Password banali, comuni e riciclate favoriscono i data breach. Dalla lunghezza ai caratteri speciali, ecco gli errori più grossolani.
Parliamo spesso di
data breach e di
attacchi alle aziende andati a buon fine, con conseguenze economiche e organizzative anche gravi. La prima causa di questi problemi sono le
password poco sicure, facili da forzare con un attacco
brute force.
Il problema è noto, uno studio condotto dall'Università di Cipro ne certifica la gravità. I ricercatori hanno analizzato più di
1 miliardo di combinazioni di nome utente e password trapelate online da varie violazioni dei dati aziendali. I risultati sono a dir poco allarmanti.
La password più utilizzata sugli account violati è "123456", usata da 7 milioni di utenti su un miliardo. Rispetto al totale delle credenziali analizzate, le password erano solo 168.919.919. Significa che molti hanno adottato chiavi molto comuni.
A parte il caso eclatante di 123456, i ricercatori hanno rilevato numerose violazioni alle best practice per la formulazione di password sicure. La
lunghezza media delle password è 9,4822 caratteri. Probabilmente la scelta è dovuta al fatto che molti servizi chiedono espressamente una password di "almeno 8 caratteri". I generatori di password in genere sono preimpostati per creare chiavi di 20 caratteri. Il motivo è semplice: più una password è lunga, più è difficile da indovinare.
Solo il 12,04% delle password analizzate conteneva
caratteri speciali. Sparsi a dovere fra lettere e numeri, rendono difficile il furto di credenziali. Vale la pena ricordare che uno dei pilastri delle password sicure è
non usare sequenze che abbiano un qualche significato, come per esempio "piccoloprincipe". Sono facili da ricordare, ma individuate le prime due lettere è banale dedurre le altre.
Il 28,79% delle password analizzate conteneva solo lettere, e il 26,16% delle password era solo in minuscolo. Per intenderci, se la password dell'esempio sopra fosse stata "piCcolOpRincipE" sarebbe stata più difficile da individuare di "piccoloprincipe" o di "PiccoloPrincipe".
Quella ipotizzata non sarebbe comunque una chiave ottimale perché mancano due "ingredienti" fondamentali: i caratteri speciali e i numeri. Numeri che peraltro erano gli unici caratteri che componevano il 13,37% delle password. E che spesso identificano una data di nascita o una qualche ricorrenza, a cui magari si può risalire spulciando i social network.
Leggi anche: Cambio password dopo un data breach: dati sconvolgenti. A seguito di un data breach, gli utenti invitati a cambiare password usano chiavi simili o più deboli. Alcuni non le cambiano nemmeno.
Qual è, quindi, una password sicura? Una password
univoca per un servizio specifico, che non ha alcun senso logico, mnemonico o intuitivo. E che solo un generatore di password può creare e tenere in memoria. Ad esempio "z^3W&s;b"6qx!`=>T{Y<".
È appunto la memoria, o meglio la paura di dimenticarsi le password, uno dei problemi principali degli utenti. LastPass ha intervistato un campione di utenti, rilevando che il 66% utilizza la stessa password sui propri account online. E il 53% non ha modificato le proprie password negli ultimi 12 mesi. Significa che in caso un servizio fosse stato violato, i cyber criminali potranno accedere a molti altri con le credenziali riciclate.
L'unico modo per uscire dall'impasse è rassegnarsi all'uso di un gestore di password, da usare sia per generare le chiavi, sia per custodirle. Gli amministratori di rete, dal canto loro, dovrebbero spingere in questa direzione adottando strumenti aziendali ad hoc e impedendo l'uso di chiavi che non soddisfano i requisiti di sicurezza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici