Chi pensa che le proprie password siano sicure perché sono lunghe, forse dovrebbe ripensarci! Un nuovo studio condotto dal team di ricerca Specops mette in discussione questo preconcetto. Analizzando circa 800 milioni di password violate, gli esperti hanno scoperto che la lunghezza media delle password era inferiore a 12 caratteri e che l’85% di esse era inferiore a 12 caratteri.
Ma i ricercatori hanno anche scoperto che una lunghezza di 8 caratteri era la più vulnerabile, probabilmente perché corrisponde alla lunghezza predefinita delle password in Active Directory, la directory dei sistemi Windows.
La lunghezza della password non è l’unico fattore determinante
Le password a 8 caratteri più compromesse includono parole comuni come “password”, “ricerca” e “GGGGGGG”. In totale, Specops ha identificato 212,5 milioni di password potenzialmente violate.
Successivamente, il numero di password compromesse diminuisce all’aumentare della loro lunghezza. Ma anche se sembrano più sicure, le password più lunghe non sono immuni dalle minacce. La lunghezza in senso stretto non è più sufficiente. L’efficacia di una password dipende dalla diversità dei suoi caratteri, dalla sua complessità e dalla regolarità delle sue modifiche. Il numero di password compromesse rimane molto elevato per i codici a 14 caratteri (67,7 milioni), a 15 caratteri (45,7 milioni) e persino a 16 caratteri (31,1 milioni).
Sequenze semplici come “GGGGGGGG” continuano a comparire regolarmente, a dimostrazione del fatto che molti utenti di Internet preferiscono ancora la semplicità alla sicurezza.
Questo studio può servire da lezione: una password deve essere forte e complessa per resistere agli attacchi. Ma se in questo caso mettiamo (leggermente) in dubbio la pertinenza di password più lunghe, dovremmo creare sistematicamente codici lunghi? “La risposta è chiara: assolutamente”, afferma Specops Software.
Come già sottolineato prima, la stragrande maggioranza delle password compromesse (85%) è lunga meno di 12 caratteri. I ricercatori hanno scoperto che una password di 12 caratteri contenente numeri e caratteri vari, oltre a lettere maiuscole e minuscole, richiederebbe a un hacker 26.500 anni per essere decifrata. Naturalmente, la password deve essere sottoposta a hashing, cioè convertita in una stringa alfanumerica che, a differenza della crittografia, la rende irreversibile e quindi più sicura.
Una password di 12 caratteri composta solo da numeri può essere decifrata all’istante. E se la password lunga viene compromessa (il phishing e altre forme di social engineering esistono ancora, purtroppo), non c’è nulla da fare, soprattutto se gli aggressori mettono le mani su un database di password di un’applicazione online o di un sito meno sicuro.
Per proteggere i propri dati online, è consigliabile usare una password lunga e complessa, che mescoli lettere, numeri e simboli. Inoltre, è importante attivare la doppia autenticazione, che richiede un codice aggiuntivo oltre alla password, e usare una password diversa per ogni sito o applicazione. Queste sono le migliori pratiche per rendere più difficile il lavoro dei pirati informatici, Perché nessuna strategia di password è ancora totalmente infallibile.