Cristina Sciannamblo

Password, la fiera delle banalitÓ

I netizen perseverano nelle cattive abitudini nell'uso di combinazioni troppo scontate a presidio dei propri account

Roma - Dure a morire le cattive abitudini degli utenti in fatto di password: secondo i dati elaborati da SplashData, i netizen continuerebbero a usare sequenze di numeri o parole banali come chiavi di accesso, incuranti dei rischi per la sicurezza dei propri account.

I risultati sono rimasti sostanzialmente invariati rispetto alle ricerche condotte in passato: "password" "123456" e "12345678" sono le tre scelte più popolari nel 2012, seguite da altre combinazioni come "abc123", "qwerty" e "monkey", diventate ormai un tentativo abituale anche tra i profanatori più inesperti.

Vizi diffusi tra gli utenti, che Morgan Slain, CEO di SplashData, si augura vengano abbandonati al più presto: "Speriamo che, con una pubblicità maggiore sui rischi dell'uso di password deboli, sempre più persone comincino a prendere semplici precauzioni per proteggere se stesse utilizzando codici più complessi e diversi per i diversi siti".
Per rafforzare la sicurezza dei propri account, è consigliabile, ad esempio, creare combinazioni provviste di lettere maiuscole e minuscole, simboli e numeri ovunque sia possibile inserirli.

Cristina Sciannamblo
Notizie collegate
  • Digital LifePassword, uguali e banaliLe chiavi d'accesso hanno un basso livello di sicurezza, sopratutto in Italia. I pi¨ attenti sono gli over 55, i tedeschi e i sudcoreani. Uno studio condotto su 70 milioni di account Yahoo!
  • AttualitàUn, due, tre, password!Pubblicato uno studio statunitense che ha preso l'iniziativa dopo l'attacco di un cracker al sito Rockyou. Su 32 milioni di parole chiave svelate, i primi tre posti sono occupati da semplici cifre in sequenza
21 Commenti alla Notizia Password, la fiera delle banalitÓ
Ordina
  • Ve lo spiego io cari: personalmente creo decine e decine di account "temporanei" su vari siti, che poi non userò mai più. Magari mi servono per visualizzare un'immagine su un forum, o per scaricare un file.
    La password che preferisco è 123456. Non perché io sia stupido, ma perché si tratta di un account di cui non mi frega nulla.
    Se le statistiche sono basate anche su questi account usati una singola volta, allora ci credo che tutto il mondo sembri stupido!!!
    non+autenticato
  • - Scritto da: Gustavo
    > Ve lo spiego io cari: personalmente creo decine e
    > decine di account "temporanei" su vari siti, che
    > poi non userò mai più. Magari mi servono per
    > visualizzare un'immagine su un forum, o per
    > scaricare un
    > file.
    > La password che preferisco è 123456. Non perché
    > io sia stupido, ma perché si tratta di un account
    > di cui non mi frega
    > nulla.
    > Se le statistiche sono basate anche su questi
    > account usati una singola volta, allora ci credo
    > che tutto il mondo sembri
    > stupido!!!
    Hai ragione. Questa e' una cosa che nessuno sottolinea mai... ma invece va presa in considerazione.
    non+autenticato
  • - Scritto da: Gustavo
    > Ve lo spiego io cari: personalmente creo decine e
    > decine di account "temporanei" su vari siti, che
    > poi non userò mai più. Magari mi servono per
    > visualizzare un'immagine su un forum, o per
    > scaricare un
    > file.
    > La password che preferisco è 123456. Non perché
    > io sia stupido, ma perché si tratta di un account
    > di cui non mi frega
    > nulla.
    > Se le statistiche sono basate anche su questi
    > account usati una singola volta, allora ci credo
    > che tutto il mondo sembri
    > stupido!!!

