Vi anticipiamo sin da subito che la password più utilizzata è la classica stringa “123456”, presente in una quantità disarmante: un utente ogni 142 la sceglie per proteggere le proprie informazioni.
Di analisi di questo genere ne vengono effettuate molte, il motivo che rende speciale il lavoro fatto da Ata è da ricercare nell’immensa quantità di dati presi in considerazione. In pratica, per il suo studio si è avvalso dell’ausilio di quasi tutti i database contenenti password rubate negli ultimi 5 anni presenti sul web. Si tratta delle stesse banche dati utilizzate da servizi in grado di dirvi se i vostri dati siano stati oggetto di attacco, come “Have I Been Pwned” o il nuovo “Password Monitor” che vedremo presto in Microsoft Edge.
Come anticipato, su più di un miliardo di password analizzate, di cui circa 170 milioni uniche, ogni 7 milioni compare la stringa “123456”, un dato che purtroppo siamo abituati a riscontrare sin da quando esiste il concetto stesso di password.
Per quanto riguarda il resto delle password sicuramente non sufficienti, ma quantomeno create con una leggera dose di fantasia, solo il 12% contiene un carattere speciale e, nonostante i buoni consigli indichino come lunghezza minima 16 caratteri, in media gli utenti hanno scelto circa 10 caratteri per comporre la chiave di sicurezza legata al proprio username.
A proposito di nomi utente, nel database ne sono stati trovati circa 400 milioni a fronte delle quasi 170 milioni di password uniche, un dato che ci mette ancora una volta di fronte a una realtà sconcertante in cui molti utenti usano la stessa password per diversi servizi ignorando le più basilari norme di sicurezza.
A completare il quadro, troviamo che circa il 13% delle password è composto da soli numeri, circa il 29% da sole lettere e poco più del 26% non presenta nemmeno una carattere maiuscolo. Ciò vuol dire che per ottenere tali credenziali non è necessario nemmeno l’uso di chissà quale tecnica articolata, basta infatti il classico attacco “brute force” che tenta di trovare la chiave d’accesso tramite un dizionario e l’obiettivo è raggiunto.
Si potrebbe obiettare, almeno per quanto riguarda le password di account web, che un sito non consentirebbe i numerosi tentativi necessari per un’ operazione di questo tipo ma è estremamente probabile il contrario. Un servizio che durante la creazione di un account utente non effettua alcun controllo sulla password (che sia almeno sulla lunghezza ad esempio), verosimilmente non offre alcuna protezione da nessun tipo di attacco, dal più semplice al più complesso.
Non ci resta quindi che prender atto della situazione e sperare che sempre più utenti inizino ad apprendere l’importanza dell’uso di una password complessa e che abbia significato solo per se stessi ma risulti totalmente sgrammaticata per gli altri. Soprattutto in questo momento storico, dove la migrazione verso nuovi servizi digitali contenenti dati estremamente confidenziali è sempre più massiccia, l’ultima cosa che ci possiamo permettere è “chiudere la porta del nostro account, ma dimenticarci di girare la chiave”.
Per poter navigare senza timore di veder sottratte le proprie informazioni è fondamentale l'uso di un antivirus che abbia magari anche la funzione di Password Manager. Uno dei migliori è Kaspersky Internet Security, acquistabile direttamente da Amazon.