01net

Password: sono ancora troppo semplici

La password più utilizzata nel 2016?
Sì, è proprio quella. Sempre la stessa: 123456.
Ci vogliono almeno 8 caratteri? Semplice: 123456789.
È al secondo posto.
Al quarto posto la sequenza precisa fino al numero 8, mentre al sesto posto c’è la sequenza fino allo zero.
In mezzo troviamo “querty”, oppure la ancora più classica sequenza di 1.

A leggere il report rilasciato da Keeper Security sulla sicurezza delle password a livello mondiale c’è da mettersi le mani nei capelli.
Analizzando 10 milioni di password divenute pubbliche in occasione di data breach accaduti negli scorsi 12 mesi, Keeper ha evidenziato come ancora oggi il 17 per cento degli utenti si ritengono protetti con la più classica delle sequenze numeriche.
Non che sia più furbo unire la sequenza 1234 con la sequenza qwer in un apparentemente complesso 1q2w3e4r: ci vogliono pochi secondi per individuarla.
Evidentemente, sottolinea la società, a poco servono le campagne di educazione, le raccomandazioni, i consigli. E se pur consapevoli dei rischi – la letteratura in merito è tanta da non consentire a nessuno di definirsi all’oscuro della questione – un discreto numero di utenti sembra non fare alcuno sforzo per proteggersi, lasciando il compito a chi sta dietro le quinte, gli amministratori di sistema o i gestori dei siti web.

La responsabilità di chi non impone password forti

Ma c’è qualche responsabilità che Keeper attribuisce anche ai responsabili di sistema: se tra le prime 15 password più comunemente utilizzate 7 hanno una lunghezza di 6 caratteri o anche inferiore, questo significa che c’è della pigrizia, o una imperdonabile leggerezza, anche da parte di chi non impone un controllo maggiore sulla scelta.

Le sequenze sospette

Nella lista, sottolinea di nuovo la società, compaiono poi due sequenze apparentemente complesse e dunque apparentemente (di nuovo) rispondenti ai criteri di sicurezza per le password: per essere utilizzate così di frequente 18atcskd2w e 3rjs1la7qe, rispettivamente al quindicesimo e al ventesimo posto, sono evidentemente password generate dai bot quando creano falsi account sui servizi pubblici di email, dai quali poi sferreranno attacchi phishing. In questo caso, la richiesta ai provider è di marcare l’utilizzo di queste password come sospetto.
È comunque contro i provider che Keeper si scaglia: possiamo criticare quanto vogliamo l’incapacità delle persone nell’utilizzare password forti, ma la responsabilità maggiore è nei titolari dei siti web che non rafforzano le policy relative alla complessità delle password. Non è difficile da farsi, ma un’occhiata rapida all’elenco dimostra che la questione non sembra preoccuparli.

Le raccomandazioni sono sempre le stesse: usare un insieme di caratteri e numeri, maiuscole e minuscole, evitare parole di senso compiuto, utilizzare un password manager.
Noi, in questo servizio, ve ne suggeriamo alcuni.