Ogni 142 password c’è ancora “123456”

Secondo uno studio tre oggetti sono considerati essenziali nella vita moderna:
le chiavi, i soldi e il telefono cellulare.

Analizzare i data leaks delle credenziali può essere interessante per capire le abitudini degli utenti relativamente alla scelta delle password.

FlameOfIgnis, al secolo Ata Hakçıl, ha realizzato una analisi su oltre un miliardo di credenziali recuperate in rete, ottenendo risultati interessanti che ha pubblicato nel suo repo su GitHub.

Riassumiamo velocemente cosa ha scoperto dalle 168919919 password e 393386953 nomi utente (dopo la pulizia degli archivi):

  • La password più comune è (ancora) 123456. Si trova nello 0.722% di tutte le password analizzate (all’incirca 7 milioni di volte su un miliardo);
  • Le 1000 password più comuni coprono il 6.607% di tutte le passwords;
  • Con il milione di password più comuni, il tasso di scoperta (“hit-rate“) è del 36.28%; con le 10 milioni di password più comuni, sale al 54.00%;
  • La lunghezza media della password è di 9,4822 caratteri;
  • 12.04% delle password contiene caratteri speciali;
  • 28.79% delle password sono solo lettere;
  • 26.16% sono solo lettere minuscole;
  • 13.37% composte di soli numeri;
  • 34.41% di tutte le password finisce con un numero, ma solo il 4.522% inizia con una cifra;

Una precisazione: quando si parla di “tasso di scoperta” (“hit-rate”) si intende la probabilità che un attacco a forza bruta vada a buon fine nel caso sia stata usata una delle password più comuni. Per questo è necessario non solo usare una password difficile da indovinare ma anche non così frequentemente usata, neppure nelle sue varianti (3 al posto della “e” etc etc…).

Potete anche scoprire con quale frequenza la password da voi scelta è utilizzata, ad esempio attraverso la ricerca nelle “572,611,621 real world passwords previously exposed in data breaches” disponibile al sito haveibeenpwned.com/Passwords (non vi sto consigliando di digitare la vostra vera password).

La sempre maggiore frequenza dei data leaks relativi alle credenziali di autenticazione ha evidenziato ancora di più l’importanza di usare una password diversa per ogni account creato: analogamente alle serrature che abbiamo per accedere ai vari locali, dobbiamo avere l’accortezza di scegliere una chiave diversa per ogni “porta” virtuale alla quale accediamo. Immaginate se, con una unica chiave, potessimo aprire la casa, l’automobile e il portone dell’ufficio: cosa succederebbe nel caso perdessimo quella unica chiave? Quante serrature dovremmo, per sicurezza, cambiare? Invece, usando una chiave diversa per ogni serratura, nella peggiore situazione dovremmo cambiarne una sola.

Come inoltre accaduto anche di recente, usare password “particolari” potrebbe rivelare alcune nostre preferenze ed esporci al pubblico ludibrio. Non è passato molto tempo da quando la password di un utente privilegiato in un Ente pubblico era “l0vetheB0nd4ge!“: sicura e con maiuscole e minuscole, numeri e segni di punteggiatura. Peccato rivelasse una certa predisposizione del suo proprietario. O forse no, ovviamente. Ma trovarsi questa password esposta al pubblico non deve essere stato divertente.

Anche la conservazione delle password in formato hash (cifrato) potrebbe non essere sufficiente, soprattutto quando la password è “123456“, il cui hash è 7c4a8d09ca3762af61e59520943dc26494f8941b (banalmente, basta cercare questo hash su Google). L’uso del salt può aiutare, in questi casi. Anche in zucca.

(Visitato in totale 19 volte, oggi 1 visite)

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.