Come ogni anno, anche in quest’inizio di 2017, è stata diffusa la classifica delle password più usate (e rubate), relativa all’anno precedente, in questo caso, al 2016. Ad essersene occupata è la security house Keeper e, purtroppo, non vi sono sorprese in senso positivo. La password, per pigrizia o ingenuità, più utilizzata dagli utenti della Rete è ancora “123456”.
Le cronache informatiche del passato 2016 hanno raccontato spesso di violazioni accorse ai database di importanti società dell’hi-tech: ad inizio Giugno, si era venuto a sapere del furto degli account di MySpace (360 milioni) e Tumbrl (65 milioni) e, più o meno nello stesso periodo, Microsoft invitava i suoi iscritti a cambiare le password, nel caso qualche utente avesse scelto quelle, più banali, apparse nella classifica di Spashdata del 2015. Poco dopo l’estate, poi, è stata colpita Dropbox (68 milioni di account) e, a stretto giro, Yahoo (mezzo miliardo), che ha fatto il bis (in tutti i sensi) proprio a metà Dicembre, raddoppiando il danno precedentemente accusato dai suoi database (1 miliardo di mail violate).
Eppure, nonostante queste notizie, e i consigli forniti dagli esperti in occasione del Password Day, tenutosi il 5 Maggio, gli utenti dei servizi internet NON sembrano aver fatto tesoro di quanto accaduto. A dimostrarlo è la classifica delle password più usate (e, di conseguenza, più vulnerabili) del 2016, stilata quest’anno da Keeper, la società che realizza un programma per la generazione e la messa in sicurezza delle password.
Basandosi su un database di 10 milioni di password rivenute in Rete, nei mercatini del Deep web, ove vengono vendute dopo esser state trafugate, Keeper ha scoperto che, a primeggiare nel range delle 25 password più (ab)usate del Web è ancora la banalissima “123456” (con 17% degli utenti), mentre, al secondo posto, si piazza la sua prosecuzione “123456789”: terzo, sul podio, si colloca “Qwerty” (le prime lettere della tastiera), che guadagna una posizione rispetto all’anno scorso. Il suo “omologo”, di qualche riga più giù, costituito dalla stringa “zxcvbnm”, fa comunque la sua comparsa, al 24° posto.
Considerando, invece, l’insieme delle prime 25 password, si scopre come neanche la fantasia sia una gran virtù, per chi mette in sicurezza i propri dati: le combinazioni dei primi numeri si ripetono varie volte, in forme diverse, anche invertite (es. 987654321, al 10°, o 654321 al 18°), o combinate (es. 123qwe, al 23° posto) e, dando un’occhiata all’8° posto (password), ed al 21° (google), le cose – se possibile – vanno ancora peggio.
In più, a livello statistico, emerge come almeno 5 milioni delle keyword valutate da Keeper sia riconducibile ad una delle prime 25 parole della classifica in questione: insomma, è un continuo rimestare del solito tran tran, e a poco vale che siano presenti, nella classifica, password difficili come 18atcskd2w (15°), o 3rjs1la7qe (20°). Quasi sicuramente, fa osservare un ricercatore di Keeper, Graham Cluley, si tratta di password create da botnet, per poter bombardare i forum online, o gli utenti comuni, di spam proveniente da mail “usa&getta”, facilmente sacrificabili se inserite in qualche black-list.
Per cautelarsi contro i furti di password, ed evitare di finire nella classifica dell’anno prossimo, relativa alle password più rubate, i passi da seguire sono pochi e semplici: usare combinazioni di numeri e lettere (maiuscole, e minuscole), senza dimenticare anche i simboli speciali. Sempre per evitare gli attacchi brute force, quelli “da dizionario”, sarebbe bene evitare le parole del vocabolario, e – anzi – farsi generare e gestire le password da appositi programmi di sicurezza. Come Keeper (appunto), LastPass, Dashlane, o Blur.