World Password Day. La classifica delle peggiori password… e come evitarle. Arriva, come ogni anno, l’appuntamento con il World Password Day, la Giornata internazionale delle Password che si celebra ogni primo giovedì del mese di maggio. Un’occasione, preziosa, per fare il punto della situazione su una delle più comuni e dolorose vulnerabilità dei sistemi informativi delle nostre imprese (qui la classifica delle password più usate nel 2023).

Nell’era del digitale anche i dati più sensibili vengono spesso archiviati online, eppure il senso di responsabilità nei loro confronti non sempre si dimostra all’altezza del loro valore intrinseco, a giudicare dalla natura di molte password che proteggono o, meglio, dovrebbero proteggere i sistemi IT dall’accesso dei soggetti non autorizzati.

Nel 2024, ancora molte password si dimostrano del tutto inadeguate al loro scopo, a causa della loro debolezza.

Nel 2024 ancora troppe persone, sia nel contesto personale che in quello professionale, utilizzano password deboli, di default e, ancor peggio, tendono ad utilizzare sempre le stesse credenziali di accesso per più servizi online. Si tratta di una situazione che rappresenta un autentico rigore a porta vuota per i criminali informatici, capaci di violare una password “debole” in meno di un secondo, anche senza particolari abilità.

Da una recente ricerca di Verizon Business (2023 Data Breach Investigations Report) emerge come l’86% degli attacchi alle applicazioni web avvenga attraverso credenziali rubate. Il dato, pur sorprendentemente elevato, non stupisce affatto, se si pensa che un utente medio di Internet dispone all’incirca di circa 100 password (dati NordPass, 2024).

Vediamo quali sono le peggiori password in assoluto e cosa sarebbe opportuno fare per rendere più robusti i propri sistemi di autenticazione, almeno per quanto riguarda la creazione e la gestione delle credenziali di accesso.

World Password Day: “123456” si conferma la password peggiore al mondo, ma non in Italia

Secondo uno studio pubblicato da Nordpass per il 2023, “123456” si conferma la password più violata al mondo (4.524.867 infrazioni), seguita a stretto giro da “admin” (4.008.850 infrazioni), che vanta il poco invidiabile primato per quanto riguarda l’Italia. Tra le password meno efficaci figurano, tra le altre: “12345678”, “1234”, “password”, “111111”, “admin123”, “qwerty” e moltissime altre.

L’indagine di NordPass, intrapresa dal 2019 con pubblicazione su base annuale, è stata commissionata ad un team di ricercatori indipendenti, specializzati nell’investigazione sugli incidenti di sicurezza informatica, che hanno operato su un database di circa 4,3 TB, ottenuto grazie all’acquisizione di diverse fonti di dominio pubblico, ivi comprese quelle disponibili sul famigerato dark web, dove spesso vengono diffuse e venduti i dati rubati a seguito di un furto di credenziali.

Secondo quanto si legge nella presentazione del report: “I ricercatori hanno classificato i dati in diversi segmenti, in modo da poter eseguire un’analisi statistica per ciascun Paese. NordPass ha ricevuto solo informazioni di tipo statistico dai ricercatori, prive di qualsiasi riferimento ai dati personali degli utenti di Internet”.

Le password citate sono state rubate da molti malware celebri nell’ambito dell’esfiltrazione dei dati, come Vidar, Redline, Azorult, Cryptbot e Taurus.

Leggi anche

World Password Day, la classifica delle più usate e… delle peggiori

World Password Day. Password deboli e password forti

Una password è ritenuta debole quando manca di quelle caratteristiche che la rendono robusta rispetto alle moderne tecniche di hacking (brute force, straightforward, dictionary attack, credential stuffing, ecc.). Un quadro di vulnerabilità intrinseca, a cui vanno aggiunte le insidie provenienti dalle attività di social engineering, che mirano ad ingannare un utente ai fini di fargli cedere in maniera più o meno volontaria le proprie credenziali d’accesso.

