Login
Prova gratuita

Come prevenire gli attacchi di credential stuffing sul vostro sito web

captcha.eu

Gli attacchi di credential stuffing utilizzano password reali rubate da precedenti violazioni, non congetture. Questo li rende più veloci, più difficili da rilevare e più dannosi di quelli a forza bruta. Questa guida illustra le sei difese che li bloccano, cosa fare se un attacco è già in corso e quali endpoint proteggere per primi.

Tempo di lettura stimato: 16 minuti

Prova CAPTCHA.eu gratuitamente - senza carta di credito
Visualizza tutte le integrazioni

In sintesi

Cosa lo rende diverso

Gli aggressori utilizzano password reali e funzionanti provenienti da precedenti violazioni, non ipotesi casuali. I tentativi di accesso sembrano legittimi in superficie

Perché ha successo

Circa 85% degli utenti riutilizzano le password su più servizi. Anche un tasso di successo dello 0,1% su un miliardo di credenziali produce un milione di account compromessi.

La difesa singola più forte

MFA. Blocca l'acquisizione dell'account anche quando l'aggressore dispone della password corretta. I dati Microsoft dimostrano che blocca oltre 99% di attacchi automatici di compromissione dell'account.

Perché il CAPTCHA è adatto a questo scopo

Il Proof-of-work CAPTCHA blocca i bot prima che raggiungano la logica di login e aumenta il costo di ogni tentativo, indipendentemente dalla validità delle credenziali.

Cosa tratta questa guida

Come funziona il credential stuffing

Ogni grande violazione di dati produce un effetto collaterale: un elenco di nomi utente e password funzionanti finisce sul dark web. Gli aggressori acquistano questi elenchi a basso costo, a volte per pochi dollari per milione di record, e poi li testano automaticamente contro altri servizi. La logica è semplice: se qualcuno ha usato lo stesso indirizzo e-mail e la stessa password per un sito di vendita al dettaglio violato e per il proprio conto bancario, l'aggressore ha ora accesso a entrambi.

Una tipica campagna di credential stuffing si svolge in questo modo:

  1. Acquisizione di credenziali. Gli aggressori acquistano o scaricano i database delle violazioni dai mercati del dark web. Gli elenchi contenenti miliardi di coppie nome utente-password sono ampiamente disponibili e a buon mercato.
  2. Preparare l'elenco. Gli strumenti arricchiscono i dati grezzi, li deduplicano e li formattano per i test automatici su più siti di destinazione.
  3. Lancio di tentativi di accesso distribuiti. I bot inviano richieste di accesso a migliaia di indirizzi IP contemporaneamente, utilizzando firme di browser reali per confondersi con il traffico normale. Ogni IP invia solo una manciata di richieste, rimanendo al di sotto delle soglie di limitazione della velocità.
  4. Raccogliere i successi in modo silenzioso. Quando un accesso riesce, il bot lo registra. A quel punto, l'aggressore vende le credenziali di lavoro, si appropria dell'account, prosciuga il valore immagazzinato o lo utilizza come punto di appoggio per ulteriori attacchi.

Il dettaglio fondamentale è che l'aggressore non ha mai bisogno di indovinare. Sta riproducendo password che hanno già funzionato altrove. Questo cambia l'aspetto dell'attacco e il modo di rilevarlo.

Credential stuffing vs. brute force: qual è la differenza?

Entrambi gli attacchi hanno come obiettivo i moduli di login ed entrambi utilizzano l'automazione. A parte questo, si tratta di problemi molto diversi che richiedono difese diverse.

Il modo più semplice per capire la differenza

Pensate alla forza bruta come a un fabbro che prova tutte le possibili combinazioni di chiavi sulla vostra serratura. Richiede tempo, fa rumore ed è evidente quando avviene. Il Credential stuffing è una persona che ha trovato la vostra chiave in una scatola degli oggetti smarriti e la sta provando in silenzio sulla vostra porta. La chiave sembra vera perché lo è. L'unico dubbio è se avete cambiato la serratura dopo la violazione originale.

