La password è una componente estremamente importante per la propria sicurezza su internet: dati, dispositivi, account e addirittura il proprio conto in banca.
Tuttavia, vuoi per pigrizia, vuoi per ignoranza, un’enormità di persone continua a mettere parole scontatissime o al limite del ridicolo, spesso facilmente intuibili se la persona in questione la si conosce almeno un po’.
Queste persone si ostinano a farne di semplici: ma l’ostinazione in campo informatico non ha mai portato a nulla di buono.
Perché questo “astio” nei confronti di una buona password?
Gli utenti, ancora al giorno d’oggi, non sembrano convintissimi del fatto serva una buona password anche difficile da ricordare per essere meno scopribile: infatti “123456” è stata a lungo la più popolare nel corso degli anni precedenti e il 2022 non fa eccezione.
Dopo aver esaminato 56 milioni di password violate e trapelate nel 2022, il team di ricerca di Cybernews ha scoperto che la password “123456” è stata utilizzata in 111.417 casi.
È inquietante pensare che le password predefinite utilizzate dai lavoratori con privilegi di accesso al sistema (amministratore) rimangano ancora fin troppo facili da indovinare per un qualunque malintenzionato.
Gli esperti di Cybernews hanno rilevato 16.981 corrispondenze tra della password con i seguenti nomi: “admin”, con “root” e “guest” rispettivamente al primo, secondo e terzo posto per le prime 20 password generiche.
Il team del sito Cybernews ha utilizzato vari elenchi di parole per estrarre i dati di vari account (senza identificare le persone ai quali appartenevano) e li ha raggruppati secondo le seguenti categorie: password migliori per proteggersi, nomi di personaggi famosi, parolacce o imprecazioni, animali, città, paesi e continenti, squadre sportive (di calcio, basket, rugby, etc.), prodotti alimentari e infine nomi di stagioni, mesi e giorni.
Il team ha esaminato i database trovati sui forum di hacker darknet e clearnet (dove le password rubate sono “disponibili”) e altre fonti (profili, account, conti bancari etc.) che sono state violate quest’anno.
Perché è importante mettere buone password e non deboli?
La maggior parte delle password sono sottoposte ad hashing o, in parole povere, criptate in modo che non possano essere scovate facilmente.
Il problema sorge perché, a differenza della crittografia, l’hashing ottiene lo stesso risultato per la stessa parola (stringa), quindi, ad esempio, “formica”, un’altra popolare password evidenziata dal team di Cybernews.com, sarà quasi sempre sottoposta ad hashing nello stesso output dall’algoritmo stesso.
Questa debolezza consente ai criminali informatici di “familiarizzare” con i vari hash delle password comunemente utilizzate, consentendo loro di condurre attacchi di forza bruta (brute force, in gergo) in cui utilizzano efficacemente parole chiave plausibili per sbloccare sistemi non protetti adeguatamente.
Nel caso delle password predefinite scoperte dal team di ricerca, un truffatore con un minimo di astuzia non avrebbe nemmeno bisogno di impiegare tecniche di brute force: admin è la prima ipotesi abbastanza ovvia per capire la password di un amministratore di sistema.
Il fatto che gli utenti aziendali e di computer usati a scopo personale stiano ancora optando per combinazioni così semplicistiche significa che una miriade di avvisi di password deboli (hai presente quando ti dicono su un sito di mettere lettera maiuscola, numero e segno per la tua password? Ecco!) da parte di professionisti di sicurezza informatica continuano a non essere ascoltati da molta gente.
Ma per comprendere la profondità del problema, è necessario esaminare in modo più dettagliato gli errori comuni commessi dagli utenti.
Password scontate: è ancora un enorme problema nel 2022
Nella nostra top 10 abbiamo:
- 123456
- 12345
- password
- usr
- 123456789
- 1234
- 12345678
- qwerty
- 147258369
- 123
Gli utenti che inseriscono password continuano (nonostante gli avvisi di evitarlo) ad inserire parolacce e nomi di personaggi famosi: con 292.869 casi, la parola “ass” si è classificata al primo posto per volgarità, mentre il più signorile “king” (70.666 casi) è in cima alla lista per ben -personaggi noti, in un apparente riferimento alla recente incoronazione del re Carlo III di Gran Bretagna e Irlanda del Nord.
Altre password imprecanti popolari erano “fuck” (79.564) e “shit” (36.388).
