password 123456 sicurezza informatica Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Quali sono le password più pericolose da utilizzare

La password da non usare mai è "123456": troppo debole e facile da hackerare, come rivela lo studio su oltre 1 miliardo di credenziali violate

- Ultimo aggiornamento

La password più utilizzata e più facile da hackerare? È “123456”, almeno negli ultimi 5 anni. Il risultato emerge dallo studio condotto su oltre 1 miliardo di credenziali rubate dai siti aziendali. La password 123456 si ripete ogni 142 volte, quindi è stata utilizzata almeno 7 milioni di volte dagli utenti.

Se quindi vi riconoscete in questa password, è il caso di cambiarla il prima possibile. Per mantenere sicuri gli accessi ai propri account, il consiglio è quello di sceglierne una che sia difficile da individuare. Soprattutto se gli accessi, come nel caso del dump di dati analizzato, riguardano i propri account aziendali e dei propri colleghi o dipendenti, la cui privacy è a rischio. L’ideale è scegliere password lunghe, che contengano lettere, numeri e caratteri speciali, meglio ancora se non sequenziali.

Password, la più comune da non usare mai

Lo studio pubblicato su GitHub è stato condotto da Ata Hakçıl, uno studente turco di ingegneria informatica dell’università di Cipro. Il ricercatore ha analizzato il vasto campione per capire quali fossero le password più deboli o più comuni, quindi anche più facili da violare per un hacker. Il campione è costituito da combinazioni di password e username che sono stati raccolti dagli hacker dopo la violazione dei siti aziendali. Si tratta di dump di dati che sono stati online per oltre 5 anni e che si sono accumulati via via che altre aziende venivano hackerate.

La scoperta più sorprendente è che per oltre 393 milioni di diversi username, si trovano nel campione poco meno di 169 milioni di password. Un dato che implica un alto tasso di ripetizione e quindi l’utilizzo frequente di password che sono fin troppo comuni. In particolare, ce n’è una che da sola si ripete 7 milioni di volte nel campione e si tratta della semplice e debole stringa di numeri sequenziali “123456”.

Un altro risultato evidenziato dallo studio è che la lunghezza media delle password si aggira su 9.48 caratteri. Una lunghezza che non può essere considerata buona, dato che gli esperti di sicurezza consigliano di mantenere lunghezze di almeno 16 caratteri, ma nemmeno pessima se confrontata con quella più comune, che di caratteri ne ha appena 6.

Un altro problema molto comune è la mancanza di complessità: solo il 12% delle password analizzate contiene un carattere speciale. Nel 29% dei casi gli utenti scelgono password di sole lettere, mentre nel 13% dei casi sono fatte di soli numeri. Il 26% delle password nel campione, poi, contiene solo caratteri in minuscolo.

C’è poi una tendenza a concludere le password con un numero, come avviene nel 34% dei casi, ma solo nel 4,5% gli utenti utilizzano un numero all’inizio. In conclusione, il 42% di tutte le password incluse nel campione è vulnerabile ad attacchi hacker perché troppo comune, oltre che troppo debole.

Come scegliere una password sicura

Se rientrate tra quegli utenti che scelgono password fin troppo semplici e comuni, i vostri account sono a rischio. Un qualsiasi hacker potrebbe infatti entrare e rubare le vostre credenziali senza particolari sforzi e difficoltà. La buona notizia è che rimediare è semplice, basta seguire alcune semplici indicazioni che vi riportiamo per una password che sia il più possibile sicura:

  • la lunghezza ideale di una password è tra i 16 e i 24 caratteri, ma già dai 10 caratteri in su si può ottenere un buon risultato e soprattutto facile da ricordare;
  • utilizzare e alternare lettere, numeri, caratteri speciali, maiuscolo e minuscolo;
  • non utilizzare sequenze di numeri o parole che abbiano un senso compiuto, perché più facili da individuare;
  • iniziare la password con un numero.

Password violate: dove trovarle e perché sono utili

I dump di dati delle password violate dagli hacker si trovano online da anni e il campione diventa sempre più grande nel tempo, per l’aggiunta di nuove credenziali rubate. Questi dati sono facili da trovare in internet, ad esempio su siti come GitHub e GitLab, o ancora su forum di hacking oppure su portali di file-sharing.

Per controllare se la propria e-mail è stata hackerata esistono anche dei siti online che raccolgono i vari data breach pubblicati online. Uno dei siti web più famoso e utilizzato è https://haveibeenpwned.com. Utilizzarlo è molto semplice: basta accedere al sito, inserire il proprio indirizzo e-mail e scoprire se è stato hackerato

A trarre giovamento dalla condivisione dei dump di dati, però, non sono solo gli hacker ma anche le grandi aziende informatiche. Google, Microsoft e Apple ad esempio hanno raccolto le credenziali violate e le hanno utilizzate per migliorare i suggerimenti ai propri utenti per guidarli nella scelta di una password che sia il più sicura possibile, inviando un messaggio di alert all’utente che creano una password considerata debole.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963