ASPETTO
RIEMPIMENTO DI CREDENZIALI
FORZA BRUTTA
Fonte della password
Vere password rubate da precedenti violazioni
Congetture generate: combinazioni casuali, dizionari
Tasso di successo
Basso per tentativo (~0,1%), ma enorme in scala
Molto basso; dipende fortemente dalla forza della password
Velocità
Molto veloce; distribuito su migliaia di IP
Più lento; attiva rapidamente i blocchi e i limiti di velocità
Difficoltà di rilevamento
Difficile: le richieste appaiono come normali login utente
Più facile: molti tentativi falliti su un solo account si fanno notare
La politica delle password aiuta?
No: l'attaccante ha già una password funzionante.
Sì: password più lunghe e complesse rallentano l'attacco
Difesa primaria
MFA, CAPTCHA, screening delle password violate
Blocco dell'account, limitazione della tariffa, CAPTCHA, MFA

La riga più importante è la penultima. I criteri per le password forti proteggono bene dalla forza bruta perché rendono più difficile l'indovinare. Contro il credential stuffing, non offrono quasi nessuna protezione, perché l'attaccante non sta indovinando. Ha già la password. Ecco perché i due attacchi richiedono una riflessione diversa, anche se condividono alcune difese comuni.

Per un approfondimento specifico sulla forza bruta, consultate la nostra guida su come prevenire gli attacchi brute force.

Perché il credential stuffing è così difficile da individuare

Questa è la sfida principale. Quando un attacco di forza bruta viene eseguito, lascia tracce evidenti: decine o centinaia di tentativi di accesso falliti contro lo stesso account dallo stesso indirizzo IP. I registri si accendono. Gli strumenti di monitoraggio lanciano avvisi.

Il Credential stuffing non lascia quasi nessuna traccia. L'aggressore distribuisce le richieste su migliaia di indirizzi IP diversi. Ogni IP invia solo una o due richieste. Le credenziali sono corrette, quindi molti tentativi riescono immediatamente. Non ci sono fallimenti ripetuti sullo stesso account. Il traffico appare esattamente come quello di normali utenti che si collegano da luoghi diversi.

Il risultato è che molti attacchi di credential stuffing non vengono rilevati per mesi. Nel caso di 23andMe, gli aggressori hanno trascorso cinque mesi all'interno della piattaforma prima che l'azienda scoprisse l'accaduto. Lo hanno scoperto solo perché i dati rubati sono stati messi in vendita su un forum di hacker, non perché il monitoraggio interno ha rilevato qualcosa.

Il costo nascosto degli attacchi riusciti

Secondo il Cost of a Data Breach Report 2025 di IBM, le violazioni costano in media $4,44 milioni a livello globale e richiedono in media 241 giorni per essere identificate e arginate. Il danno finanziario comprende la riparazione delle frodi, la notifica ai clienti, le multe e il danno alla reputazione, oltre alle perdite dirette dovute agli account compromessi.

Un esempio reale: 23andMe

Nell'ottobre 2023, l'azienda di test genetici 23andMe ha reso noto un attacco di credential stuffing che ha esposto i dati personali di circa 6,9 milioni di utenti. L'entità della violazione ne fa uno dei casi di studio più chiari di come l'infiltrazione di credenziali possa aggravarsi ben oltre la compromissione iniziale.

Studio di caso: 23andMe (2023)

Gli aggressori hanno ottenuto elenchi di credenziali da precedenti violazioni di dati non correlate e li hanno utilizzati per accedere agli account 23andMe i cui proprietari avevano riutilizzato le password. Questo metodo ha compromesso direttamente circa 14.000 account. Tuttavia, la funzione “DNA Relatives” di 23andMe, che consente agli utenti di condividere i dati genetici di ascendenza con i profili collegati, ha amplificato notevolmente la violazione. Accedendo a 14.000 account, l'aggressore è riuscito a carpire i dati connessi da altri 5,5 milioni di profili e i dati dell'albero genealogico da altri 1,4 milioni. Nessuno di questi utenti aggiuntivi ha avuto i propri account direttamente compromessi. I loro dati sono stati esposti semplicemente perché un utente connesso ha riutilizzato una password.

