Cerca in PI

Password è la più diffusa tra le password

Pubblicata una classifica con le 25 parole segrete più usate (e dunque inefficaci) del Web. I consigli per sceglierle meglio non mancano

Roma - Che le password siano un problema per molti utenti non è notizia. Le cattive abitudini, comunque, sono dure a morire: esattamente come l'anno scorso, anche quest'anno la classifica delle peggiori scelte degli utenti vede le inimmaginabili "123456" e "12345678" sul podio. Anche se al primo posto rimane "password".

La classifica è stata realizzata da SplashData, estrapolando i dati dai "depositi di password" prodotti dagli hacker.

In Rete ci sono, comunque, diverse liste di buoni consigli per rendere sicura la propria password (e possibilmente non dimenticarla). (E.P.)

TAG: internet, password, sicurezza

Notizie collegate

Attualità Un, due, tre, password!Pubblicato uno studio statunitense che ha preso l'iniziativa dopo l'attacco di un cracker al sito Rockyou. Su 32 milioni di parole chiave svelate, i primi tre posti sono occupati da semplici cifre in sequenza
Digital Life Password, le cattive abitudiniAnalisi effettuate sulle password rubate a Sony e Gawker confermano la noncuranza degli utenti nello scegliere le proprie credenziali. Troppo semplici da indovinare

Forum (visualizzazione classica)

55 Commenti alla Notizia Password è la più diffusa tra le password

Solo discussioni principali

Ordina

1
password nr: franco torlai
la pas che si usa x ogni sito deve essere sempre diversa non riesco mai a ricordare
Scritto il 26/11/2011 alle 10.34
Segnala abusi
Quota Rispondi
12
L'immancabile XKCD Funz

In 20 anni di sforzi, siamo riusciti a istruire tutti quanti a usare password difficili da ricordare per gli umani, ma facili da indovinare per i computer.
Funz
10259
Scritto il 24/11/2011 alle 16.55
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
Folcloristico ed errato.
Scritto il 24/11/2011 alle 22.43
Segnala abusi
Quota Rispondi
nr: uno qualsiasi
In realtà ha ragione: quando la password non è una sola parola facile da indovinare, e contiene caratteri non alfabetici (anche solo spazi), l'unico modo sicuro per crackarla è il sistema a forza bruta: e, in tal caso, il tempo che occorre per provare tutte le combinazioni dipende dalla lunghezza della password, e non dalla sua complessità.
Scritto il 24/11/2011 alle 23.12
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
non è così. A parte il tempo necessario per trovare la giusta combinazione di caratteri, che con i pc di oggi potrebbe non essere così elevato, bisogna aggiungere il blocco dell'utenza. Non sto parlando di esercizio di stile nel chi ha la password più bella e in quanto tempo una combinazione casuale di caratteri può essere scoperta, ma di accedere con una utenza tentando di indovinare la password (e lo username). Con una password di 12 caratteri alfanumerici, con caratteri speciali, punteggiatura, maiuscole e minuscole ed utenza bloccata al terzo tentativo di accesso sbagliato, riuscire ad indovinare l'accesso è come vincere una lotteria (una super lotteria).
Scritto il 25/11/2011 alle 8.51
Segnala abusi
Quota Rispondi
nr: pignolo
Se la matematica non è un'opinione:

per una sequenza di 12 caratteri scelti tra i 96 disponibili (da 32 a 127, tolgo i caratteri speciali e quelli che potrebbero dare problemi con tastiere diverse) le combinazioni sono 96^12 = 612709757329767363772416 =~ 6 * 10^23.

per 28 caratteri scelti tra possibili 27 (l'esempio di xkcd, contando gli spazi e con solo lettere minuscole) le combinazioni sono 27^28 = 11972515182562019788602740026717047105681 =~ 10^40

Poi, che scegliendo parole sensate le combinazioni siano in realtà molte ma molte di meno, ok...
Ad esempio in italiano, prendendo 10^5 vocaboli, (ma potrebbero essere molti di più contando le possibili variazioni/coniugazioni, etc)
con 4 parole si avrebbero 10^20 combinazioni, con 5 già 10^25...

