Ogni anno, gli analisti di varie società di cybersecurity rendono pubblici gli elenchi delle password più utilizzate. Tali elenchi sono basati sui dati di password trapelati dai database.
Queste password sono un pericolo per chi usa Internet e i dispositivi elettronici, ma di fatto non è così. Lo dimostra il fatto che alcune sono le stesse da anni e continuano a essere utilizzate tranquillamente. Molti utenti quindi, sono ancora restii a migliorare la propria sicurezza online, scegliendo password deboli e facili da individuare.
L’elenco delle 200 password più comuni di NordPass
L’elenco delle 200 password più comuni di NordPass, pubblicato il mese scorso, fornisce un’interessante panoramica sulla scelta delle password da parte degli utenti. La lista è stata compilata in collaborazione con ricercatori indipendenti, utilizzando un database di 4,3 TB di dati provenienti da fonti pubblicamente disponibili.
Le prime 10 password nell’elenco potrebbero risalire a qualsiasi anno degli ultimi 20 anni e includono combinazioni come “123456“, “admin“, “12345678”, “123456789” e “password“. È interessante notare che la maggior parte delle password sono costituite da numeri. Le parole “admin” e “password” sono comuni password predefinite per alcuni dispositivi, ma sono anche scelte frequenti dagli utenti.
Ci si potrebbe chiedere quali altre password ci si aspettasse di vedere più in alto nell’elenco. Ad esempio, la famosa password “qwerty” si trova alla posizione 25, mentre “admin123” è al 18esimo posto, “user” al 20esimo posto e “demo” al 44esimo posto. Queste password sono spesso utilizzate per alcuni dispositivi e sono anche ampiamente diffuse tra gli utenti.
Un aspetto preoccupante è che tutte queste password richiedono meno di 12 secondi per essere scoperte tramite un attacco brute force. La prima password che richiede un tempo maggiore è “Eliska81”, che si trova alla posizione 40 e richiede 3 ore per essere decifrata. Un altro comportamento comune è quello di aggiungere “@123” a un nome di base. Nell’elenco sono presenti diversi esempi di questo tipo, come “India@123” e “admin@123”. Anche queste password richiedono 3 ore per essere violate.
Hasso Plattner Institut: le password più popolari in Germania
L’Hasso Plattner Institut pubblica ogni anno un elenco simile, ma specifico per la Germania. Le prime 10 password più comuni in Germania includono combinazioni come “123456789”, “12345678”, “hallo”, “1234567890”, “1234567”, “password”, “password1”, “obiettivo123”, “iloveyou” e “gwerty123”. Anche queste password non sono particolarmente difficili da indovinare!
Perché gli utenti continuano a usare password deboli?
Esistono diverse spiegazioni per il continuo utilizzo di password deboli da parte degli utenti:
- Facilità di memorizzazione e digitazione: La maggior parte delle password popolari trapelate ha una caratteristica comune: sono facili da ricordare e digitare. Gli utenti che non utilizzano gestori di password tendono a scegliere password più deboli per facilitare l’accesso ai propri account.
- Ripetizione delle stesse password: Molti utenti utilizzano la stessa password per più account, rendendoli un bersaglio appetibile per gli hacker. Questo comportamento aumenta il rischio di compromissione dei dati.
- Distinzione tra account importanti e non importanti: Una spiegazione potrebbe risiedere nella differenza di sicurezza richiesta da account importanti e non importanti. Gli account bancari, finanziari, di social media, di piattaforme di gioco o di shopping spesso beneficiano di misure di sicurezza più rigorose. D’altro canto, account temporanei o non associati direttamente all’identità dell’utente potrebbero ricevere meno attenzione nella scelta di password robuste.
- Account “usa e getta”: Molti siti richiedono la registrazione prima di consentire l’accesso ai contenuti. Se l’utente ha intenzione di accedere solo una volta o non considera l’account come particolarmente importante, potrebbe non prestare molta attenzione alla creazione di una password sicura.
- Dati trapelati dai database: La disponibilità di database di password trapelati rende più facile per gli analisti o gli attaccanti individuare e forzare password deboli o utilizzare dizionari di password precedentemente trapelate.
Cosa si può fare per proteggere il proprio account
Per proteggere i propri account online, ecco alcune pratiche consigliate:
- Utilizzare un gestore di password: Un gestore di password è uno strumento che aiuta a memorizzare e gestire in modo sicuro tutte le password. Consente di creare password uniche e complesse per ciascun account, evitando la ripetizione delle stesse password.
- Scegliere password robuste: Quando si creano nuove password, è importante che siano complesse e uniche. Utilizzare una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Evitare parole comuni o sequenze numeriche ovvie.
- Abilitare l’autenticazione a due fattori: L’autenticazione a due fattori aggiunge un ulteriore strato di sicurezza richiedendo un secondo metodo di verifica, come un codice generato da un’app o un messaggio inviato al telefono, oltre alla password.
- Mantenere il software aggiornato: Assicurarsi di avere sempre l’ultima versione del sistema operativo e delle applicazioni installate. Le nuove versioni spesso includono correzioni di sicurezza importanti che proteggono dai nuovi rischi informatici.
- Fare attenzione alle e-mail di phishing: Evitare di cliccare su link o allegati in e-mail sospette o provenienti da mittenti non fidati. Le e-mail di phishing possono indirizzare gli utenti a pagine web fasulle che cercano di rubare le credenziali di accesso. Sempre verificare attentamente l’indirizzo dell’e-mail e il contenuto prima di intraprendere azioni.
- Monitorare gli account: Controllare regolarmente gli account per rilevare eventuali attività sospette o non autorizzate. Segnalare immediatamente qualsiasi attività sospetta al provider del servizio.
- Esplorare nuove tecnologie di sicurezza: Esistono nuove tecnologie emergenti, come le Passkey, che offrono alternative alle password tradizionali. Questi sistemi si basano su chiavi crittografiche locali e metodi di autenticazione come PIN, biometria o chiavi hardware per autorizzare l’accesso agli account.