facebook-pixel
L
Lunyb

Come Sapere se la Tua Password è Stata Compromessa: Guida 2026

T
Team Sicurezza Lunyb
··9 min read

Ogni anno miliardi di credenziali finiscono nei data breach pubblicati sul dark web. Se utilizzi la stessa password per più servizi, o se non hai mai controllato lo stato delle tue credenziali, potresti essere esposto senza saperlo. In questa guida ti spiego passo per passo come verificare se una password è stata compromessa, quali strumenti usare e cosa fare immediatamente dopo una violazione.

Cosa Significa "Password Compromessa"

Una password compromessa è una credenziale che è stata esposta in una violazione di dati (data breach), rubata tramite phishing, intercettata da malware o trapelata in qualsiasi altro modo al di fuori del tuo controllo. Una volta compromessa, la password finisce in database pubblici o privati che i criminali informatici utilizzano per attacchi di tipo credential stuffing, ossia tentativi automatizzati di accesso su migliaia di siti.

Secondo il rapporto annuale di Verizon sulla sicurezza dei dati, oltre l'80% delle violazioni legate ad account compromessi deriva da password riutilizzate o trapelate in passato. Il Garante per la Protezione dei Dati Personali ricorda che la responsabilità della sicurezza delle credenziali ricade anche sull'utente, soprattutto quando si tratta di account bancari, sanitari o aziendali.

Come Finiscono Online le Password

  1. Data breach aziendali: hacker violano database di servizi (come accaduto a LinkedIn, Adobe, Yahoo).
  2. Phishing: email o siti falsi che ti convincono a inserire le credenziali.
  3. Malware e keylogger: software malevoli che registrano ciò che digiti.
  4. Reti Wi-Fi pubbliche non sicure: intercettazione di traffico non cifrato.
  5. Riutilizzo della password: una credenziale violata su un sito mette a rischio tutti gli altri account che la usano.

Segnali che la Tua Password Potrebbe Essere Stata Compromessa

Prima ancora di usare strumenti specifici, ci sono indicatori chiari che dovrebbero metterti in allarme. Riconoscerli ti permette di reagire rapidamente.

I 7 Segnali d'Allarme Principali

  • Accessi sospetti: notifiche di login da luoghi o dispositivi che non riconosci.
  • Email di reset password che non hai richiesto.
  • Cambiamenti non autorizzati nei dati del profilo o nelle impostazioni di sicurezza.
  • Messaggi inviati dai tuoi account che non hai mai scritto (tipico su social e email).
  • Addebiti sospetti su carte di credito o conti collegati.
  • Notifiche di servizi come Google o Apple che segnalano password compromesse.
  • Improvviso blocco dell'account per attività sospette rilevate dal provider.

I Migliori Strumenti Gratuiti per Verificare se una Password è Compromessa

Esistono diversi servizi affidabili che ti permettono di controllare in modo sicuro se le tue credenziali sono finite in qualche violazione nota. Tutti utilizzano tecniche di hashing che non espongono mai la tua password in chiaro.

1. Have I Been Pwned (HIBP)

Creato dal ricercatore di sicurezza Troy Hunt, è lo standard de facto per la verifica dei data breach. Contiene oltre 12 miliardi di account compromessi catalogati.

  • Come usarlo: vai su haveibeenpwned.com, inserisci la tua email e visualizza l'elenco delle violazioni in cui compari.
  • Sezione Passwords: ti consente di verificare una password specifica usando il modello k-anonymity, che invia solo i primi 5 caratteri dell'hash SHA-1.
  • Notifiche: puoi iscriverti per ricevere avvisi automatici quando la tua email appare in nuovi breach.

2. Google Password Checkup

Integrato in Chrome e nell'account Google, controlla automaticamente tutte le password salvate nel tuo browser confrontandole con database di credenziali compromesse.

Accedi tramite passwords.google.com e clicca su "Controllo password". Il sistema ti mostra password compromesse, riutilizzate o deboli.

3. Mozilla Firefox Monitor

Basato sui dati di HIBP, integrato direttamente in Firefox. Avvisa proattivamente se le credenziali salvate finiscono in nuove violazioni.

4. Apple Keychain (iCloud)

Su iOS e macOS, in Impostazioni > Password > Consigli di sicurezza, Apple ti mostra tutte le password compromesse, riutilizzate o facilmente indovinabili.

5. Gestori di Password con Monitoring

Strumenti come Bitwarden, 1Password, Dashlane e NordPass includono funzioni di monitoraggio continuo che ti avvisano in tempo reale.

