Fine anno è periodo di bilanci, ed è immancabile tirare anche le somme sulle password più comuni. Dopo i reiterati appelli alla creazione di chiavi di sicurezza più forti, più lunghe, composte da un'alternanza assolutamente casuale di numeri e lettere, ci si aspetta sempre che qualche passo avanti sia stato fatto in 12 mesi. Anche quest'anno invece gli ottimisti resteranno con un pugno di mosche.

NordPass, autore di un software per la creazione e la gestione di password sicure, ha pubblicato l'annuale lista delle password più comuni usate in tutto il mondo. L'aspetto interessante è che oltre a stilare una classifica globale, permette di estrarre il dettaglio per i singoli Paesi.

Si scopre così che tutto il mondo è Paese. Per il 2021, infatti, la top 3 italiana e mondiale è identica: vince 123456 (ormai incontrastata da anni), seguita dalla più lunga ma non complessa 123456789. Medaglia di bronzo per il minimalismo dell'12345.

A livello globale le sequenze numeriche hanno la meglio: nella top 10 figurano solo due chiavi alfanumeriche, purtroppo arcinote: qwerty al quarto posto e password al quinto. Gli italiani invece si riconfermano un popolo di poeti, anche se noiosi e ripetitivi: qwerty è al quinto posto, juventus al sesto, password all'ottavo, andrea al nono e napoli al decimo.

Al livello successivo di dettaglio si scopre che a influenzare le scelte delle password maschili è la passione per il calcio, mentre il gentil sesso è guidato dal cuore: i nomi propri maschili la fanno da padrone, insieme al romantico amoremio del sesto posto.

Mal comune

Ad accomunare entrambi i sessi e tutte le nazionalità è la noncuranza della sicurezza dei propri dati. Sicuramente servirà a poco, ma è impossibile non ricapitolare i motivi per i quali le password sono importanti e come architettarne di valide.

Sui motivi, la parola d'ordine è effetto domino. Partiamo dall'assunto che l'utente tipo crea una password forte per l'home banking (3cLZy05%$4!&U^N), una debole per Netflix (CheFilmMiGuardoStasera67!), una debolissima per l'insignificante sito di calendari (12345). Con un attacco brute force automatizzato ci vogliono pochi secondi a bucare la password debolissima e quella debole, le credenziali rubate vengono rivendute e usate per attaccare il dispositivo principale dell'utente, da lì il passo è breve per arrivare all'home banking, alla rete domestica, alla rete dell'azienda per cui lavora l'utente o il parente convivente. L'esempio è molto semplicistico, ma è abbastanza per capire che dare delle priorità è umano, dare delle priorità alle password è sbagliato.

Il passaggio successivo è quindi come ideare una password. Lasciando perdere la tiritera su chiavi lunghe, che contengano sia numeri che lettere, e sul fatto che non bisogna mai usare il nome dei familiari e dei propri animali, torniamo all'esempio sopra. 3cLZy05%$4!&U^N è più complessa di CheFilmMiGuardoStasera67! perché c'è una sostanziale differenza fra password individuabili con il brute forcing e password facilmente indovinabili.

Dal punto di vista del brute forcing, basta aumentare il numero di caratteri per aumentare il tempo necessario per tentare tutte le possibili combinazioni di password. Una password che rispetta i requisiti standard di lunghezza può richiedere da 3 a 6mila anni per essere indovinata con il brute forcing.

Se però questa password è !Password123 o CheFilmMiGuardoStasera67! un hacker la troverà in pochissimo tempo, perché è facilmente indovinabile. Come tutte quelle che contengono una parola di senso compiuto presa a caso dal dizionario e "condita" con qualche numero e un carattere speciale. Le password non devono essere leggibili, non devono avere alcuna logica né senso.

Il problema è come farsi venire in mente 3cLZy05%$4!&U^N, come ricordarsela e come non impazzire ogni volta per digitarla. Il trucco è non fare nessuna delle tre cose, e usare un gestore di password. La maggior parte di questi programmi si installa sia sul computer sia sullo smartphone, compila automaticamente i campi quando ci deve autenticare e genera le password per i servizi di nuova sottoscrizione. Non serve fare nulla, a parte ricordarsi una sola password: quella per attivare il gestore di password. Che non sia 123456!