    Questo spiega l'1%, ed il restante 99?
  • Ahimè non è proprio così, il fatto che a te "non importa di quell'account" vuol dire ben poco, la maggior parte delle falle avvengono per social engineering, ti faccio un esempio reale/realistico:

    - Tu sei il responsabile di un gruppo di lavoro in un azienda
    - Hai un profilo in qualche social network di cui non ti importa e hai come password 123456
    - Un malintenzionato prende il controllo del tuo account su quel social netowrk, magari linkedin o facebook utilizzando la password fallace.
    - A quel punto il malintenzionato può tranquillamente contattare i tuoi sottoposti (che magari hai già aggiunto su quel social netowrk come succede spesso in linkedin) e recuperare qualche informazione, difficilmente l'utente medio risponde al suo capo "no mi spiace non posso risponderti su facebook mandami una mail aziendale".

    Questo è un esempio di come un account fallace può essere utilizzato, con un po di fantasia puoi trovare migliaia di esempi simili.
    non+autenticato
  • - Scritto da: Gustavo
    > Ve lo spiego io cari: personalmente creo decine e
    > decine di account "temporanei" su vari siti, che
    > poi non userò mai più. Magari mi servono per
    > visualizzare un'immagine su un forum, o per
    > scaricare un
    > file.
    > La password che preferisco è 123456. Non perché
    > io sia stupido, ma perché si tratta di un account
    > di cui non mi frega
    > nulla.
    > Se le statistiche sono basate anche su questi
    > account usati una singola volta, allora ci credo
    > che tutto il mondo sembri
    > stupido!!!


    vero vero, nel mio caso faccio così per i siti inutili, alcuni miei amici invece lo fanno anche per gli account importsanti perchè sennò "non si ricordano la password"

    altri metodi più efficaci di combinazioni assurde alfanumeriche sono nel realizzare lunghe parole composte tipo "vivalamelanzana"
    non+autenticato
  • - Scritto da: Gustavo
    > Ve lo spiego io cari: personalmente creo decine e
    > decine di account "temporanei" su vari siti, che
    > poi non userò mai più. Magari mi servono per
    > visualizzare un'immagine su un forum, o per
    > scaricare un
    > file.
    > La password che preferisco è 123456. Non perché
    > io sia stupido, ma perché si tratta di un account
    > di cui non mi frega
    > nulla.
    > Se le statistiche sono basate anche su questi
    > account usati una singola volta, allora ci credo
    > che tutto il mondo sembri
    > stupido!!!


    vero vero, nel mio caso faccio così per i siti inutili, alcuni miei amici invece lo fanno anche per gli account importsanti perchè sennò "non si ricordano la password"

    altri metodi più efficaci di combinazioni assurde alfanumeriche sono nel realizzare lunghe parole composte tipo "vivalamelanzana"
    non+autenticato
  • - Scritto da: unaDuraLezione
    > Le password più sicure sono pseudocasuali quindi
    > non possono avere una frequenza alta
    > (verosimilmente saranno uniche) nemmeno se
    > fossero utilizzate da tutti gli
    > uomini.
    >
    > In pratica l'articolo dice che le password
    > semplici sono
    > semplici.
    > Apperò.

    a quanto pare il prossimo sarà sul fatto che le tastiere hanno i tasti.
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > ...dal pubblicare tutte le mie password.
    >
    > Arrabbiato

    Io ho risolto il problema alla radice: non uso nessuna password.
    Voglio proprio vedere come fai ad indovinarla!
  • - Scritto da: panda rossa

    > Io ho risolto il problema alla radice: non uso
    > nessuna
    > password.
    > Voglio proprio vedere come fai ad indovinarla!

    tu scherzi ma spesso mi ritrovo a provare le pass più allucinanti e/o chiedere ai clienti (che puntualmente non la sanno) per poi scoprire che non le hanno proprio messe
  • Clicca per vedere le dimensioni originali

    http://xkcd.com/936/



    PS. 123456?
    ora mi tocca cambiare la combinazione della valigia
    -----------------------------------------------------------
    Modificato dall' autore il 25 ottobre 2012 14.45
    -----------------------------------------------------------
  • - Scritto da: bertuccia
    > [img]http://imgs.xkcd.com/comics/password_strength
    >
    > http://xkcd.com/936/
    >
    Ottima vignetta. E' la verita'.