Confronto degli Strumenti di Verifica

StrumentoTipoDatabaseCostoNotifiche Automatiche
Have I Been PwnedWeb12+ miliardi di recordGratuitoSì (email)
Google Password CheckupIntegratoProprietario GoogleGratuito
Firefox MonitorWeb/BrowserBasato su HIBPGratuito
Apple KeychainIntegrato iOS/macOSProprietario AppleGratuito
Bitwarden PremiumPassword ManagerMultipli$10/annoSì, dettagliate
1Password WatchtowerPassword ManagerHIBP + altriDa $2.99/meseSì, complete

Come Verificare una Password Passo Passo

Ecco una procedura concreta che puoi seguire oggi stesso per controllare la sicurezza delle tue credenziali.

  1. Apri Have I Been Pwned e inserisci ogni email che usi (personale, lavoro, secondarie).
  2. Annota i breach in cui la tua email appare e nota in quale anno sono avvenuti.
  3. Cambia immediatamente le password di tutti i servizi coinvolti, anche se la violazione risale a anni fa.
  4. Verifica le password singolarmente nella sezione "Pwned Passwords" di HIBP.
  5. Esegui il Controllo Password di Google e Apple Keychain per gli account salvati nei browser/dispositivi.
  6. Installa un gestore di password e importa tutte le credenziali per un monitoraggio continuo.
  7. Attiva le notifiche di breach futuri tramite email su HIBP o Firefox Monitor.

Cosa Fare Subito Dopo aver Scoperto una Password Compromessa

Se scopri che una credenziale è stata violata, il tempo è critico. Ecco le azioni prioritarie da compiere nelle prime 24 ore.

Azioni Immediate (entro 1 ora)

  • Cambia la password del servizio compromesso con una nuova, unica e complessa.
  • Modifica la stessa password su tutti gli altri account dove l'avevi riutilizzata.
  • Attiva l'autenticazione a due fattori (2FA), preferibilmente con app come Authy o Google Authenticator.
  • Disconnetti tutte le sessioni attive dall'account compromesso.

Azioni nelle 24 Ore Successive

  • Controlla la cronologia di accessi e attività dell'account.
  • Verifica eventuali email o regole di inoltro create da malintenzionati nella tua casella di posta.
  • Monitora estratti conto bancari e movimenti delle carte.
  • Se il breach coinvolge dati finanziari, contatta la tua banca e considera il blocco delle carte.
  • Segnala la violazione al Garante Privacy se sei un'azienda o se hai subito danni significativi.

Come Creare Password che Non Verranno Compromesse

Una volta riparato il danno, devi assicurarti che non si ripeta. Le password robuste seguono regole precise.

Caratteristiche di una Password Sicura

  • Lunghezza minima 16 caratteri: ogni carattere aggiuntivo aumenta esponenzialmente il tempo necessario per un attacco a forza bruta.
  • Combinazione di lettere maiuscole, minuscole, numeri e simboli.
  • Nessuna parola di dizionario o riferimento personale (nome, data di nascita, città).
  • Unica per ogni servizio: mai riutilizzare la stessa password.
  • Generata casualmente: i gestori di password creano stringhe inattaccabili.

La Tecnica della Passphrase

Una passphrase è una sequenza di 4-6 parole casuali non correlate, come "Tavolo-Giraffa-Pioggia-42-Vulcano". È facile da ricordare ma estremamente difficile da indovinare. Il metodo Diceware è uno dei più consigliati dagli esperti di sicurezza.

Best Practice di Sicurezza per il 2026

Verificare le password è solo l'inizio. Per una protezione completa, integra questi elementi nella tua routine digitale.

Strumenti Essenziali

  1. Gestore di password: indispensabile per creare e ricordare credenziali uniche per centinaia di servizi.
  2. 2FA ovunque possibile: priorità alle app authenticator rispetto agli SMS, vulnerabili al SIM swapping.
  3. Chiavi hardware (FIDO2): dispositivi come YubiKey offrono il massimo livello di protezione per account critici.
  4. Email alias: servizi come SimpleLogin o Apple Hide My Email creano indirizzi unici per ogni registrazione.
  5. DNS cifrato: configurare DNS-over-HTTPS (DoH) sul tuo dispositivo protegge la cronologia di navigazione.
  6. Aggiornamenti regolari: sistema operativo, browser e applicazioni sempre all'ultima versione.

