Se la tua password è “password” hai un problema

Articolo a cura di NordVPN.

“Hi, Xmas came early this year!” Così il 4 luglio scorso in un forum di hacker l’utente ObamaCare annunciava RockYou2024, una delle violazioni di password più gravi mai registrate con 9.948.575.739 record unici trapelati (appena 3 anni fa RockYou2021 ne aveva violati 8,5 miliardi). 

La maggior parte delle credenziali rubate, secondo le analisi condotte da diversi esperti di cybersecurity, erano deboli, comuni e, dunque, facilmente decifrabili. Insomma, un vero e proprio regalo di Natale. 

Il data breach non riguarda solo gli utenti di internet, anche le aziende e i loro preziosi database di dati sono spesso vittime di questa tipologia di attacchi. Accade a big company come Facebook - nel 2021 gli hacker rubarono le informazioni di oltre 533 milioni di utenti - a istituti di credito, come il celebre furto di 80 mila coordinate bancarie e milioni di richieste di carte di credito da parte di un dipendente dell’americana Capital One, accade a startup e catene di albergo; è accaduto, persino, alla Croce Rossa internazionale. 

E l'Italia?

Per il NPT, in materia di cyber hygiene - ovvero “quell’insieme di buone pratiche e abitudini che aiutano a prevenire attacchi informatici, mantenendo al sicuro dati, reti, dispositivi, sistemi, organizzazioni e utenti” - siamo al penultimo posto e tocchiamo il fondo della classifica quando si tratta di privacy. 

Ad esempio, nonostante il 98% degli italiani affermi di conoscere le modalità per creare password sicure, solo il 18% sa come proteggerle, mentre appena il 19% è in grado di riconoscere un sito di phishing.

A proposito di cattive abitudini digitali e di pessime scelte in fatto di password, è appena stata pubblicata la sesta edizione della ricerca annuale Le 200 password più usate nel 2024 realizzata da NordPass, il gestore di password creato per aziende e utenti privati, progettato dagli sviluppatori di NordVPN, in collaborazione con NordStellar.

L’indagine rivela le password usate con maggiore frequenza nel mondo e in 44 Paesi tra cui l’Italia. L'elenco delle password è il risultato di un’analisi condotta da esperti di cybersecurity indipendenti su un database di 2,5 TB proveniente da fonti pubbliche, comprese quelle sul dark web. 

Insieme alle credenziali per proteggere gli account personali, quest’anno per la prima volta sono state analizzate anche le password aziendali, con risultati inaspettati.

Tra le più utilizzate ci sono, ad esempio, “123456”, al primo posto della classifica (è stata usata 3.018.050 volte), “123456789” (1.625.135), “1q2w3e4r5t”, “qwerty” e la sua variante “qwerty123”, quest’ultima è la più comune in Canada, Lituania, Paesi Bassi, Finlandia e Norvegia. Forse ispirati dai racconti polizieschi di Edgar Allan Poe e dall’idea che per “nascondere bene qualcosa il modo migliore è metterla in piena vista”, sono moltissimi gli utenti ad aver scelto come password la parola “password”, è al primo posto nel Regno Unito e in Australia, al quinto negli Stati Uniti e in Italia. 

Una semplicissima sequenza di numeri resta la chiave d’accesso più comune in Italia, “123456” (usata 46595 volte), seguita da “cambiami” (usata 22472 volte) e da “123456789” e “12345678”, poco più lunghe ma altrettanto deboli, tutte decifrabili in meno di un secondo. 

Puoi consultare la lista completa qui. 

Per la prima volta, la ricerca analizza anche le password utilizzate per gli account aziendali con l’obiettivo di comprendere se e in che modo differiscano da quelle personali (spoiler: non lo fanno!). Gli utenti e i dipendenti aziendali condividono le stesse preferenze in fatto di credenziali: il 40% di queste sono praticamente identiche. 

Ecco le 20 password aziendali più comuni in Italia e il tempo necessario per decifrarle: 

1. 123456 (＜1 secondo)

2. password (＜1 secondo)

3. 12345 (＜1 secondo)

4. 12345678 (＜1 secondo)

5. new_user (2 ore)

6. 123456789 (＜1 secondo)

7. qwerty (＜1 secondo)

8. andrea (2 minuti)

9. francesco (7 secondi)

10. abcd1234 (＜1 secondo)

11. alessandro (1 ora)

12. francesca (7 secondi)

13. juventus (＜1 secondo)

14. Password (＜1 secondo)

15. giuseppe (3 ore)

16. Giovanni (3 ore)

17. New_user (2 ore)

18. martina (13 secondi)

19. perach (2 minuti)

20. federica (52 minuti) 

La ragione la spiega in un comunicato stampa Karolis Arbaciauskas, responsabile dei prodotti aziendali di NordPass: “Non importa se al lavoro indosso giacca e cravatta o se scorro i social media in pigiama, sono sempre la stessa persona. Ciò significa che,

indipendentemente dall'ambiente in cui mi trovo, le mie scelte in materia di password sono influenzate dagli stessi criteri: di solito convenienza, esperienze personali o ambiente culturale.” 