Si potrebbe anche scegliere password ancora più lunghe... (oltre che parole in diverse lingue).
Scritto il 25/11/2011 alle 9.13
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
e lo dici a me?!?
E perchè eliminare tutti gli speciali, lasciane pure un po'. E perchè mai scegliere tra parole sensate? Una password non deve essere una parola sensata.
Arrivando al succo, ed xkcd aparte, cosa intendi dire? Volevi rafforzare il mio commento?
Quante probabilità di riuscita ci sono di indovinare una password di 12 caratteri alfanumerici, con caratteri speciali, punteggiatura, maiuscole e minuscole ed utenza bloccata al terzo tentativo di accesso sbagliato?
Scritto il 25/11/2011 alle 9.24
Segnala abusi
Quota Rispondi
nr: pignolo
- Scritto da: mcmcmcmcmc
> e lo dici a me?!?
> E perchè eliminare tutti gli speciali, lasciane
> pure un po'. E perchè mai scegliere tra parole
> sensate? Una password non deve essere una parola
> sensata.

Ok. Non era questo il punto, tutto era basato sulla vignetta di xkcd...

> Arrivando al succo, ed xkcd aparte, cosa intendi
> dire? Volevi rafforzare il mio
> commento?
> Quante probabilità di riuscita ci sono di
> indovinare una password di 12 caratteri
> alfanumerici, con caratteri speciali,
> punteggiatura, maiuscole e minuscole ed utenza
> bloccata al terzo tentativo di accesso
> sbagliato?

È ovvio che le probabilità sono infinitesime, non sto neanche a calcolarle, non ha senso...
Ma il punto è: sei in grado di ricordarti una password del genere o la devi scrivere da qualche parte?
Se usi una qualche applicazione che gestisce le password complicate ok, ma se per accedervi utilizzi una password molto più semplice...

Xkcd voleva dimostrare che si possono "costruire" password efficaci (difficili da indovinare con i metodi brute force) ma facili da ricordare (per l'uomo). Se non sei d'accordo su questo, pace... Tutto il resto è ok...
Scritto il 25/11/2011 alle 9.55
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
- Scritto da: pignolo
> Se usi una qualche applicazione che gestisce le
> password complicate ok, ma se per accedervi
> utilizzi una password molto più
> semplice...
>

keepass su ogni dispositivo. Le mie passwords che conosco saranno 3 o 4. le altre non so nemmeno quali siano. Nemmeno sotto tortura potrei rivelarle!

> Xkcd voleva dimostrare che si possono "costruire"
> password efficaci (difficili da indovinare con i
> metodi brute force) ma facili da ricordare (per
> l'uomo). Se non sei d'accordo su questo, pace...
> Tutto il resto è
> ok...

sono abbastanza d'accordo, nel senso che è vero che si possono avere password efficaci e facili da ricordare. Ma quando hai una password diversa per ogni accesso e la devi cambiare ogni 40 giorni torna ad essere difficile ricordarsele tutte.
Scritto il 25/11/2011 alle 10.02
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
- Scritto da: mcmcmcmcmc
> keepass su ogni dispositivo. Le mie passwords che
> conosco saranno 3 o 4. le altre non so nemmeno
> quali siano. Nemmeno sotto tortura potrei
> rivelarle!

ovviamente su keepass password alfanumerica con punteggiatura, caratteri speciali e maiuscole in combinazione con key file. E per gli accounts "caldi" otp (se possibile).
Scritto il 25/11/2011 alle 10.07
Segnala abusi
Quota Rispondi
nr: uno qualsiasi
- Scritto da: mcmcmcmcmc
> non è così. A parte il tempo necessario per
> trovare la giusta combinazione di caratteri, che
> con i pc di oggi potrebbe non essere così
> elevato, bisogna aggiungere il blocco
> dell'utenza.

Certo, ma il blocco dell'utenza non è sempre applicabile.
Pensa al bancomat: sul bancomat c'è... e basta una password con solo 5 cifre numeriche, per avere una buona protezione.

Ma se io sto cercando di mettere una password per cifrare un documento (o un file compresso), chi vuole craccarlo ha il file sul suo computer: se mette la password giusta ottiene l'accesso, altrimenti non riesce a decifrarlo e ottiene solo bit senza senso. Tuttavia, ha a disposizione infiniti tentativi per risolverlo (e, grazie ai sistemi di checksum, può accorgersi quando ha azzeccato la password giusta)

L'unico modo per evitare che riesca a cifrare il documento è togliere la possibilità di scoprire se hai indovinato la password o no.

Mi spiego meglio: mettiamo che tu mi abbia fatto una domanda importante, la cui risposta può essere solo sì o no; io ti mando la risposta cifrata, con un semplice cifrario monoalfabetici (a numero uguale corrisponde lettera uguale)

La mia risposta è "42".

