NordPass ha passato al setaccio le password rubate da diversi malware che sottraggono dati e raccolte in un database da 6,6 TB. Inoltre ha redatto un elenco di password da un database di 4,3 TB di dati di pubblico dominio. L’analisi offre un quadro desolante e preoccupante, ecco perché.
Infatti, “secondo questa ricerca”, commenta Domenico Raguseo, responsabile della CyberSecurity di Exprivia, “la password più usata nel 2023 è 123456, scelta da 4,5 milioni di account, in peggioramento rispetto al 2022 in cui 1,5 milioni account avevano scelto la stessa password”.
Ecco le soluzioni per abbandonare le vecchie abitudini che non muoiono mai.
Indice degli argomenti
L’analisi di NordPass sulle password svela la banalità del male
“Anche quest’anno NordPass ha condiviso un’interessante ricerca condotta in collaborazione in collaborazione con ricercatori indipendenti, specializzati in indagini su incidenti di sicurezza informatica”, spiega Domenico Raguseo.
L’elenco di password è frutto del lavoro di NordPass, lo strumento di gestione delle password del team dietro NordVPN. Attingendo a un database di 4,3 TB, frutto di varie fonti di dominio pubblico, incluse quelle sul dark web, i ricercatori hanno pubblicato lo studio sulle 200 password più comuni utilizzate nel 2023.
Ma a preoccupare non è solo il “sensibile peggioramento”, bensì è “osservare che per arrivare ad una password che si possa decifrare in più di un secondo bisogna arrivare alla 11 posizione con la password ‘UNKNOWN’”.
Nel 2022 tuttavia “la testa delle password banali era stata ‘password’ con 4.9M di account”, continua Raguseo: “se il termine di paragone è quindi quello di usare una password estremamente comune, tra il 2022 e 2023 abbiamo avuto un miglioramento”, passando da ‘password’ con 4.9M di account a ‘123456’ con 4.5 milioni di account. Ma non possiamo rallegrarci per così poco.
Infatti, tuttora “troviamo password come ‘admin’ o ‘12345678’ o ‘123456789’ o ancora ‘12345 e ‘1234’ e ’12”. Scende invece in settima posizione ‘password’ che aveva interrotto nel 2022 il dominio di ‘123456’”, evidenzia Raguseo.
Delle 20 password più comuni al mondo, 17 possono essere decifrate in meno di un secondo.
Focus sull’Italia
“Difficile valutare se in Italia prestiamo maggiormente attenzione”, avverte Raguseo, “sicuramente suggerirei di togliere la password ‘admin’ che occupa la prima posizione cosi come eviterei di manifestare la propria italianità con ‘ciaociao’ o con ‘juventus’”.
Inoltre, “essere cordiali con l’avventore è abitudine anche francese che al ‘ciaociao’ italiano risponde con ‘bonjour’ in diciannovesima posizione. Interessante è anche un analisi per tipologia di applicazioni dove la lotta è tra ‘123456’ e ‘UNKNOWN’. Si distingue invece la categoria videogiochi dove la password più usata è ‘1234567890’” .
La lista di NordPass: come porre rimedio al rischio di password banali
“Una attenta lettura all’elenco di Nordpass è fortemente raccomandata: se avete una di queste password in uso per un vostro account, cambiatela”, consiglia Domenico Raguseo.
Lo studio di NordPass ha dimostrato che l’86% dei cyber attacchi sfrutta credenziali rubate e che gli account online, le email e le password costituiscono quasi il 20% degli articoli più comunemente venduti sul dark web.
“Soprattutto, per i vostri account non è molto saggio pensare a password banali”, mette in guardia Raguseo: “Comprendo che il numero di account e la necessità di cambiare password in continuazione non semplifica la vita di chi vuole utilizzare il mondo digitale con efficienza, ma efficienza e sicurezza devono collaborare“.
Per porre rimedio a queste problematiche, “può venire incontro l’adozione di portafogli di password o strumenti di single sign-on”, avverte Raguseo. Si consiglia di adoperare password manager e autenticazione multi-fattore.
“Per i fornitori di servizi in cloud”, sottolinea Raguseo, “che siano semplici videogiochi o eCommerce, l’interconnessione e dipendenza dal mondo digitale non può prescindere da un controllo delle policy di accesso e dall’offerta di soluzioni di multi factor authentication (MDA)”.
Infine per le aziende, “l’attenzione su adozione di sistemi di governo e gestione delle identità e tecniche di gestione accesso sofisticato è oramai imprescindibile, oltre a una sana formazione sulla consapevolezza da parte dei dipendenti“, conclude Domenica Raguseo.
