password safety

Le password più utilizzate nel 2016

E’ stato pubblicato recentemente uno studio della società Keeper sulle password maggiormente utilizzate nel 2016 e di fronte a questi risultati sono doverose alcune serie riflessioni.
Salta subito all’occhio che in quasi il 17% dei casi presi in esame, gli utenti utilizzano “123456” come password per accedere al proprio account.
Ma ancor più grave è il fatto che molti gestori di siti Web non siano in grado mettere in campo pratiche di sicurezza della password migliori e maggiormente efficaci per tutelare i loro clienti.
Lo studio è basato su 10 milioni di password rese pubbliche dopo violazioni di account accaduti nel 2016 e sono da evidenziare alcune considerazioni.
L’elenco di password maggiormente utilizzate sono cambiate pochissimo nel corso degli ultimi anni.

Ecco la situazione nel 2015 e nel 2014.

Questo significa che l’educazione informatica degli utenti ha grossi limiti. Mentre nella maggior parte degli utenti è in aumento la consapevolezza di quali rischi si possono correre utilizzando password semplici, resiste ancora una consistente minoranza che non fa nessuno sforzo per proteggere se stessi e i propri account.
Gli amministratori e gli operatori della sicurezza dei siti Web dovrebbero imporre agli utenti regole maggiormente restrittive nella scelta delle password.
Quattro delle prime 10 password della lista (e sette delle prime 15) sono composte da sei caratteri o meno.

Questo è sorprendente alla luce del fatto che metodi di furto di password tramite attacchi “forza bruta” sono in grado di decodificare le password in pochi secondi.
Anche in questo caso una parte di colpa ricade sugli operatori dei siti Web che permettono questi metodi di protezione davvero fragili.
Anche la presenza di password come “1q2w3e4r” e “123qwe” sembrano indicare i tentativi di alcuni utenti di utilizzare modelli di password imprevedibili per proteggere i loro account.
Nella migliore delle ipotesi, la pigrizia ha vinto sui loro sforzi ancora troppo deboli.
Esistono tipologie di attacchi alle password basato su dizionari che cercano le principali variazioni sequenziali, impiegando pochi secondi per portare a termine il furto di password.
I fornitori (provider) di posta elettronica infine non sembrano mettere in campo le misure necessarie per impedire l’uso dei loro servizi a spammer.

Alcuni esperti di sicurezza ritengono che la presenza nella lista di password apparentemente casuali come “18atcskd2w” e “3rjs1la7qe” stanno a indicare che questi account di posta elettronica con da queste password ripetute, sono stati creati appositamente per attività fraudolente di spam o attacchi di phishing.
I provider di posta elettronica dovrebbero segnalare ripetizioni di password di questo tipo e segnalare o identificare i soggetti dietro a questo account.
Siamo d’accordo sul fatto che la maggioranza degli utenti rifiuta a priori di utilizzare password complesse, anche se dovrebbe essere loro interesse farlo, ma la responsabilità maggiore ricade sui proprietari di siti Web che non riescono a far rispettare le politiche di base per creare password più efficaci e meno vulnerabili.
Non è difficile da fare, gli strumenti ci sono, ma l’elenco chiarisce che molti ancora non se ne preoccupano affatto.