Il 2020 non è ancora finito, ma conosciamo già le tue password preferite

Proprio come ogni anno passato, la comunità di sicurezza informatica ha completato la sua valutazione di fine anno delle pratiche relative alle password e delle abitudini degli utenti. Purtroppo, la panoramica per il 2020 non è particolarmente incoraggiante.

C'è una grande quantità di consigli su Internet sulla sicurezza delle password. I nostri articoli trattano l'argomento molto spesso. Tuttavia, sembra che le persone siano particolarmente testarde quando si tratta di password e si rifiutano semplicemente di ascoltare e imparare.

Che tu ci creda o no, "123456" è ancora la password più comune tra le persone intervistate nel sondaggio sulla sicurezza delle password. I ricercatori di sicurezza di solito pubblicano una metrica che descrive la forza stimata della password - "time to brute-force", che si riferisce al tempo necessario a un hacker o a un gruppo di malintenzionati per decifrare una determinata password. Questa metrica non è nemmeno applicabile quando si tratta di password come "123456", poiché la password è troppo usata, facile da indovinare e ovvia.

Il secondo posto nella password hall of shame è riservato a "123456789". Sembra che le persone in qualche modo pensino ancora che mettere insieme più numeri consecutivi uno dopo l'altro renda la loro password più sicura. Questo semplicemente non è il caso e non è mai stato.

Altre stringhe di password classiche di lunga data come la parola "password" continuano a figurare tra le prime 10 password più comunemente utilizzate per l'anno 2020. L'unica password nell'elenco delle prime 10 che non è indovinabile da una forza bruta lo script in pochi secondi è "picture1". Purtroppo, il tempo necessario a un normale computer di casa per forzare una password come "immagine1" è di un paio d'ore, il che significa ancora che la password è tutt'altro che sicura.

Sembra che le persone comprendano quasi alcuni dei principi delle buone password ma non li implementino mai veramente bene, come il tentativo maldestro di mescolare lettere e numeri nella stringa.

Qual è la differenza tra un secondo e diversi secoli?

Per dare una sorta di prospettiva sulla robustezza della password, abbiamo creato una password di prova che utilizza un mash-up di due parole insolite, risultando in una stringa non trovata in un dizionario, con più simboli e numeri gettati nel mix, e abbiamo eseguito la stringa di 18 caratteri risultante tramite un controllo della sicurezza della password. Il risultato è stato che ci sarebbero voluti circa centinaia e centinaia di anni per forzare questa stringa, anche quando si utilizza una rete di elaborazione di grandi dimensioni, rendendola effettivamente indistruttibile.

Non sempre è necessaria una stringa di 20 simboli per avere una password sicura, basta mescolare lettere, simboli e numeri in buona misura e non usare mai parole semplici che puoi trovare nel dizionario, poiché la maggior parte degli script di forza bruta si basano su enormi database di dizionari per decifrare le password.