La semplice successione numerica “123456” rimane una delle password più utilizzate per gestire gli accessi agli account online. La rivelazione giunge da un rapporto da poco realizzato dalla società specializzata in sicurezza informatica Imperva Inc. e costituisce un nuovo campanello di allarme per gli esperti del comparto IT, chiamati a confrontarsi ormai quotidianamente con le violazioni dei sistemi causate da una gestione poco attenta delle parole di accesso.
La ricerca diffusa da Imperva è stata realizzata analizzando gli oltre 32 milioni di password resi pubblici in seguito a una intrusione nei database della società RockYou Inc. specializzata nella creazione di applicazioni per Facebook. Le parole di accesso erano state inserite in chiaro in una base di dati scarsamente protetta, condizione che ha consentito all’utente malintenzionato autore dell’intrusione di ottenere il corposo elenco e di pubblicarlo in Rete. Un problema serio per la sicurezza, ma al tempo stesso una buona occasione per compiere una indagine su un ampio campione di password utile per comprendere le abitudini degli utenti e, ove possibile, fornire consigli per migliorare la protezione dei propri account online.
Stando alle evidenze raccolte da Imperva, una considerevole percentuale di utenti continua a utilizzare password costituite da pochi caratteri, facilitando non poco il lavoro degli utenti malintenzionati. Sulla base del campione analizzato, nel 30% dei casi le parole di accesso non contengono più di sei caratteri, mentre il 60% delle password viene creato utilizzando una serie molto limitata di caratteri alfanumerici. La ricerca dimostra, inoltre, come circa la metà degli utenti utilizzi nomi e parole di uso comune facilmente identificabili oppure una combinazione di lettere e numeri consecutivi o adiacenti sulle tastiere.
La password più utilizzata dagli utenti è dunque la semplice progressione “123456”, seguita a poca distanza dalla più corta “12345” e dalla sequenza completa “123456789”. Seguono poi alcune parole di accesso particolarmente banali come “iloveyou” e l’intramontabile “password”. Buona parte delle parole segrete utilizzate dagli utenti e riscontrate nel database di RockYou sono normalmente reperibili negli elenchi stilati da cracker e hacker a testimonianza dei gravi rischi per la sicurezza cui vanno incontro molti proprietari di account online.
«Ognuno di noi deve capire che cosa può comportare l’utilizzo di password poco elaborate in una realtà come quella di oggi caratterizzata dagli attacchi informatici automatizzati: con uno sforzo minimo, un hacker può ottenere l’accesso a un nuovo account ogni secondo o fino a 1000 account ogni 17 minuti. I dati [della ricerca, ndr] forniscono uno sguardo unico nel proprio genere sul modo in cui gli utenti scelgono le loro password e offrono l’opportunità di valutare l’affidabilità delle password come sistema per la sicurezza. Non c’era mai stata prima la possibilità di esaminare una quantità così grande di password realmente utilizzate» ha sottolineato Amichai Shulman, CTO di Imperva, contestualmente alla presentazione dei dati contenuti nello studio da poco condotto.
La ricerca realizzata da Imperva fornisce anche alcuni consigli per mettere in sicurezza i propri account con password meno banali e scontate; suggerimenti semplici e in genere noti, ma raramente applicati con rigore. Si consiglia di utilizzare abbreviazioni di frasi facili da ricordare e che comprendano parole e numeri (la frase “ho un’auto rossa e due bici blu” può per esempio trasformarsi nella password “h1are2bb”) e di utilizzare una parola di accesso diversa per ogni sito web cui si è iscritti. Infine, occorre sempre diffidare dei messaggi email e dei form sospetti realizzati da terze parti che richiedono le password per i servizi cui si è iscritti.
I consigli interessano, naturalmente, anche gli amministratori dei sistemi e delle reti. I responsabili IT dovrebbero fornire agli utenti regole chiare e molto restrittive per la creazione di una password, obbligando l’utenza a utilizzare sia lettere che numeri combinati in parole di accesso sufficientemente lunghe. L’implementazione di sistemi HTTPS e di database criptati può inoltre sottrarre le password da sguardi indiscreti, così come l’utilizzo di captcha e di frasi di senso compiuto possono rendere molto più difficile e rallentare l’opera degli utenti malintenzionati. Consapevolezza, buon senso e opportuni accorgimenti tecnici sono dunque i principali ingredienti per rendere più sicura e semplice la gestione delle password online, con buona pace dei nostri account.