In cosa differisce il credential stuffing dal brute force?

Un attacco brute force indovina le password da zero — provando combinazioni finché una funziona — quindi una password lunga e casuale lo sconfigge. Il credential stuffing non indovina; rigioca password già note come reali, raccolte da una violazione precedente. Ciò significa che persino una password forte è inutile contro lo stuffing se l'hai riutilizzata da qualche parte che ha subito una violazione. La difesa è diversa: il brute force si batte con la robustezza, lo stuffing con l'unicità.

Come fanno gli aggressori a eseguire il credential stuffing su larga scala?

Alimentano enormi „combo list“ di coppie e-mail/password trapelate in strumenti automatici e botnet che distribuiscono i tentativi di accesso su migliaia di indirizzi IP per eludere i limiti di frequenza e il rilevamento. I tassi di successo per lista sono bassi — spesso ben sotto l'1% — ma quando una lista ha milioni di coppie, anche una percentuale minima produce molti account dirottati. Le credenziali trapelate vengono acquistate, scambiate o diffuse pubblicamente dopo le violazioni.

Come mi proteggo dal credential stuffing?

Tre cose lo bloccano sul nascere. Primo, usa una password unica per ogni account, così che la fuga di una non sblocchi mai un'altra — un password manager le genera e le conserva. Secondo, attiva l'autenticazione a due fattori (un'app authenticator o una chiave hardware), così una password rubata da sola non basta per accedere. Terzo, controlla se i tuoi account compaiono in violazioni note e cambia subito tutte le password riutilizzate. Unicità più 2FA sconfigge lo stuffing anche quando la tua password trapela.

L'autenticazione a due fattori ferma il credential stuffing?

Ne ferma la stragrande maggioranza. Il credential stuffing si basa sul fatto che una password sia sufficiente per accedere; con la 2FA attiva, un aggressore che ha la tua password corretta non può comunque entrare senza il secondo fattore. La 2FA basata su app o chiave hardware è la più robusta; i codici SMS sono meglio di niente ma possono essere intercettati. Combinata con password uniche, la 2FA trasforma una credenziale trapelata da una presa di controllo dell'account in un innocuo vicolo cieco.

Cos'è il Credential Stuffing? Come funziona e come fermarlo (2026)

Q: Cos'è il credential stuffing?

Il credential stuffing è un attacco in cui i criminali prendono elenchi di nomi utente e password trapelati dalla violazione di un sito web e usano strumenti automatici per provare quelle stesse coppie su molti altri siti — banche, e-mail, shopping, social media. Funziona perché tantissime persone riutilizzano la stessa password su più account: un singolo accesso trapelato diventa una chiave universale per tutto il resto che la condivide. L'aggressore non indovina; rigioca credenziali reali su scala enorme.

Se riutilizzi una password e un singolo sito su cui l'hai usata subisce una violazione, ogni altro account che condivide quella password è improvvisamente a rischio — non per via di tentativi a indovinare, ma per il credential stuffing. È uno dei modi più comuni con cui nel 2026 gli account ordinari vengono dirottati, e funziona proprio perché il riutilizzo delle password è così diffuso. Questa guida spiega cos'è il credential stuffing, in cosa differisce dal brute force, come gli aggressori lo eseguono su larga scala e come bloccarlo.

Cos'è il credential stuffing

Il credential stuffing è un attacco che rigioca coppie nome utente/password già trapelate contro molti siti web. Quando un servizio subisce una violazione dei dati, gli accessi rubati vengono raccolti in „combo list“ e scambiati. Gli aggressori usano poi strumenti automatici per provare ogni coppia su decine di altri siti — e-mail, banche, shopping, streaming — scommettendo che la vittima abbia riutilizzato la stessa password.

L'intuizione chiave: l'aggressore non indovina. Sta testando credenziali reali che hanno già funzionato da qualche parte. La robustezza della tua password è irrilevante se l'hai riutilizzata su un sito che ha subito una violazione.

Credential stuffing vs brute force

Spesso si confondono i due, ma sono opposti nel metodo:

Il brute force indovina le password dal nulla, provando combinazioni finché una funziona. Una password lunga, casuale e unica lo sconfigge perché lo spazio di ricerca è astronomicamente grande.
Il credential stuffing non indovina affatto. Usa password già note come reali, raccolte dalle violazioni. Una password forte non offre alcuna protezione se è stata riutilizzata da qualche parte che è trapelata.

Ecco perché la singola difesa più importante contro lo stuffing non è la robustezza della password — è la sua unicità.

Come gli aggressori lo eseguono su larga scala

Lo stuffing è industrializzato. Gli aggressori caricano combo list con milioni di coppie trapelate in strumenti automatici, poi instradano i tentativi di accesso attraverso botnet estese su migliaia di indirizzi IP per schivare i limiti di frequenza e il rilevamento. I tassi di successo per lista sono minuscoli — spesso ben sotto l'1% — ma contro milioni di credenziali, persino una frazione significa migliaia di account compromessi. La materia prima proviene dal flusso costante di violazioni i cui dati finiscono per essere acquistati, scambiati o diffusi pubblicamente.

Come fermarlo

Tre livelli mettono fuori gioco il credential stuffing:

Una password unica per ogni account. Questa è la correzione fondamentale — la fuga di un sito non può mai sbloccarne un altro. Nessun essere umano può ricordare centinaia di password uniche, quindi lascia che un password manager le generi e le conservi.
Autenticazione a due fattori. Anche se una password trapela, la 2FA (un'app authenticator o una chiave hardware) fa sì che la password rubata da sola non possa effettuare l'accesso.
Consapevolezza delle violazioni. Controlla se i tuoi account compaiono in violazioni note e cambia subito tutte le password riutilizzate.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Una password unica per ogni account → NordPassCassaforte zero-knowledge · Genera una password unica per sito · Scanner di violazioni e supporto 2FA integrati→

Un corridoio di una sala server fiancheggiato da rack

Per gli elementi fondamentali, vedi come creare una password forte, perché i password manager sono sicuri per affidare loro tutte le password, e cosa fare se un account è già stato violato.

In sintesi

Il credential stuffing trasforma una password trapelata in molti account dirottati — e batte persino le password forti quando vengono riutilizzate. La soluzione è strutturale, non eroica: una password unica per ogni sito (tramite un manager) così che una singola violazione resti contenuta, più la 2FA così che una password trapelata da sola sia un vicolo cieco. Metti in atto questi due e il più comune attacco di presa di controllo degli account del 2026 semplicemente smette di funzionare su di te.

Guida editoriale basata su tecniche di credential stuffing documentate (combo list, tentativi di accesso distribuiti tramite botnet) e difese standard (credenziali uniche, 2FA, monitoraggio delle violazioni). Distinguiamo chiaramente lo stuffing dal brute force. I link commerciali riportano l'attributo rel="sponsored nofollow"; può essere applicata una commissione di affiliazione senza costi aggiuntivi per te.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→

Cos'è il Credential Stuffing? Come funziona e come fermarlo (2026)

Cos'è il credential stuffing

Credential stuffing vs brute force

Come gli aggressori lo eseguono su larga scala

Come fermarlo

In sintesi

Leggi dopo

Cos'è un attacco di forza bruta? Come funziona e come fermarlo (2026)

Cos'è una passkey? Come funzionano e perché battono le password (2026)

Cos'è un gestore di password? Come funziona e perché ne hai bisogno (2026)