    >
    > PS. 123456?
    > ora mi tocca cambiare la combinazione della
    > valigia
    valigia???? quella e' la combinazione dello Scudo, dannata spia! (cfr. Balle Spaziali)
    non+autenticato
  • - Scritto da: bertuccia
    > [img]http://imgs.xkcd.com/comics/password_strength
    >
    > http://xkcd.com/936/
    >
    >
    >
    > PS. 123456?
    > ora mi tocca cambiare la combinazione della
    > valigia

    Ma che valigia hai, che la mia ha solo 5 cifre per impostare la combinazione del lucchetto (che tra parentesi le mie coincidono con le prime 5 usate da te) ?
  • Personalmente come professionista in ambito IT in tutti i sistemi di autenticazione che gestisco abbiamo inserito opportune regole per impedire l'utilizzo di password "banali" incluso inserire l'anno di nascita anche parzialmente, il nome, il cognome anche parziali e qualsiasi riferimento a tutti i dati disponibili nel sistema per quell'utente.

    Ahimè sempre più persone ignoranti in ambito tecnologico hanno a disposizione credenziali con cui possono creare disastri e diventano un vero rischio per la sicurezza, l'unico modo per impedire che la loro stupidità crei problemi è impedir loro di fare scelte stupide, la trovo una soluzione "orribile" ma non abbiamo trovato soluzioni migliori, educarli funziona una volta, alla seconda rimettono una password demenziale.

    Abbiamo provato anche a spiegar loro come creare password solide a partire da termini comuni come "tauromachia" trasformato in "t@ur0mach1@" che seppur non perfetto (dato che nei dizionari per i brute ci sono anche queste varianti) almeno avrebbe evitato di beccarla al primo colpo come un "paolo1973" o cose simili...

    Insomma, tocca tutelare gli utenti dalla loro stessa ignoranza e questo mi fa schifo considerando quanto odio i sistemi che mettono sui "binari" gli utenti per proteggerli da se stessi, ormai tocca adeguarsi all'idea che la tecnologia è in mano a gente che non ha ne vuole le conoscenze per utilizzarla indi stà alla tecnologia proteggerli.
    non+autenticato
  • - Scritto da: Walrus

    > Abbiamo provato anche a spiegar loro come creare
    > password solide a partire da termini comuni come
    > "tauromachia" trasformato in "t@ur0mach1@" che
    > seppur non perfetto (dato che nei dizionari per i
    > brute ci sono anche queste varianti) almeno
    > avrebbe evitato di beccarla al primo colpo come
    > un "paolo1973" o cose
    > simili...
    condivito abbastaza il resto (anche se, a seconda degli ambiti, puo essere fastidioso)... ma invece di infilarsi nella "complicazione della pw", non hai mai provato a "lavorare" sulla lunghezza?
    Considerando che un bruteforcer NON sa a priori quale sia la lunghezza e il charset utilizzato, vedo un tradeoff (per l'uomo) molto migliore tra una roba non-mnemonica (charset complesso) e corta, e una mnemonica (quindi con charset piccolo), e LUNGA.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Walrus
    >
    > > Abbiamo provato anche a spiegar loro come creare
    > > password solide a partire da termini comuni come
    > > "tauromachia" trasformato in "t@ur0mach1@" che
    > > seppur non perfetto (dato che nei dizionari per
    > i
    > > brute ci sono anche queste varianti) almeno
    > > avrebbe evitato di beccarla al primo colpo come
    > > un "paolo1973" o cose
    > > simili...
    > condivito abbastaza il resto (anche se, a seconda
    > degli ambiti, puo essere fastidioso)... ma invece
    > di infilarsi nella "complicazione della pw", non
    > hai mai provato a "lavorare" sulla
    > lunghezza?
    > Considerando che un bruteforcer NON sa a priori
    > quale sia la lunghezza e il charset utilizzato,
    > vedo un tradeoff (per l'uomo) molto migliore tra
    > una roba non-mnemonica (charset complesso) e
    > corta, e una mnemonica (quindi con charset
    > piccolo), e
    > LUNGA.