Il divario di cinque mesi nel rilevamento (l'attacco è durato da aprile a settembre 2023 ed è stato scoperto solo quando i dati rubati sono apparsi su BreachForums) mette in evidenza la mancanza di monitoraggio che permette al credential stuffing di agire silenziosamente. 23andMe ha successivamente imposto la reimpostazione delle password e ha introdotto la verifica in due passaggi. L'azienda ha dovuto affrontare una class action da $30 milioni di euro e ha presentato istanza di fallimento ai sensi del Capitolo 11 nel marzo 2025. Le autorità di regolamentazione del Regno Unito e del Canada hanno riscontrato l'assenza di controlli di monitoraggio adeguati.

La violazione di 23andMe illustra tre lezioni che si applicano a quasi tutti i siti web con account utente. In primo luogo, le password dei vostri utenti provenienti da altri siti mettono a rischio la vostra piattaforma, anche se non siete mai stati violati. In secondo luogo, le funzioni della piattaforma che collegano gli account possono moltiplicare l'impatto di un singolo login compromesso. In terzo luogo, se non monitorate i segnali giusti, non saprete che un attacco è in corso finché non ve lo dirà qualcun altro.

Sei difese che funzionano

  • Autenticazione a più fattori

    L'MFA è la difesa più efficace contro il credential stuffing. Il motivo è strutturale: anche se un aggressore possiede il nome utente e la password corretti, l'MFA richiede una seconda fase di verifica (un codice a tempo, una notifica push o una chiave hardware) che l'aggressore non possiede. L'analisi di Microsoft sugli incidenti di compromissione degli account ha rilevato che l'MFA avrebbe fermato oltre 99% di questi. Questa cifra si applica direttamente al credential stuffing, perché l'intero modello di attacco dipende dal fatto che una password rubata è sufficiente per accedere. Per i gestori di siti web, la priorità è semplice: rendere l'MFA obbligatorio per gli account di amministratore e per quelli ad alto privilegio, e offrirlo a tutti gli utenti. Se non è possibile applicare l'MFA a tutti gli utenti, è bene utilizzarlo per le azioni ad alto rischio: modifica dei dettagli dell'account, flussi di pagamento e reimpostazione della password. Le passkey e le app di autenticazione FIDO2 sono ora ampiamente supportate e riducono l'attrito che storicamente ha reso l'MFA impopolare tra gli utenti.

L'MFA da solo non ferma il traffico d'attacco

L'MFA impedisce l'acquisizione di account, ma non impedisce ai bot di inviare tentativi di accesso. Migliaia di tentativi bloccati dall'MFA colpiscono comunque il vostro server, consumano risorse e generano rumore nei vostri log. Ecco perché l'MFA funziona meglio se combinato con i livelli sottostanti.

  • Proof-of-work CAPTCHA sui flussi di login e autenticazione

    CAPTCHA agisce in un punto diverso della catena di attacco rispetto all'MFA. Invece di bloccare l'acquisizione dell'account dopo un accesso riuscito, CAPTCHA aumenta il costo di ogni tentativo di accesso prima che raggiunga la logica di autenticazione. Ciò è molto importante per il credential stuffing, in cui gli aggressori si affidano all'invio di milioni di richieste in modo economico e automatico. Il tipo di CAPTCHA è importante in questo caso. Strumenti di risoluzione basati sull'intelligenza artificiale e servizi di risoluzione umana”. I CAPTCHA visivi tradizionali (griglie di immagini, caselle di controllo “Non sono un robot”) sono sempre più spesso aggirati da strumenti di risoluzione basati sull'intelligenza artificiale e da servizi di risoluzione umana. Contro un aggressore dotato di risorse che esegue una vasta campagna di credential stuffing, un CAPTCHA visivo offre meno protezione di quanto sembri. Il CAPTCHA Proof-of-work è strutturalmente diverso. Invece di presentare un rompicapo visivo, richiede al browser di completare un piccolo calcolo crittografico prima che la richiesta di accesso possa procedere. Per un utente reale, questo avviene in modo invisibile in background. Per un bot che invia migliaia di tentativi di accesso al minuto, ogni singolo tentativo richiede ora un lavoro di calcolo, aumentando il costo indipendentemente dalla capacità dell'attaccante di risolvere le immagini. L'OWASP Credential Stuffing Prevention Cheat Sheet identifica il CAPTCHA come uno dei controlli chiave per rallentare gli attacchi di credential stuffing, sottolineando in particolare il suo ruolo nell'aumentare il costo e il tempo dei tentativi di login automatizzati.