Sicurezza nelle Comunicazioni e nei Link

Una parte significativa dei furti di credenziali avviene tramite link malevoli ricevuti via email o messaggi. Quando condividi link pubblicamente o tracci campagne marketing, usa servizi che offrano trasparenza e protezione. Su Lunyb trovi un sistema di accorciamento URL con statistiche di click integrate e controlli di sicurezza, utili sia per condividere link in modo professionale sia per monitorare attività sospette. Puoi leggere anche la nostra recensione completa di Lunyb per i dettagli, oppure consultare la guida su come tracciare i click sui link nel 2026.

Cultura della Sicurezza

  • Non condividere mai password via email, chat o telefono.
  • Diffida di richieste urgenti che ti spingono a cliccare link e inserire credenziali.
  • Verifica sempre l'URL del sito prima di accedere: i siti di phishing imitano i loghi ma il dominio è sempre diverso.
  • Forma le persone con cui lavori: in azienda, l'anello debole è quasi sempre umano.

Implicazioni GDPR e Tutele Legali in Italia

Il GDPR impone alle aziende che subiscono un data breach di notificare la violazione al Garante per la Protezione dei Dati Personali entro 72 ore (art. 33 GDPR) e di informare gli utenti coinvolti senza ritardo (art. 34). Se ricevi una notifica di violazione da un servizio che usi, hai diritto a:

  • Conoscere quali categorie di dati sono state esposte.
  • Sapere quali misure il titolare del trattamento ha adottato.
  • Presentare reclamo al Garante se ritieni che la gestione sia stata insufficiente.
  • Richiedere il risarcimento per danni materiali o morali, se dimostrabili.

Il sito del Garante (garanteprivacy.it) offre modulistica e indicazioni operative per segnalare violazioni che ti riguardano.

FAQ - Domande Frequenti

È sicuro inserire la mia password su Have I Been Pwned?

Sì. HIBP utilizza il modello k-anonymity: il browser calcola l'hash SHA-1 della password e invia solo i primi 5 caratteri al server. La password completa non lascia mai il tuo dispositivo. Puoi anche scaricare i database e fare verifiche offline.

Devo cambiare la password se compare in un breach vecchio di 10 anni?

Assolutamente sì. I database trapelati restano in circolazione per sempre e vengono usati continuamente per attacchi di credential stuffing. Se quella password (o sue varianti) è ancora attiva da qualche parte, sei a rischio.

I gestori di password sono davvero sicuri?

I gestori reputati (Bitwarden, 1Password, KeePass) utilizzano crittografia AES-256 con architettura zero-knowledge: nemmeno il fornitore può leggere le tue password. Il rischio principale è dimenticare la master password, quindi conservala in modo sicuro e attiva il recupero d'emergenza.

Quanto spesso devo cambiare le mie password?

Le linee guida moderne (NIST 2024) sconsigliano cambi periodici obbligatori. È preferibile cambiare una password solo se: (1) c'è stato un breach, (2) sospetti un accesso non autorizzato, (3) la password è debole o riutilizzata. Una password forte e unica può durare anni in sicurezza.

L'autenticazione a due fattori via SMS è sicura?

È meglio di niente, ma vulnerabile al SIM swapping, una tecnica con cui i criminali si fanno trasferire il tuo numero su una SIM controllata da loro. Preferisci sempre app authenticator (Authy, Google Authenticator) o chiavi hardware FIDO2 per gli account più critici come email principale, banca e gestore di password.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Come Tracciare i Click sui Link nel 2026: Guida Completa

Scopri come tracciare i click sui link nel 2026 in modo efficace e conforme al GDPR. Guida pratica su strumenti, metriche, parametri UTM e best practice per ottimizzare le tue campagne digitali e raccogliere dati di prima parte.

9 min

Come Bloccare i Tracker sul Tuo Telefono: Guida Completa 2026

Il tuo telefono raccoglie e condivide dati personali con decine di tracker ogni giorno. In questa guida pratica ti mostro come bloccarli su Android e iPhone usando DNS privati, impostazioni native e app gratuite, migliorando privacy, batteria e velocità.

9 min

Come Aggiungere UTM ai Tuoi Link Brevi: Guida Pratica 2026

I parametri UTM ti permettono di tracciare con precisione l'origine del traffico verso il tuo sito. Combinarli con link brevi mantiene gli URL puliti e professionali. In questa guida vedrai come aggiungere UTM ai tuoi link brevi passo passo, con esempi pratici e best practice per il 2026.

8 min

Come Condividere la Posizione con la Famiglia in Sicurezza: Guida 2026

Condividere la posizione con la famiglia è utile per sicurezza e coordinamento, ma va fatto nel rispetto della privacy. Scopri le app più sicure, come configurarle correttamente e quali errori evitare nel 2026.

9 min