    Ahimè la fantasia dell'utonto nel trovare parole banali di qualsiasi lunghezza è inversamente proporzionale alla sua capacità di scegliere parole non presenti nei dizionari più basilari.

    Abbiamo fatto svariate audit interne per verificare la solidità delle password e da quando filtriamo tutti i dati personali, le squadre di calcio, le marche di automobili e altre cose di questo tipo abbiamo migliorato enormemente i risultati, per quanto possa essere lunga la password ci sarà sempre una parola o combinazione di parole banali, se scegliessero 2 parole completamente scorrelate andrebbe bene, ma in quel caso un ipotetico "mercedesbenzclassea" seppur lungo non è per nulla un problema da indovinare, soprattutto se l'utente ha proprio quell'auto e ahimè la gente quando può scegliere parole di senso compiuto sceglie sempre cose vicine a sè, indi, preferisco impedirglielo.
    non+autenticato
  • - Scritto da: Walrus
    > - Scritto da: bubba
    > > - Scritto da: Walrus
    > >
    > > > Abbiamo provato anche a spiegar loro come
    > creare
    > > > password solide a partire da termini comuni
    > come
    > > > "tauromachia" trasformato in "t@ur0mach1@" che
    > > > seppur non perfetto (dato che nei dizionari
    > per
    > > i
    > > > brute ci sono anche queste varianti) almeno
    > > > avrebbe evitato di beccarla al primo colpo
    > come
    > > > un "paolo1973" o cose
    > > > simili...
    > > condivito abbastaza il resto (anche se, a
    > seconda
    > > degli ambiti, puo essere fastidioso)... ma
    > invece
    > > di infilarsi nella "complicazione della pw", non
    > > hai mai provato a "lavorare" sulla
    > > lunghezza?
    > > Considerando che un bruteforcer NON sa a priori
    > > quale sia la lunghezza e il charset utilizzato,
    > > vedo un tradeoff (per l'uomo) molto migliore tra
    > > una roba non-mnemonica (charset complesso) e
    > > corta, e una mnemonica (quindi con charset
    > > piccolo), e
    > > LUNGA.
    >
    > Ahimè la fantasia dell'utonto nel trovare parole
    > banali di qualsiasi lunghezza è inversamente
    > proporzionale alla sua capacità di scegliere
    > parole non presenti nei dizionari più
    > basilari.
    >
    > Abbiamo fatto svariate audit interne per
    > verificare la solidità delle password e da quando
    > filtriamo tutti i dati personali, le squadre di
    > calcio, le marche di automobili e altre cose di
    > questo tipo abbiamo migliorato enormemente i
    > risultati, per quanto possa essere lunga la
    > password ci sarà sempre una parola o combinazione
    > di parole banali, se scegliessero 2 parole
    > completamente scorrelate andrebbe bene, ma in
    > quel caso un ipotetico "mercedesbenzclassea"
    > seppur lungo non è per nulla un problema da
    > indovinare, soprattutto se l'utente ha proprio
    > quell'auto e ahimè la gente quando può scegliere
    > parole di senso compiuto sceglie sempre cose
    > vicine a sè, indi, preferisco
    > impedirglielo.
    se uno e' tonto E' tonto e non c'e' molto da fare. Pero' fa MOLTA differenza se l'utente viene spinto a mettere UNA parola o una frase (non corta).
    Pur capendo la legge di murphy, sono convinto che spesso ci si concentra sulla apparente semplicita' della pw (quindi da scartare), DIMENTICANDO che 'da esterni' non si puo sapere quanto lunga sara', che charset, e che "pattern" avra' mai usato l'utente.
    Col vero bruteforce (62^n o meglio 96^n, con n>=8 permutazioni) si ragiona in anni normalmente (dipende dall'algo e dai pc in campo ovviamente. ma rimane sempre TANTO).