CAPTCHA.eu blocca i bot prima che raggiungano la vostra logica di login

Verifica invisibile della proof-of-work a ogni tentativo di accesso. Nessun puzzle di immagini. Nessun cookie. Tutti i dati vengono elaborati in Austria secondo le leggi dell'UE. Certificato WACA Silver dal TÜV Austria rispetto alle WCAG 2.2 AA.

Iniziare la prova gratuita
Scopri come funziona l'abuso di login

  • Screening delle password violate

    Questa difesa è poco utilizzata e molto efficace. Quando un utente crea un account o modifica la propria password, il sistema controlla la nuova password con un database di credenziali note per essere state esposte in precedenti violazioni di dati. Se trova una corrispondenza, rifiuta la password e chiede all'utente di sceglierne una diversa. L'indagine sul credential stuffing condotta dal Procuratore Generale dello Stato di New York ha identificato lo screening delle password violate come uno dei controlli più efficaci a disposizione degli operatori, in particolare perché impedisce agli utenti di creare account con password che sono già in circolazione nei database dei malintenzionati. Il servizio Have I Been Pwned offre un'API gratuita proprio a questo scopo, consentendo di verificare le password rispetto a miliardi di credenziali violate note senza trasmettere la password effettiva. Questo controllo non blocca un attacco già in corso, ma riduce significativamente la vostra esposizione nel tempo, eliminando gli account più vulnerabili prima che gli aggressori li raggiungano.

  • Limitazione della velocità e rilevamento delle anomalie

    Il rate limiting standard basato sull'IP (blocco di un IP dopo un determinato numero di tentativi di accesso falliti) è meno efficace contro il credential stuffing che contro la forza bruta, perché ogni IP in una campagna di stuffing effettua in genere solo una o due richieste. Tuttavia, il rate limiting ha ancora un ruolo importante se applicato in modo ponderato. L'approccio più efficace combina soglie per account e rilevamento globale delle anomalie. Le soglie per account segnalano quando lo stesso account riceve tentativi di accesso da molti IP diversi in una breve finestra. Il rilevamento delle anomalie globali segnala quando l'endpoint di accesso riceve improvvisamente un traffico significativamente superiore a quello di base, anche se nessun singolo account o IP si comporta in modo sospetto. Insieme, questi schemi catturano le campagne distribuite che eludono la semplice limitazione del tasso di IP. Altri segnali che vale la pena monitorare: tentativi di accesso provenienti da intervalli IP noti di proxy o provider di hosting, accessi da posizioni geografiche insolite per gli account esistenti e accessi riusciti immediatamente seguiti da modifiche dei dettagli dell'account. L'OWASP Credential Stuffing Cheat Sheet raccomanda di combinare più segnali piuttosto che affidarsi a una singola soglia.

  • Messaggi di errore coerenti in caso di mancato accesso

    Si tratta di un piccolo dettaglio che ha più importanza di quanto sembri. Se la pagina di login restituisce messaggi diversi per “password errata” rispetto a “account inesistente”, gli aggressori possono usare queste differenze per convalidare quali nomi utente nel loro elenco sono account reali. Una semplice modifica: restituite sempre lo stesso messaggio generico, indipendentemente dal fatto che il nome utente esista o che la password sia sbagliata. “L'indirizzo e-mail o la password non sono corretti” non rivela nulla. “Non siamo riusciti a trovare un account con quell'indirizzo e-mail” è un regalo per un aggressore che sta costruendo un elenco di nomi utente convalidati. La stessa logica si applica ai flussi di reimpostazione della password. Restituire risposte diverse per indirizzi e-mail validi o non validi consente agli aggressori di censire la vostra base di utenti senza alcuna credenziale di accesso.