Famosi giocatori di calcio figurano nella top 50 delle password relative alle celebrità, con “messi” (4.137) e “ronaldo” (4.749), mentre anche i personaggi dello spettacolo si sono rivelati popolari: “gaga” è apparso 5.842 volte e “eminem ” ha raccolto ben 3.948 corrispondenze.
Il cognome dell’ex presidente degli Stati Uniti Donald Trump è arrivato ultimo nella lista (al cinquantesimo posto, con 2.159 occorrenze), cognome politico superato solo da “kennedy” (2.240).
Non è una mera questione di nome (o nomi)
Il team di Cybernews.com evidenzia che una password complessa non deve contenere solo un nome o una parola non comuni, ma una varietà di caratteri e casi che ne aumentano la difficoltà di hackerare.
“Complessità equivale a entropia, ovvero quante informazioni sono memorizzate in una determinata password“, ha affermato Mantas Sasnauskas, leader del team di ricerca di Cybernews. “Più entropia significa che i dati sono più caotici e il caos è positivo: ecco perché è importante avere password generate casualmente, perché contengono molta entropia e sono più resistenti agli attacchi brute force“.
Ha successivamente aggiunto: “Con la maggior parte delle perdite che si verificano, c’è quasi sempre una password con hash coinvolta: è meno probabile che i malintenzionati siano in grado di rimuovere dall’hash una password complessa, vale a dire, con molta entropia, e quindi usarla per compromettere altri account.”
Pertanto, le scoperte del team di ricerca secondo cui solo l’1% delle password osservate soddisfa tutti i criteri consigliati (caratteri maiuscoli e minuscoli, numeri e simboli speciali come il simbolo $) sono notizie ancora più cupe per i professionisti della sicurezza informatica.
Allo stesso modo, solo il 4% delle password osservate da Cybernews.com utilizzava almeno 12 caratteri, numeri e simboli, come raccomandato dal settore di cybersecurity. Incredibilmente, il 15% ne ha usati solo quattro, anche se poco meno della metà (48%) è riuscita a raggiungere una lunghezza compresa tra gli otto e gli undici.
Ma qualsiasi tipo di lunghezza della password gioverà poco agli utenti in termini di sicurezza informatica se utilizzano solo caratteri minuscoli o lettere, il che è stato osservato nel 22% dei casi.
La combinazione più comune era un miscuglio di lettere minuscole e numeri, nota come combinazione alfanumerica (38%) – ancora una volta, non abbastanza vicino allo stato di complessità sostenuto da Sasnauskas per essere considerato al sicuro da attacchi brute force e altri attacchi atti a scovare le password.
Non è tutto
Delle password esaminate dal team di Cybernews, circa la metà (28 milioni) erano uniche, in questo caso costituite da un unico semplice nome o parola come “dell”.
5,5 milioni di queste password univoche o specifiche si sono scoperte più volte, suggerendo che esistono persone poco esperte, ad utenti altrettanto inesperti quali parole mettere.
Altre password popolari includevano i nomi di capitali come “lima” (17.466) e “roma” (17.407) e specie animali come “gatto” (122.392) e “ratto” (103.284).
Non è chiaro se questi siano stati scelti per un qualche significato personale per gli utenti o, ancora una volta, semplicemente per la loro semplicità; ad ogni modo, rappresentano cattive notizie per gli utenti.
Non è affatto raro che anche i grandi marchi vengano usati come parole d’ordine per gli account.
Come anche le professioni più comuni (cuoco, dottore, etc.)
Perché nel 2022 ancora molte persone non mettono la password nel modo corretto?
Per esperienza personale posso dire che (purtroppo) molte persone sono addirittura ignare della loro esistenza, per quanto possa sembrare assurdo, oltre a sottovalutare in modo enorme il problema.
Mi spiego: ti è mai capitato che un tuo amico o conoscente ti chieda di recuperare un account e puntualmente non ricorda la password? Bene: scommetto che hai sentito spesso qualche frase tipo “password? Io non la uso“.
Questo molto probabilmente perché l’account in questione non è stato fatto dall’utente, ma da un conoscente (o amico o parente), quindi senza una vera e propria interazione diretta con la piattaforma.
Se a ciò aggiungiamo anche la pigrizia e l’ignoranza nel non capire che la password non è qualcosa di opzionale, si può facilmente intuire come e dove sta la problematica.
