Quelle migliaia di password compromesse che la gente usa

Centinaia di migliaia di visitatori di siti web continuano a utilizzare password che sono state già compromesse. Peggio ancora, stanno riutilizzando le credenziali violate per alcuni dei loro account finanziari, governativi ed e-mail più sensibili.

Questo è secondo un nuovo studio di Google pubblicato la scorsa settimana, basato sui dati raccolti dall’estensione Google per il controllo della password. Lo studio ha rilevato che l’1,5%, ovvero 316.000 utenti del servizio di add-on usano password violate e conosciute agli hacker e cracker.

«La protezione degli account dagli attacchi rimane complessa a causa di un’asimmetria informativa: gli aggressori hanno accesso a miliardi di nomi utente e password rubati, mentre gli user e i provider non sanno quali richiedono una sorta di fix» hanno detto i ricercatori.

Nel documento di ricerca intitolato “Proteggere gli account con avvisi di violazione della password“, pubblicato su USENIX, si legge di come l’estensione Password Checkup, lanciata a febbraio 2019, abbia proprio lo scopo di difendere gli account.

In che modo? Mostrando una casella rossa di “avviso” agli utenti quando accedono a un sito utilizzando una delle 4 miliardi di combinazioni tra user id e password che Google sa di essere state violate.

La telemetria anonima segnalata dall’estensione ha rivelato che gli utenti stavano riutilizzando credenziali violate su oltre 746.000 domini distinti. Il rischio era il più alto per lo streaming video e i siti porno, dove fino al 6,3% accedeva utilizzando credenziali compromesse.

Google ha affermato che un semplice aggiornamento delle password è un modo semplice per evitare gli hacker: secondo lo studio, il 60% delle nuove password è sicuro, il che significa che occorrerebbero a un aggressore oltre 100 milioni di ipotesi prima di identificare la nuova stringa.