale sia ancora distante dall’adozione di pratiche realmente sicure.
Un panorama globale immutabile e un’Italia che segue lo stesso schema
Osservando la classifica mondiale elaborata da NordPass, ciò che colpisce non è solo la debolezza delle combinazioni più diffuse, ma la loro sorprendente continuità nel tempo. “123456” domina ancora una volta le prime posizioni, affiancata dalle immancabili varianti “12345”, “12345678” e “1234567890”, quasi simboli di un’abitudine radicata e difficile da scardinare. A completare il quadro non manca “password”, un evergreen che continua a registrare un numero impressionante di occorrenze in tutto il mondo.
Il contesto italiano si muove su coordinate del tutto simili, pur con alcune peculiarità. La password più usata nel Paese è “admin”, che compare oltre 340mila volte nei database analizzati. Seguono “password”, “123456” e la sua variante con iniziale maiuscola “Password”, tutte presenti con decine di migliaia di ricorrenze. Le sequenze numeriche più lunghe restano altrettanto diffuse: “12345678”, “123456789” e “12345” mantengono un posto stabile tra le credenziali più deboli.
Accanto ai grandi classici emergono elementi più legati alla cultura locale o a riferimenti personali. Spiccano password come “Napoli1926”, un richiamo diretto al tifo calcistico, e formule come “123stella”, che testimoniano un curioso mix fra abitudine e fantasia. Parole di uso comune come “perlenera” e espressioni affettive o colloquiali come “ciaociao” compaiono anch’esse con frequenza, insieme a credenziali più grezze o potenzialmente offensive, come “p*o”, riportata nel report in forma integrale.
La parte centrale della classifica include anche riferimenti geografici — “Camerino1960” — e combinazioni alfanumeriche come “adgji1357”, mentre nomi legati al mondo dello sport e della tecnologia, come “juventus” o “linkem123”, confermano una tendenza ricorrente: trasformare ciò che ci circonda in una password.
Generazioni diverse, ma con gli stessi errori ricorrenti
Il confronto generazionale tracciato da NordPass rivela un aspetto che sembra accomunare utenti di tutte le età: la propensione a scegliere password semplici, intuitive e culturalmente riconoscibili. Per la generazione Z dominano in modo quasi assoluto le sequenze numeriche, accompagnate da riferimenti al linguaggio digitale contemporaneo come “skibidi”, termine reso celebre da video virali e contenuti generati tramite strumenti di AI. Compaiono anche credenziali ibride come “pakistan123” e varianti storpiate come “assword”.
Il quadro dei millennial non si discosta troppo, sebbene includa formule leggermente più articolate come “1234qwer”, insieme a parole come “mustufaj” o alla ricorrente “Contraseña”, già presente anche in altre fasce d’età. La generazione X mostra invece una predilezione per i nomi propri — “veronica”, “lorena”, “valentina” — accanto a combinazioni come “teckiss” o “follar”, che rimandano a contesti linguistici eterogenei.
Tra i baby boomers, oltre alle immancabili sequenze numeriche, emergono nuovamente nomi diffusi come “maria”, “susana”, “silvia”, “graciela”, “monica” e “claudia”, insieme alla già citata “Contraseña”, segno di una certa omogeneità culturale. Nella silent generation ritornano schemi ancora più basilari: “12345”, “123456” e un elenco di nomi classici — “susana”, “marta”, “margarita”, “virginia”, “rodolfo” — che completano una panoramica sorprendentemente coerente.
Le buone pratiche per rinforzare davvero la sicurezza
A margine del report, NordPass segnala una serie di raccomandazioni rivolte tanto agli utenti quanto alle aziende. La prima riguarda la creazione di password robuste o di passphrase lunghe almeno otto caratteri, composte da una combinazione di lettere maiuscole e minuscole, simboli e numeri.
Fondamentale anche evitare il riutilizzo delle stesse credenziali su più piattaforme, effettuare controlli periodici sulle password ormai obsolete e attivare forme di autenticazione avanzata come l’autenticazione a più fattori.
L’uso di un gestore di password rimane una delle soluzioni più efficaci per generare, custodire e aggiornare combinazioni complesse, mentre cresce la spinta verso sistemi più moderni come le passkey, forme di autenticazione senza password già supportate dalla piattaforma e destinate a diffondersi ulteriormente nei prossimi anni.
