Oggi è il World Password Day 2024, ma non c'è niente da festeggiare
Undici anni di informazione e sensibilizzazione sull'importanza di usare password robuste non sono serviti a niente: nel mondo la più usata resta ancora 123456
Come ogni primo giovedì del mese di maggio, dal 2013 in poi, oggi si festeggia il World Password Day, cioè la giornata mondiale delle password istituita nel 2013 da Intel per sensibilizzare il grande pubblico sulla necessità di usare buone password per proteggere i propri dati.
Purtroppo, però, non c’è molto da festeggiare perché, perché anche i report di quest’anno testimoniano che la sensibilizzazione degli anni precedenti è servita a poco o nulla, visto che le password più usate al mondo sono più o meno sempre le stesse e, bisogna ammetterlo, sono pessime.
Le 10 password più usate al mondo
Di classifiche sulle password più usate nel mondo, o nei singoli Paesi, ce ne sono diverse e sono quasi tutte uguali. In ogni caso si tratta di stime, per quanto affidabili, derivanti dall’analisi di grandissimi database di password rubate dagli hacker e poi messe in vendita sul Dark Web.
Una di queste classifiche è quella di NordPass, il password manager sviluppato da Nord Security (la stessa azienda della più famosa Nord VPN). Si tratta di una classifica disarmante, perché tutte le password possono essere scoperte con software automatizzati in meno di un secondo. Ecco le prime dieci:
- 123456
- admin
- 12345678
- 123456789
- 1234
- 12345
- password
- 123
- Aa123456
- 1234567890
E’ fin troppo chiaro che, con password di questo tipo, non si protegge una casella email, né un account social, né men che meno un conto corrente online. Sono tutte scontatissime e troppo facili da violare, sia perché sono tutti dei “grandi classici“, sia perché non rispettano le regole fondamentali di una buona password.
Le regole per una buona password
Le regole fondamentali, quando si parla di password, sono fondamentalmente tre: non usare mai la stessa password per più di un account, cambiare spesso le password e scegliere sempre password robuste.
Si possono definire “robuste” le password che contengono almeno 8-10 caratteri, tra i quali ci sono numeri, lettere maiuscole, lettere minuscole e caratteri speciali (come *, §, _ e simili).
Password manager: pro e contro
Si devono usare password diverse per servizi diversi perché, banalmente, se una password comune a più servizi viene violata o rubata, allora tutti i servizi dell’utente con quella password sono a rischio.
Per un hacker è abbastanza facile scoprire se una vittima ha account social, diverse caselle email e profili su altri servizi online, quindi è fondamentale non consegnargli, con una sola password, l’accesso a tutta la nostra vita digitale.
Per questo sono stati inventati i password manager, delle app che archiviano e ricordano al posto nostro tutte le password dei nostri account. In questo modo possiamo scegliere infinite password, tutte complicatissime, senza il rischio di scordarcele.
Di solito queste app hanno anche un generatore casuale di password e ci ricordano di cambiare le password quando diventano vecchie.
L’utente deve ricordarsi una sola password: quella del password manager. Questa è una grandissima comodità, ma anche un rischio altrettanto grande perché se i server del password manager vengono violati e vengono rubate le credenziali d’accesso ai profili degli utenti, in un colpo solo, si ottengono tutte le chiavi d’accesso ai suoi servizi online.
In passato è già successo, anche a password manager famosissimi e ritenuti inviolabili, come LastPass.
Il futuro: le passkey
In futuro, forse, non avremo bisogno di password: useremo le passkey. Con questo termine si intendono quei metodi di autenticazione basati su qualcosa di diverso da una combinazione di nome utente e password. L’esempio più facile da capire è quello dell’autenticazione biometrica degli smartphone.
Per sbloccare il nostro telefono, infatti, già da tempo non abbiamo più bisogno di inserire un codice numerico: usiamo l’impronta digitale o la scansione del volto.
Usiamo, cioè, una passkey basata sulla biometria, su qualcosa che abbiamo solo noi (impronta, o volto), che in teoria non ci possono rubare, che non dobbiamo ricordare né appuntare da qualche parte.
Sia su iPhone che su Android ormai da qualche mese moltissime app ci permettono di sostituire l’autenticazione con la password con quella tramite passkey. Il nostro consiglio è quello di farlo, su tutte le app che hanno integrato questa funzione.