  • Notifica e monitoraggio degli utenti

    Anche con tutti questi accorgimenti, alcuni attacchi avranno successo. Il rilevamento rapido limita i danni. I segnali di monitoraggio più efficaci per il credential stuffing sono diversi da quelli per il brute force. Cercate: un aumento generale del volume degli accessi senza un corrispondente aumento degli accessi riusciti, accessi riusciti da località geografiche o dispositivi sconosciuti per account consolidati, modifiche dei dettagli dell'account (indirizzo e-mail, password, indirizzo di spedizione) poco dopo l'accesso e tassi elevati di richiesta di reimpostazione della password. Notificare immediatamente agli utenti l'accesso al loro account da un nuovo dispositivo o luogo. Offrite agli utenti la visibilità della loro cronologia di accesso recente. Se possono vedere che qualcuno in un altro Paese ha effettuato l'accesso alle 3 del mattino, possono intervenire prima che l'aggressore produca danni duraturi. In questo modo, inoltre, si sposta parte dell'onere del rilevamento dal team di sicurezza agli utenti, con una scalabilità migliore rispetto al solo monitoraggio centralizzato.

Da dove iniziare: quali endpoint proteggere per primi

Applicate queste difese prima ai flussi a più alto rischio. I moduli di login sono l'obiettivo principale, perché un login con credenziali di accesso riuscito dà immediatamente all'attaccante l'accesso completo all'account. Dopo il login, date la priorità ai flussi di reimpostazione della password, dove risposte diverse per indirizzi e-mail validi o non validi consentono agli aggressori di enumerare gli account reali senza bisogno di credenziali. Poi gli endpoint di autenticazione API, che spesso non hanno le stesse protezioni applicate ai moduli di login web. Infine, i moduli di registrazione, dove l'inserimento di credenziali può creare account falsi o clonati. Proteggendo in quest'ordine, si copre la maggior parte della superficie di attacco del credential stuffing.

Se un attacco è già in corso: passi immediati

Il rilevamento di un attacco di credential stuffing in corso richiede segnali diversi da quelli che ci si potrebbe aspettare. Poiché le singole richieste sembrano normali, i segnali più chiari sono gli schemi a livello di volume: un picco improvviso nel traffico di login, un rapporto insolito tra login riusciti e falliti, o la creazione di nuovi account con schemi che suggeriscono l'automazione (nomi utente sequenziali, firme del browser identiche, registrazioni in massa in una breve finestra).

Se si identifica un attacco attivo, questa sequenza limita il danno:

  • Abilitare o restringere immediatamente il CAPTCHA.

    Anche l'implementazione di CAPTCHA proof-of-work a metà attacco aumenta il costo per i bot che continuano a inviare tentativi e può rallentare o interrompere la campagna in pochi minuti.

  • Applicare il geoblocking temporaneo o il blocco proxy sull'endpoint di accesso.

    Il traffico di credential stuffing passa spesso attraverso gamme di provider di hosting e proxy aperti. Cloudflare e servizi simili pubblicano elenchi di IP per questi. Bloccarli è imperfetto ma fa guadagnare tempo.

  • Forzare l'MFA o la riautenticazione degli account che mostrano attività anomale.

    Qualsiasi account che abbia ricevuto un accesso riuscito da un luogo o da un dispositivo insolito deve essere messo in discussione prima che la sessione continui.

  • Reimpostare le password per gli account che mostrano accessi sospetti.

    Informate gli utenti interessati con istruzioni chiare. Siate specifici: spiegate che le loro credenziali potrebbero essere state esposte in una precedente violazione altrove e che non dovrebbero usare la stessa password su altri servizi.