Puoi decifrarla? Anche usando un sistema a forza bruta, le combinazioni possibili sono poche... ma non sai qual'è quella giusta.
Se al 4 corrisponde "s", e al 2 corrisponde la "ì", hai risolto la cifratura, e sai che la mia risposta è "sì".
Ma se al 4 corrispondesse la "n", ed al 2 corrispondesse la "o"? La mia risposta sarebbe "no"... e tu non puoi sapere quale dei due sistemi di cifratura è quello giusto. E per tirare a indovinare... tanto vale che tu ignori il mio messaggio, e tiri a indovinare la risposta (le probabilità sono le stesse)
Scritto il 25/11/2011 alle 19.18
Segnala abusi
Quota Rispondi
nr: pignolo
- Scritto da: uno qualsiasi

> L'unico modo per evitare che riesca a cifrare il
> documento è togliere la possibilità di scoprire
> se hai indovinato la password o
> no.
>
> Mi spiego meglio: mettiamo che tu mi abbia fatto
> una domanda importante, la cui risposta può
> essere solo sì o no; io ti mando la risposta
> cifrata, con un semplice cifrario monoalfabetici
> (a numero uguale corrisponde lettera
> uguale)
>
> La mia risposta è "42".
>
> Puoi decifrarla? Anche usando un sistema a forza
> bruta, le combinazioni possibili sono poche... ma
> non sai qual'è quella
> giusta.
> Se al 4 corrisponde "s", e al 2 corrisponde la
> "ì", hai risolto la cifratura, e sai che la mia
> risposta è
> "sì".
> Ma se al 4 corrispondesse la "n", ed al 2
> corrispondesse la "o"? La mia risposta sarebbe
> "no"... e tu non puoi sapere quale dei due
> sistemi di cifratura è quello giusto. E per
> tirare a indovinare... tanto vale che tu ignori
> il mio messaggio, e tiri a indovinare la risposta
> (le probabilità sono le
> stesse)

L'esempio che hai fatto funziona bene perché è, in pratica, l'applicazione del cifrario di Vernam, ossia una chiave (nel tuo caso una sostituzione lettera-numero, ma cambia poco) lunga quanto il testo da decifrare. Questo sistema è inattaccabile, a patto di non conoscere la chiave...
Scritto il 26/11/2011 alle 18.40
Segnala abusi
Quota Rispondi

5
Statistiche falsate: altro motivo nr: Joliet Jake
Anche secondo me sono statistiche falsate, ma per un altro motivo.

Sono costretto a registrarmi ad una marea di siti inutili che non contengono nessuna informazione personale (tipo commenti non aperti in un sito, registrazione per un giochino scemo, testare un servizio web che non so se userò, pr0n, etc)
Per tutti questi siti "minori", uso sempre fondamentalmente la stessa password, facile da ricordare. Per il semplice motivo che non me ne frega nulla se qualcuno "entra" in quell'account! Non c'è niente dentro!

Invece per i siti "importanti" per via delle informazioni o perchè ci transitano soldi (emails, Facebook, Steam, etc etc), uso password complesse.

Quindi ecco perchè le statistiche sono falsate! Nel mio caso il 90% delle password che uso sono facilmente intuibili!
Ma ciò non influisce sulla protezione dei miei dati personali!
Scritto il 24/11/2011 alle 14.21
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
- Scritto da: Joliet Jake
> Sono costretto a registrarmi ad una marea di siti
> inutili che non contengono nessuna informazione
> personale (tipo commenti non aperti in un sito,
> registrazione per un giochino scemo, testare un
> servizio web che non so se userò, pr0n,
> etc)

Se i siti sono inutili, chi ti costringe?

> Per tutti questi siti "minori", uso sempre
> fondamentalmente la stessa password, facile da
> ricordare. Per il semplice motivo che non me ne
> frega nulla se qualcuno "entra" in quell'account!
> Non c'è niente
> dentro!
>

sarebbe meglio usare comunque passwords sicure

> Invece per i siti "importanti" per via delle
> informazioni o perchè ci transitano soldi
> (emails, Facebook, Steam, etc etc), uso password
> complesse.
>

e fai bene.

> Quindi ecco perchè le statistiche sono falsate!
> Nel mio caso il 90% delle password che uso sono
> facilmente
> intuibili!
> Ma ciò non influisce sulla protezione dei miei
> dati personali!
>

non influisce sui tuoi dati personali, ma magari sì sulle statistiche.

