Dall’attacco a Gawker Media del 2010 alla lista delle peggiori password del 2014 il passo è breve

Vi ricordate la violazione del 2010 ai danni di Gawker Media? Molte delle password decriptate compaiono nella lista delle peggiori password del 2014 elaborata da Gizmodo, parte di Gawker Media. Compariamo i due fatti.

Gizmodo ha pubblicato una lista delle password “più popolari” del 2014, e quindi facili da hackerare, prendondo un po’ in giro coloro che le utilizzando. Va detto però – ironia della sorte – che Gizmodo è parte del gruppo Gawker Media, passato alla storia per una pessima gestione delle password. Nel 2010, infatti, alcuni hacker riuscirono ad entrare nella loro rete, decriptando circa 200.000 password piuttosto scelte male. Perché dunque non comparare quell’avvenimento e le relative password decriptate, con la lista delle pessime password, realizzata da Gizmodo?

Sedici delle venticinque password che appaiono nella lista delle password più popolari di quest’anno (e perciò meno effettive) appartengono alla lista delle password più usate da Gawker, decriptate durante la breccia nel 2010. Se diamo un’occhiata alla top-50 delle password più comuni coinvolte nell’attacco a Gawker, solo 4 password non sono in nessuna delle due liste. Perciò, se la vostra password è: “access”, “mustang” o la simpatica “696969”, beh… state facendo quasi un buon lavoro, meglio di molte altre persone.

La lista stessa è un collage di password coinvolte in fughe di dati e leak avvenuti durante l’anno e messa insieme dall’azienda di sicurezza informatica SplashData. Come potete osservare, SplashData prepara questa lista ogni anno e osserva se qualcosa è cambiato rispetto alla lista precedente, se una password ha guadagnato o perso posizione. Ho messo un asterisco a ogni password che compare anche nella top-50 di Gawker.

1. 123456 (nesun cambio)*
2. password (nesun cambio)*
3. 12345 (era al numero 17)*
4. 12345678 (meno 1)*
5. qwerty (meno 1)*
6. 123456789 (nesun cambio)
7. 1234 (più 9)*
8. baseball (nuova)*
9. dragon (nuova)*
10. football (nuova)*
11. 1234567 (meno 4)*
12. monkey (più 5)*
13. letmein (più 1)*
14. abc123 (meno 9)*
15. 111111 (meno 8)*
16. mustang (nuova)
17. access (nuova)
18. shadow (nesun cambio)*
19. master (nuova)*
20. michael (nuova)*
21. superman (nuova)*
22. 696969 (nuova)
23. 123123 (meno 12)*
24. batman (nuova)*
25. trustno1 (meno 1)*

È interessante osservare che l’80% delle password etichettate come “nuove” comparivano nella top-15 delle password di Gawker più di 4 anni fa. Inoltre, è interessante osservare anche che la password “123456789” non è una “new entry” all’interno della lista elaborata da SplashData, ma non appare nella terribile top-50 di Gawker.

Ad essere precisi, le password che sono state soffiate a Gawker erano criptate. È stato possibile rubarle perché 188.000 di queste password erano pessime e facili da decriptate sulla base dei loro hash. Criptare le password immagazzinate è una sorta di requisito di sicurezza di base. Quello che si può imparare dall’ “hackeraggio” di Gawker è che persino i più “saggi” o attenti di noi potrebbero usare una pessima password.

Morale della favola, niente di nuovo sul fronte occidentale: le persone non usano delle buone password

Morale della favola, niente di nuovo sul fronte occidentale: le persone non usano password efficaci e, a dire il vero, non conoscono, né applicano le misure di sicurezza in generale. Ecco perché la tecnologia e l’industria di sicurezza hanno dovuto prendere le redini della situazione. Non si può dare la colpa agli utenti delle fughe di dati, soprattutto nel caso di quegl’attacchi che hanno ispirato quella lista o che hanno portato al furto di migliaia di foto appartententi a molte celebrity.

Quello che vi posso dire – e infatti, l’ho già fatto – è come creare una password forte e facile da ricordare. Non è fisica quantica. Chiunque può creare una password forte, tutti siamo consapevoli dei rischi associati alle password deboli e ridiamo quando ne sentiamo parlare. In realtà, quello che ci blocca nel crearle è la pigrizia perché ci scoccia creare ed avere mille password diverse ed uniche per ogni account.

In questo senso, il sistema Digits, creato da Twitter , o TouchID di Apple, insieme a molte altre misure biometriche, basate sugli SMS o sul secondo fattore di autenticazione, sono così promettenti. Sappiamo che queste misure o tecnologie non sono perfette, ma ci offrono la possibilità di sperimentare nuove forme di autenticazione che possano aiutarci ad allontanarci da una delle forme meno perfette: la password.

Consigli