  • Verificare la presenza di attività a valle nei conti compromessi.

    Le modifiche ai dettagli dell'account, le aggiunte di metodi di pagamento, le riscossioni di valori memorizzati e le esportazioni di dati sono le azioni che un aggressore compie dopo essere entrato. Esaminatele nella finestra che circonda l'attacco.

  • Conservare i log per l'intera finestra di attacco.

    Ai sensi del GDPR e del NIS2, potreste avere l'obbligo di notifica in caso di accesso ai dati personali. I registri grezzi sono alla base di qualsiasi risposta agli incidenti o archiviazione normativa.

Aggiungi CAPTCHA.eu al tuo flusso di login in pochi minuti

WordPress, TYPO3, Keycloak, Magento e stack personalizzati. Ospitato in Austria, senza cooki, senza puzzle per gli utenti reali. 100 richieste gratuite per iniziare.

Iniziare la prova gratuita
Vedi tutte le integrazioni

La dimensione UE: perché il credential stuffing è un problema del GDPR

Per gli operatori di siti web europei, un attacco di credential stuffing riuscito non è solo un incidente di sicurezza. Ai sensi del GDPR, l'accesso non autorizzato ai dati personali contenuti negli account degli utenti costituisce una violazione dei dati personali e comporta l'obbligo di notifica all'autorità di vigilanza entro 72 ore, nonché la potenziale notifica agli utenti interessati. Il caso di 23andMe ha dato luogo a indagini normative da parte dell'Information Commissioner's Office del Regno Unito e dell'Office of the Privacy Commissioner del Canada, in parte perché il mancato rilevamento ha impedito una notifica tempestiva della violazione.

Questo ha un'implicazione diretta sul modo in cui si pensa alle difese contro il credential stuffing. L'impiego di CAPTCHA e MFA non è solo una decisione di sicurezza. Fa anche parte dell'obbligo previsto dall'articolo 32 del GDPR di implementare “misure tecniche adeguate” per proteggere i dati personali. Se non lo fate e subite una violazione, vi troverete in una posizione difficile durante la revisione normativa.

La scelta del CAPTCHA ha anche implicazioni di conformità. I servizi CAPTCHA tradizionali di solito impostano cookie di tracciamento sulle pagine di login, il che fa scattare i requisiti di consenso ePrivacy e aggiunge complessità alla configurazione della gestione del consenso. CAPTCHA.eu opera senza cookie per architettura, eliminando completamente la questione della conformità per gli operatori che desiderano la protezione dei bot senza l'onere del consenso nei flussi di autenticazione.

Domande frequenti

Che cos'è il credential stuffing in termini semplici?

Il Credential stuffing si verifica quando gli aggressori prendono nomi utente e password rubati da un sito web e li provano automaticamente su altri siti. Funziona perché molte persone riutilizzano la stessa password su più servizi. L'aggressore non indovina. Utilizza credenziali reali che hanno già funzionato altrove.

In che modo il credential stuffing è diverso da un attacco brute force?

Gli attacchi a forza bruta indovinano le password per tentativi ed errori, provando combinazioni finché non ne funziona una. Il Credential stuffing utilizza password note e funzionanti provenienti da violazioni precedenti. La forza bruta è facile da individuare perché genera molti tentativi di accesso falliti. Il Credential stuffing è molto più difficile da individuare perché le credenziali sono corrette e il traffico sembra quello di utenti legittimi che effettuano il login.

Il CAPTCHA impedisce il riempimento delle credenziali?

Sì, ma il tipo è importante. I CAPTCHA tradizionali basati su immagini sono sempre più spesso aggirati da strumenti di risoluzione basati sull'intelligenza artificiale. Il CAPTCHA Proof-of-work è più efficace perché richiede un calcolo crittografico per ogni tentativo di accesso, aumentando il costo di una campagna di stuffing su larga scala, indipendentemente dalla capacità di riconoscimento delle immagini dell'attaccante. Il CAPTCHA funziona meglio come uno dei vari livelli, combinato con l'MFA e il rilevamento delle anomalie.