E usare una applicazione/manager di passwords sicure a casuali?
Scritto il 24/11/2011 alle 15.07
Segnala abusi
Quota Rispondi
nr: Joliet Jake
"Se i siti sono inutili, chi ti costringe?"
Perchè magari voglio ad esempio lasciare un commento in un forum o simili.

"sarebbe meglio usare comunque passwords sicure"
Perchè? Cos'ho da perdere? Se "rubano" laccount, ne faccio un altro (sempre con le mail usa e getta tipo Mailinator...)

"non influisce sui tuoi dati personali, ma magari sì sulle statistiche."
E infatti è il senso del mio post!

"E usare una applicazione/manager di passwords sicure a casuali?"
Quella potrebbe essere utile appunto per i siti "importanti", ma per gli altri è una perdita di tempo.
Scritto il 24/11/2011 alle 15.47
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
- Scritto da: Joliet Jake
> "E usare una applicazione/manager di passwords
> sicure a
> casuali?"
> Quella potrebbe essere utile appunto per i siti
> "importanti", ma per gli altri è una perdita di
> tempo.

può essere. Non essendo iscritto a nessun sito inutile, non lo so. Io la utilizzerei anche per i siti inutili. Sarà "deformazione professionale".
Scritto il 24/11/2011 alle 15.54
Segnala abusi
Quota Rispondi
nr: Surak 2.0
- Scritto da: Joliet Jake
> Anche secondo me sono statistiche falsate, ma per
> un altro
> motivo.

Già! Faccio esattamente lo stesso e mi pare ovvio.
Scritto il 24/11/2011 alle 21.01
Segnala abusi
Quota Rispondi
1
Che strano... nr: Bigia
...nessuno ha ancora pensato a qwertyuiop...

Che io sia l'unico ad usarla?
Scritto il 23/11/2011 alle 19.55
Segnala abusi
Quota Rispondi
30
Statistica plausibile ma falsata ottomano
La statistica è plausibile, infatti molta gente usa password semplicissime e legate ai propri dati personali: date di nascita, nomi di parenti ecc...

Però ritengo che questa statistica sia falsata.
Mi spiego: i dati provengono da archivi che vari hacker hanno già bucato, quindi si presume che siano password di per sè semplici.
Non è una statistica riferita alle password in genere, ma solo a quelle che vengono bucate.

Sarebbe come dire "la maggior parte della gente usa lucchetti mod. xyz", che sono anche i più facilmente scassinabili".
Ma in realtà si dovrebbe dire "la maggior parte dei lucchetti scassinati è del mod. xyz" che non implica che la maggior parte della gente usa lucchetti mod. xyz.

Nicola
ottomano
661
Scritto il 23/11/2011 alle 11.01
Segnala abusi
Quota Rispondi
nr: sbrotfl
- Scritto da: ottomano
> La statistica è plausibile, infatti molta gente
> usa password semplicissime e legate ai propri
> dati personali: date di nascita, nomi di parenti
> ecc...
>
> Però ritengo che questa statistica sia falsata.
> Mi spiego: i dati provengono da archivi che vari
> hacker hanno già bucato, quindi si presume che
> siano password di per sè
> semplici.
> Non è una statistica riferita alle password in
> genere, ma solo a quelle che vengono
> bucate.
>
> Sarebbe come dire "la maggior parte della gente
> usa lucchetti mod. xyz", che sono anche i più
> facilmente
> scassinabili".
> Ma in realtà si dovrebbe dire "la maggior parte
> dei lucchetti scassinati è del mod. xyz" che non
> implica che la maggior parte della gente usa
> lucchetti mod.
> xyz.
>
> Nicola

Quoto.
E' a stessa cosa che volevo dire io
Scritto il 23/11/2011 alle 13.48
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
falsata, forse, ma molto realistica. Chi ha accesso a db di password sa quante password banali siano utilizzate.
Scritto il 23/11/2011 alle 14.54
Segnala abusi
Quota Rispondi
nr: sbrotfl
- Scritto da: mcmcmcmcmc
> falsata, forse, ma molto realistica. Chi ha
> accesso a db di password sa quante password
> banali siano
> utilizzate.

