Gizmodo ha pubblicato una lista delle password “più popolari” del 2014, e quindi facili da hackerare, prendondo un po’ in giro coloro che le utilizzando. Va detto però – ironia della sorte – che Gizmodo è parte del gruppo Gawker Media, passato alla storia per una pessima gestione delle password. Nel 2010, infatti, alcuni hacker riuscirono ad entrare nella loro rete, decriptando circa 200.000 password piuttosto scelte male. Perché dunque non comparare quell’avvenimento e le relative password decriptate, con la lista delle pessime password, realizzata da Gizmodo?
Sedici delle venticinque password che appaiono nella lista delle password più popolari di quest’anno (e perciò meno effettive) appartengono alla lista delle password più usate da Gawker, decriptate durante la breccia nel 2010. Se diamo un’occhiata alla top-50 delle password più comuni coinvolte nell’attacco a Gawker, solo 4 password non sono in nessuna delle due liste. Perciò, se la vostra password è: “access”, “mustang” o la simpatica “696969”, beh… state facendo quasi un buon lavoro, meglio di molte altre persone.
Dall’attacco a @Gawker, alla lista delle peggiori #password di Gizmodo il passo è breve
Tweet
La lista stessa è un collage di password coinvolte in fughe di dati e leak avvenuti durante l’anno e messa insieme dall’azienda di sicurezza informatica SplashData. Come potete osservare, SplashData prepara questa lista ogni anno e osserva se qualcosa è cambiato rispetto alla lista precedente, se una password ha guadagnato o perso posizione. Ho messo un asterisco a ogni password che compare anche nella top-50 di Gawker.
1. 123456 (nesun cambio)*
2. password (nesun cambio)*
3. 12345 (era al numero 17)*
4. 12345678 (meno 1)*
5. qwerty (meno 1)*
6. 123456789 (nesun cambio)
7. 1234 (più 9)*
8. baseball (nuova)*
9. dragon (nuova)*
10. football (nuova)*
11. 1234567 (meno 4)*
12. monkey (più 5)*
13. letmein (più 1)*
14. abc123 (meno 9)*
15. 111111 (meno 8)*
16. mustang (nuova)
17. access (nuova)
18. shadow (nesun cambio)*
19. master (nuova)*
20. michael (nuova)*
21. superman (nuova)*
22. 696969 (nuova)
23. 123123 (meno 12)*
24. batman (nuova)*
25. trustno1 (meno 1)*
È interessante osservare che l’80% delle password etichettate come “nuove” comparivano nella top-15 delle password di Gawker più di 4 anni fa. Inoltre, è interessante osservare anche che la password “123456789” non è una “new entry” all’interno della lista elaborata da SplashData, ma non appare nella terribile top-50 di Gawker.
The 25 most popular passwords of 2014 are a reminder that we're all morons: http://t.co/uIT1t3dYRG pic.twitter.com/JhDByxjWep
— Gizmodo (@Gizmodo) January 20, 2015
Ad essere precisi, le password che sono state soffiate a Gawker erano criptate. È stato possibile rubarle perché 188.000 di queste password erano pessime e facili da decriptate sulla base dei loro hash. Criptare le password immagazzinate è una sorta di requisito di sicurezza di base. Quello che si può imparare dall’ “hackeraggio” di Gawker è che persino i più “saggi” o attenti di noi potrebbero usare una pessima password.
Morale della favola, niente di nuovo sul fronte occidentale: le persone non usano password efficaci e, a dire il vero, non conoscono, né applicano le misure di sicurezza in generale. Ecco perché la tecnologia e l’industria di sicurezza hanno dovuto prendere le redini della situazione. Non si può dare la colpa agli utenti delle fughe di dati, soprattutto nel caso di quegl’attacchi che hanno ispirato quella lista o che hanno portato al furto di migliaia di foto appartententi a molte celebrity.
Quello che vi posso dire – e infatti, l’ho già fatto – è come creare una password forte e facile da ricordare. Non è fisica quantica. Chiunque può creare una password forte, tutti siamo consapevoli dei rischi associati alle password deboli e ridiamo quando ne sentiamo parlare. In realtà, quello che ci blocca nel crearle è la pigrizia perché ci scoccia creare ed avere mille password diverse ed uniche per ogni account.
In questo senso, il sistema Digits, creato da Twitter , o TouchID di Apple, insieme a molte altre misure biometriche, basate sugli SMS o sul secondo fattore di autenticazione, sono così promettenti. Sappiamo che queste misure o tecnologie non sono perfette, ma ci offrono la possibilità di sperimentare nuove forme di autenticazione che possano aiutarci ad allontanarci da una delle forme meno perfette: la password.