    Col dizionario o bruteforce a pattern, si puo scendere anche di molto. MA qui spesso casca l'asino. L'admin che legge una pw tipo "mourinho e' un rompicoglioni!" puo pensare che e' banale. Ma non lo e' mica tanto! pw di 31 caratteri con spazi e interpunzione. parole comuni, ma come lo produci un dizionario del genere?? Tenendo conto che l'attacker NON sa che charset hai usato, ne quanto e' lunga la pw.
    Ammettiamo pure che l'attacker sappia che e' un appasionato di calcio..
    Potrebbe permutare 250000 parole da dizionario ita e altre 3000 prese dal mondo del calcio, producendo frasi sino a 5-6 parole... e poi per ognuna permutare le maiuscole, aggiungeretogliere interpunzioni... eccecc.. non ho voglia di stare a pensare quanto verrebbe grosso. ma certo MOOLTO grosso.
    E cmq basta pocopoco per rendere la pw ancora piu' complicata di quella che ho scritto.
    non+autenticato
  • Apprezzo molto il tuo contributo alla discussione, concordo con tutto quel che dici, se si utilizza una vera e propria "frase" o combinazione di parole allora hai ragione al 100%, se invece si dice semplicemente "password di almeno 32 caratteri" si rischia che la maggiorparte utilizzi password vicine al limite minimo, è vero che non si sà quanto sarà lunga la password inserita ma da esperienza e analisi a riguardo la maggioranza delle password utilizzate corrispondono alla lunghezza minima o pochi caratteri in più, indi, se metto un limite a 32 minimi saranno principalmente dai 32 ai 35-36, difficilmente qualcuno utilizzerà per sua scelta una password da 80 caratteri, bisogna anche considerare l'utilizzabilità di una password così lunga se devi inserirla ogni pochi minuti.
    non+autenticato
  • > Abbiamo fatto svariate audit interne per
    > verificare la solidità delle password e da quando
    > filtriamo tutti i dati personali, le squadre di
    > calcio, le marche di automobili e altre cose di
    > questo tipo abbiamo migliorato enormemente i
    > risultati, per quanto possa essere lunga la
    > password ci sarà sempre una parola o combinazione
    > di parole banali, se scegliessero 2 parole
    > completamente scorrelate andrebbe bene, ma in
    > quel caso un ipotetico "mercedesbenzclassea"
    > seppur lungo non è per nulla un problema da
    > indovinare, soprattutto se l'utente ha proprio
    > quell'auto e ahimè la gente quando può scegliere
    > parole di senso compiuto sceglie sempre cose
    > vicine a sè, indi, preferisco
    > impedirglielo.

    Mi pare 'na minchiata. Poi magari si scopre che voi salvate le password in chiaro nel db eh!
  • Le audit vengono effettuate tentando noi stessi di bucare i sistemi utilizzando metodi comuni e meno comuni, il motivo per cui non possiamo "chiedere di cambiare la password" a un utente che ha inserito una banalità è proprio che nessuno di noi si sogna di salvarsi le password ma solo l'hash della stessa e quindi non abbiamo modo di sapere a posteriori se le password sono fallaci.

    Comunque, evitate le password più ovvie concordo che frasi o gruppi di parole sono molto più solide, se si aggiungono spazi o altro senza dubbio è un ottima cosa, stà di fatto che la social engineering è sempre il metodo più efficace, se un utente rivela la sua password o non segue le regole base per tutelarla l'unica speranza è obbligarne il cambio sovente e forzarne la complessità, l'ignoranza è senza limiti, è capitato di gruppi di lavoro che salvavano le pass su TXT in disco di rete per usare gli account dei colleghi... di fronte a queste azioni qualsiasi prevenzione diventa davvero poco utile e la cosa peggiore è che normalmente sono gli utenti con i privilegi maggiori a essere più ignoranti sulla sicurezza e sui rischi legati alle loro utenze.
    non+autenticato