Qual è la difesa più efficace contro il credential stuffing?

L'MFA è il controllo più efficace perché impedisce l'acquisizione dell'account anche quando l'aggressore è in possesso della password corretta. Oltre all'MFA, la combinazione più efficace è costituita da: CAPTCHA proof-of-work sugli endpoint di accesso, screening delle password violate al momento della registrazione e della modifica della password e monitoraggio delle anomalie per individuare modelli di accesso insoliti. Nessun livello è sufficiente da solo.

Come faccio a sapere se il mio sito web è oggetto di un attacco di credential stuffing?

A differenza del brute force, il credential stuffing non genera evidenti picchi di login falliti su singoli account. I segnali più chiari sono: un aumento generale del volume degli accessi senza un corrispondente aumento dell'attività delle pagine, accessi riusciti da luoghi o dispositivi insoliti per gli account consolidati, modifiche dei dettagli dell'account poco dopo l'accesso e tassi elevati di richiesta di reimpostazione della password. Le moderne dashboard CAPTCHA forniscono dati sul volume di verifica che possono far emergere tempestivamente modelli di traffico insoliti.

Il credential stuffing è un problema GDPR per i siti web europei?

Sì. Se un attacco di credential stuffing provoca l'accesso non autorizzato ai dati dell'account utente, si tratta di una violazione dei dati personali ai sensi del GDPR. Ciò comporta l'obbligo di notifica di 72 ore all'autorità di vigilanza e potenzialmente agli utenti interessati. L'implementazione di controlli tecnici adeguati, tra cui CAPTCHA e MFA, rientra nell'obbligo previsto dall'articolo 32 del GDPR di proteggere i dati personali con misure tecniche adeguate.

Una politica di password forti impedisce il riempimento delle credenziali?

No. La politica delle password protegge dalla forza bruta rendendo più difficile l'indovinare. Contro il credential stuffing, non fornisce quasi nessuna protezione. L'attaccante ha già una password funzionante. Ciò che aiuta è lo screening delle password violate (impedendo agli utenti di impostare password che sono già state esposte in precedenti violazioni) e l'MFA (rendendo una password corretta insufficiente da sola).

A quali flussi devo dare priorità per la protezione da credential stuffing?

I moduli di accesso sono l'obiettivo principale. Ma proteggete anche: i flussi di reimpostazione della password (dove risposte diverse per e-mail valide e non valide consentono agli aggressori di convalidare i nomi utente), i moduli di registrazione (dove si applica la stessa logica) e gli endpoint di autenticazione API (che spesso non hanno le stesse protezioni applicate ai moduli di login web). Date la priorità a quest'ordine.

Lettura correlata

Fonti primarie

Scheda informativa OWASP sulla prevenzione del Credential StuffingRaccomandazioni per la difesa a più livelli e linee guida per il rilevamento
Procuratore generale dello Stato di New York: Guida alle aziende per gli attacchi di credential stuffingRisultati delle indagini normative e raccomandazioni di controllo
Microsoft Security Blog: L'MFA blocca oltre il 99,9% degli attacchi di compromissione dell'account
Have I Been Pwned: Password Pwned API: strumento gratuito raccomandato per lo screening delle password violate al momento della registrazione e della modifica della password.
Rapporto IBM sul costo di una violazione dei dati nel 2025: $4,44M di costo medio globale della violazione, 241 giorni di tempo medio per l'identificazione e il contenimento.
Rapporto Verizon sulle indagini sulle violazioni dei dati nel 2025credenziali rubate coinvolte in circa un terzo di tutti gli incidenti di violazione; 88% delle violazioni nell'ambito di modelli di hacking hanno comportato l'uso di credenziali rubate
23andMe Modulo 8-K/A Deposito SEC, dicembre 2023: fonte primaria che conferma 14.000 account compromessi tramite credential stuffing, 6,9 milioni di utenti colpiti tramite la funzione DNA Relatives

messaggi recenti

it_ITItalian
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian