Come ogni anno dal 2013 si celebra oggi il Word Password Day. Il primo giovedì del mese di maggio è il giorno in cui vengono ricordati agli utenti i rischi derivanti dall’uso di password deboli. In base alla ricerca di Nord Security, la password più usata al mondo è sempre l’immortale 123456. Il Garante per la protezione dei dati personali fornisce alcuni utili consigli per scegliere password sicure. Il Regno Unito considera invece illegali quelle predefinite.
Password più popolari in Italia
Secondo Nord Security, azienda che sviluppa NordPass, la password più usata nel 2023 è 123456, seguita da admin, 12345678, 123456789 e 1234. Tutte possono essere decifrate in meno di un secondo.
La più popolare in Italia è admin. Seguono 123456, password, Password e 12345678. Come si può notare, gli utenti “più furbi” credono che una sequenza numerica più lunga o l’iniziale maiuscola offrano una maggiore protezione. In realtà, le attuali schede video (incluse quelle usate per addestrare i modelli IA) possono decifrare in pochi minuti anche password più complesse.
Consigli del Garante
Il Garante per la protezione dei dati personali fornisce alcuni utili consigli. La password dovrebbe avere una lunghezza minima di 15 caratteri e contenere numeri, lettere maiuscole, lettere minuscole e simboli speciali (ad esempio $, % e &). La password non deve includere nessun riferimento personale (nome, cognome, data di nascita, username, alias e simili).
Gli utenti non devono inoltre usare la stessa password per diversi servizi (email, social media, app) e le password temporanee o predefinite devono essere immediatamente cambiate. Ovviamente anche una password complessa è inutile, se viene scritta su un foglietto attaccato al monitor. Meglio usare un password manager, come NordPass, LastPass, 1Password, KeePass e Bitwarden.
Il Garante suggerisce anche di attivare l’autenticazione in due fattori (se disponibile). La soluzione migliore è usare le passkey, ma non sono ancora supportate da tutti i servizi.
Password illegali nel Regno Unito
Il Regno Unito è il primo paese al mondo a vietare le password deboli predefinite. In base alla legge, entrata in vigore a fine aprile, i produttori non possono più vendere dispositivi con password 12345, admin o simili.
La password deve essere casuale o generata al primo avvio. In caso di violazione, la sanzione può arrivare a 10 milioni di sterline o al 4% delle entrate annuali globali. In Europa è previsto il Cyber Resilience Act, ma l’iter legislativo è ancora in corso.