Si ma la statistica parla di password trovate... quindi mi sembra normale che in prima posizione ci sia "password"... ma cio' non vuol dire che sia la più diffusa ma semplicemente la piu' facile da trovare
Scritto il 23/11/2011 alle 17.12
Segnala abusi
Quota Rispondi
unaDuraLezione
- Scritto da: sbrotfl
> - Scritto da: mcmcmcmcmc
> > falsata, forse, ma molto realistica. Chi ha
> > accesso a db di password sa quante password
> > banali siano
> > utilizzate.
>
> Si ma la statistica parla di password trovate...
> quindi mi sembra normale che in prima posizione
> ci sia "password"... ma cio' non vuol dire che
> sia la più diffusa ma semplicemente la piu'
> facile da
> trovare

Vero.
La più diffusa è Aºãd£$9(/éçà+CCwe}~Ç?üI
Solo che nessuno l'ha mai scoperta.
Proprio per questo quasi tutti la usano.
E per lo stesso motivo non è in nessun dizionario.
unaDuraLezione
8978
Scritto il 23/11/2011 alle 17.37
Segnala abusi
Quota Rispondi
nr: pignolo
- Scritto da: unaDuraLezione

> La più diffusa è
> Aºãd£$9(/éçà+CCwe}~Ç?

Accidenti a te! Adesso mi toccherà cambiare password...
Scritto il 23/11/2011 alle 18.06
Segnala abusi
Quota Rispondi
panda rossa
- Scritto da: pignolo
> - Scritto da: unaDuraLezione
>
> > La più diffusa è
> >
> Aºãd£$9(/éçà+CCwe}~Ç?
>
> Accidenti a te! Adesso mi toccherà cambiare
> password...
>

Wow! Sono entrato nell'account di panda rossa!
Che scherzo potrei combinargli?
panda rossa
22301
Scritto il 23/11/2011 alle 18.10
Segnala abusi
Quota Rispondi
nr: mcmcmcmcmc
- Scritto da: sbrotfl
> - Scritto da: mcmcmcmcmc

> Si ma la statistica parla di password trovate...
> quindi mi sembra normale che in prima posizione
> ci sia "password"... ma cio' non vuol dire che
> sia la più diffusa ma semplicemente la piu'
> facile da
> trovare

statisticamente:
una password fatta bene è difficile da imbroccare, ed è difficile che si trovino tante passwords fatte bene uguali tra loro. Per cui, se password è la più trovata tra quelle banali, è per forza di cose la più diffusa.
Scritto il 24/11/2011 alle 10.02
Segnala abusi
Quota Rispondi
panda rossa
- Scritto da: mcmcmcmcmc
> falsata, forse, ma molto realistica. Chi ha
> accesso a db di password sa quante password
> banali siano
> utilizzate.

Chi ha accesso ai db di password dove le password sono memorizzate in chiaro allora e' un servizio inutile.

In uno dei server che amministro c'e' una mezza milionata di account, con tanto di password.
Criptate in modo forte.

Se nel 2011 ci sono ancora in giro sistemi che memorizzano le password in chiaro, poveri noi.
panda rossa
22301
Scritto il 23/11/2011 alle 18.08
Segnala abusi
Quota Rispondi
nr: pignolo
- Scritto da: panda rossa
> - Scritto da: mcmcmcmcmc
> > falsata, forse, ma molto realistica. Chi ha
> > accesso a db di password sa quante password
> > banali siano
> > utilizzate.
>
> Chi ha accesso ai db di password dove le password
> sono memorizzate in chiaro allora e' un servizio
> inutile.
>
> In uno dei server che amministro c'e' una mezza
> milionata di account, con tanto di
> password.
> Criptate in modo forte.
>
> Se nel 2011 ci sono ancora in giro sistemi che
> memorizzano le password in chiaro, poveri
> noi.

Sono d'accordo con te ma... chi ci assicura di come vengono criptate le password dei servizi online a cui siamo registrati?
In questo caso, anche se usassero software open source non cambierebbe niente perché potrebbero sempre cambiare il codice...

L'unica è usare una password diversa per ogni sito ma... secondo te, quanti lo fanno?
Scritto il 23/11/2011 alle 18.20
Segnala abusi
Quota Rispondi
unaDuraLezione
Eccomi.
Password differente per ogni sito.
Ho due generatori di password (mentali) basati su alcune caratteristiche facili da ricordare (non vado in dettaglio ).
Uno genera password relativamente semplici (ma non presenti in dizionario) e lo uso per i siti in cui non entrano in gioco soldi.
L'altro genera password più complesse e lo uso altrove.
Le prime le riesco a ricordare senza problemi, le seconde, se non le uso spesso, me le dimentico ma le posso ricordare semplicemente rigenerandole con le stesse regole.
unaDuraLezione
8978
Scritto il 24/11/2011 alle 10.01
Segnala abusi
Quota Rispondi

CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)

Forum (visualizzazione classica)