Inoltre, molte delle password predefinite comunemente usate per il primo accesso dei nuovi utenti, come “newmember”, “admin”, “newuser”, “welcome”, “temppass” e che dovrebbero essere modificate dopo il primo login, restano spesso invariate, per distrazione o semplice pigrizia. 

Il risultato è un rischio significativo per la sicurezza dell’intera organizzazione, poiché la compromissione delle credenziali di un singolo utente può esporre l’azienda a possibili violazioni o accessi non autorizzati. 

Secondo un’indagine di NordPass in media, un singolo utente di internet possiede 255 password tra quelle per uso personale (168) e quelle professionali (87). Gestire così tanti account è per la maggior parte degli utenti faticoso e complesso, per questo una delle cattive abitudini di cybersecurity più diffuse è utilizzare le stesse password per siti, servizi e piattaforme diverse. Questi comportamenti espongono più facilmente gli account a vulnerabilità. 

Gli hacker possono violare le password in molti modi, eccone alcuni: 

Una delle tecniche di attacco informatico più diffuse, sfrutta l’ingegneria sociale per sottrarre dati personali agli utenti; ad esempio tramite email contenente link dannosi, mira a rubare credenziali, dati sensibili e finanziari, spesso installando malware. Per questo, è importante dotarsi di strumenti anti-phishing come, ad esempio, Threat Protection Pro™.

In italiano, attacco con metodo a forza bruta. Attraverso un algoritmo gli hacker provano tutte le possibili combinazioni di caratteri fino a identificare quella corretta. È un tecnica che può arrivare a richiedere anni, ma è particolarmente efficace nel caso di password semplici. 

In italiano, Attacco a dizionario: gli hacker si servono di una lista di parole/password comuni (wordlist), risultato di comportamenti prevedibili degli utenti e da precedenti violazioni di dati (come nel caso di RockYou) e, attraverso software automatizzati, testano variazioni delle password aggiungendo prefissi, suffissi e numeri.

Quando un utente salva una password, il sistema trasforma la parola in una stringa di caratteri unica, chiamata hash. Una Rainbow Table

contiene gli hash corrispondenti a ciascun possibile carattere di testo permettendo agli hacker di decifrare le password contenute in un database. 

Sebbene nessuna persona o azienda possa dirsi completamente al sicuro da attacchi informatici, è però possibile ridurre il rischio adottando misure e procedure di sicurezza efficaci e sviluppando comportamenti e abitudini più responsabili. 

Secoli, questo è il tempo necessario per violare una password forte. Per password forte si intende una lunga combinazione casuale di almeno 20 caratteri, tra numeri, lettere e caratteri speciali. Per una maggiore sicurezza è anche possibile ricorrere a una passphrase, una lunga stringa di parole o frasi casuali. 

Ogni account dovrebbe avere una password unica. In questo modo si riduce il rischio che, nel caso un account venga violato, gli hacker possono usare le stesse credenziali per compromettere gli altri.

Le passkey sono chiavi digitali che utilizzano la crittografia avanzata per garantire l'accesso ad account e servizi online senza il bisogno di una password. 

Un gestore di password o password manager è uno strumento che genera, archivia e inserisce password complesse al posto dell’utente, riducendo in questo modo la quantità di password da ricordare. Un esempio è il Password Manager di NordPass, tra i più sicuri sul mercato grazie alla crittografiaxChaCha20, in grado di memorizzare un numero illimitato di credenziali di autenticazione.

È fondamentale per ogni azienda definire una chiara e rigorosa politica di gestione delle password: dall’uso di un password manager all’implementazione di servizi di autenticazione a due fattori (2FA), dalla condivisione di linee guide alla formazione di dipendenti e manager. 

Indipendentemente dal settore o dalle dimensioni, ogni azienda dovrebbe servirsi di soluzioni di cybersecurity contro le minacce informatiche e per mitigare i rischi di un possibile data breach, soprattutto oggi in considerazione della diffusione del modello di lavoro ibrido e da remoto (con il 70% di lavoratori che utilizzano i dispositivi di lavoro per scopi personali). 

Un esempio è rappresentato dalla piattaforma NordLayer di Nord Security, la soluzione di sicurezza progettata proprio per proteggere le reti aziendali da possibili attacchi e violazioni, attraverso strumenti per:

- Limitare le autorizzazioni di accesso alla rete aziendale;

- Gestire identità e accessi;

- Proteggere l’accesso alle risorse da remoto;

- Crittografare il trasferimento di dati attraverso una VPN aziendale; 

- Monitorare il dark web in cerca di possibili violazione di dati;

- Proteggere e gestire le password aziendali con un password manager. 

Secondo uno studio di Accenture sebbene il 43% degli attacchi informatici avvenga contro le piccole imprese, solo il 14% di queste si ritiene in grado di difendere le proprie reti e i propri dati. 

La sicurezza informatica resta ancora per molte realtà imprenditoriali il gigantesco elefante nella stanza che si finge di non voler vedere, salvo quando muovendosi il pachiderma rompe la cristalleria, con perdite economiche e di reputazione enormi. Non è una novità che il punto debole sia la componente umana e la mancanza di consapevolezza, per questo è assolutamente necessario che le aziende partano da qui per individuare soluzioni efficaci e di lungo periodo.

Educare i propri dipendenti a una gestione corretta delle procedure di autenticazione è già un primo, importante passo avanti.