Tra le password “deboli” è opportuno citare:

  • Password brevi: prendendo ad esempio i già citati campioni della fragilità “123456” e “admin”, andrebbero evitate serie numeriche e singole parole ritrovabili su un dizionario linguistico.
  • Password con ripetizioni di caratteri: ad esempio “1111111111” o “3333dddd”.
  • Pattern di digitazione riconoscibili: come “qwerty” o “1qaz2wsx”, che rappresentano sequenze di tasti consecutivi sulla tastiera.
  • Informazioni personali: nomi propri, date di nascita, indirizzi di residenza ed altre informazioni facilmente ottenibili attraverso l’anagrafica di un utente, ad esempio “francesco76”, “mario1988”, ecc.
  • Password identiche o simili in più account: ad esempio “Francesco76” e “Francesco76!” o “Francesco_76”, facilmente associabili tra loro. Nel caso un malintenzionato riuscisse ad ottenere le credenziali di accesso ad un servizio online, proverà ad utilizzarle anche per accedere ad altri servizi, mediante una tecnica nota come credential stuffing.
  • Password comuni: utilizzare parole come “password”, “password123”, ecc.

Tra i criteri utilizzati per generare credenziali sufficientemente robuste possiamo citare gli standard proposti da NIST, implementate da molti generatori automatici di password, che possono costituire delle valide linee guida anche nel contesto della composizione manuale.

I criteri previsti da NIST consistono in una password da almeno 8 caratteri (meglio se almeno 12) contenenti una maiuscola, una minuscola, un numero e un simbolo. La password andrebbe rinnovata periodicamente, ad esempio almeno una volta ogni due mesi, cercando in ogni caso di creare password fortemente univoche.

Password: come rendere più robuste le procedure di autenticazione

Oltre a scongiurare l’impiego di password deboli, sia in ambito personale che nel contesto aziendale è opportuno intraprendere alcune buone prassi per quanto riguarda la creazione e la gestione delle password. In sintesi, ci sentiamo di suggerire:

  • Creare e aggiornare frequentemente password dalla sintassi complessa, secondo i già citati criteri suggeriti da NIST o metodologie equivalenti. Evitare inoltre di utilizzare la stessa password nel contesto di più servizi online.
  • Utilizzare un password manager: le credenziali con una dicitura complessa sono, giustamente, complesse anche da ricordare. È pertanto opportuno riepilogarle mediante un software per la gestione di password. Si tratta di un metodo sicuro ed ormai molto collaudato per creare e condividere le password utilizzando un solo servizio. Esistono molti provider di password manager, tra cui LastPass, 1Password, Bitwarden, Dashlane o lo stesso NordPass.
  • Utilizzare metodi di autenticazione multifattoriale (MFA): l’impiego di una procedura a più fattori, con procedura di conferma mediante servizi di terzi evita che il furto delle semplici credenziali di accesso possa consentire al soggetto malintenzionato di accedere direttamente a un servizio online. Le informazioni di conferma, come le OTP (one time password), oltre a rendersi necessarie per la conferma di accesso, avvisano il legittimo proprietario di un eventuale tentativo di intrusione da parte di utenti non autorizzati. Si tratta pertanto di un sistema più robusto rispetto al semplice impiego di username e password.
  • Single sign-on: altrettanto efficaci sono i sistemi single sign-on e sincronizzazione delle password, utili per scoraggiare gli utenti dall’adozione di password deboli ed altre pratiche rischiose dal punto di vista della sicurezza informatica, almeno per quanto riguarda le credenziali di accesso ed il loro utilizzo. Tra queste figura ad esempio l’annotazione delle password su un documento testuale, facilmente accessibile da un soggetto malintenzionato in caso di intrusione o furto del dispositivo.
  • Utilizzo di passkey: si tratta di sistemi che fanno proprio il concetto del “qualcosa che sei”, utilizzando una procedura di conferma dell’accesso basato sul riconoscimento di un tratto biometrico, che ovviamente ricade in possesso soltanto del legittimo utente del servizio.

Oltre all’implementazione di queste best practice, in un contesto professionale si rende decisamente auspicabile una campagna di formazione del personale dipendente in merito ai principi fondamentali della sicurezza informatica, tra cui figurano gli aspetti relativi alla gestione degli accessi e delle identità (IAM. Identity and access management), scongiurando, specie nei contesti di lavoro ibrido, l’impiego promiscuo di dispositivi per utilizzo personale e lavorativo.

World Password Day. La classifica delle peggiori password… e come evitarle ultima modifica: 2024-04-29T09:39:37+02:00 da Francesco La Trofa

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui