Pagine

Visualizzazioni totali

mercoledì 29 dicembre 2010

La password più usata? "123456"


Imbarazzante, ma anche molto interessante: l'atto di pirateria informatica che ha fatto breccia nel database del gruppo Gawker Media ha rivelato strane abitudini nella scelta delle password da parte degli utenti del web. Tra i siti del gruppo, ci sono santuari della tecnologia digitale come Gizmodo o Lifehacker, eppure non sembra che i frequentatori di questi indirizzi siano poi troppo più saggi e scaltri della media nel decidere con quale parola proteggere i propri dati. Mentre Gawker Media è impegnata a rassicurare i propri iscritti (http://gawker.com/5713056/gawker-security-breach-were-here-to-help) e a proteggerne gli account, con l'invio di 1,5 milioni di e-mail, la stampa internazionale si diverte a guardare dentro i dati di 188.276 registrazioni rese pubbliche dagli hacker domenica notte. La fantasia al potere non deve essere lo slogan preferito da parte di quegli utenti che scelgono come parola d'ordine la sequenza “123456”. Sembra di trovarsi davanti a una gag teatrale del trio Aldo, Giovanni e Giacomo, dove uno smemorato proprietario di bancomat tiene in scacco la fila perché non ricorda il pin (12345, per l'appunto). Ma questo non è teatro: il Wall Street Journal ha stilato una vera e propria classifica delle 50 password più gettonate in base ai dati rubati e diffusi. In cima a tutte c'è la già citata sfilza di numeri, usata da tremila persone, ma al secondo posto non andiamo meglio. La password preferita da circa duemila utenti è... password. Un successo addirittura replicato in bassa classifica, dove si trovano le varianti “Password”, con iniziale maiuscola, e “passw0rd”, con uno zero al posto della vocale. Purtroppo, gli esperti di sicurezza confermano che questa è una parola molto usata anche per lucchettare siti o aree di siti che contengono dati importanti. I tecnici che creano le pagine attribuiscono le credenziali “User” e “Password”, ma nessuno si preoccupa poi di modificare successivamente quella impostazione, anche in molte aziende italiane. Scorrendo verso il basso la classifica del WSJ, si trovano altre perle di sicurezza come “12345678”, oppure, al sesto posto, la variante “abc123”, che introduce almeno l'alternanza tra una banale sequenza alfabetica e una banale sequenza numerica. Uno sforzo eccessivo per circa 500 utenti che scelgono di proteggere l'account con una bella sfilza di “111111”. Scendendo nell'elenco, compaiono alcune citazioni, soprattutto fantascientifiche. Una scelta che non stupisce se si pensa che tra i siti del circuito Gawker ci sono anche indirizzi specializzati in giochi di fantascienza e simili. Ecco dunque che spunta un “trustno1”, non intellegibile da chi non abbia frequentato la serie televisiva X-Files, e non sappia che uno dei protagonisti, l'agente Mulder, usava proprio quella sigla come password. Un po' più colta la scelta di chi usa “thx1138”, titolo dell'esordio cinematografico di George Lucas, che rappresentava un futuro cupo e orwelliano. Non a caso, THX è anche il nome del sistema audio usato al cinema e inventato dai laboratori di Lucas. Chi sceglie, invece, “batman” e “superman”, confida forse che un po' dei superpoteri dei due eroi siano trasmessi alla loro password, e che i cibercriminali siano fermati dal nome dei paladini della giustizia. Lo studio del WSJ ha messo a confronto questi dati con altri, conosciuti, che rigiuardano gli account di posta elettronica. Un conto, infatti, è la protezione di un accesso a un sito, che raramente tutela segreti personali particolarmente delicati, ma è tutt'altra cosa la protezione dell'e-mail. Se è importante la scelta delle lettere e dei numeri nella creazione della password, lo è anche il numero di caratteri che si sceglie di digitare. Tra le password della Gawker ve ne sono fin troppi di soli sei caratteri, ma è effettivamente ancor più sorprendente che anche più del 40% degli utenti di Microsoft e Google adottino una password di sei lettere. Google, però, assieme a Yahoo, può vantare più del 30% di iscritti che sceglie saggiamente di raggiungere gli otto caratteri per la propria parola d'ordine digitale. Eppure, secondo quanto riportato dallo studio, alcune cattive abitudini degli utenti di Gawker si ritrovano pari pari quando si tratta di proteggere la posta elettronica. I fan del termine “passw0rd” sono numerosi in casa Google (0,10%, ma in numeri assoluti sono migliaia di persone), mentre la più romantica “iloveyou” spopola tra le fila degli account di Yahoo e di Microsoft. In Italia, quando si tratta di password, vanno per la maggiore i nomi dei figli e dei compagni di vita, e le loro date di nascita. Un'abitudine frequentata anche all'estero e che il WSJ ha scartato dal proprio studio per evitare possibili identificazioni personali. Un'analisi statistica del 2004 di Visa Europe testimoniava che il 15% delle password nel Vecchio Continente era costituito da compleanni e anniversari e il 14% da nomi di familiari, a cui si aggiungeva un ulteriore 15% attinto dai nomi di cani, gatti e altri amici pelosi (http://passwordresearch.com/stats/statistic150.html). Anche il tifo calcistico è una fonte di ispirazione molto usata da utenti italiani ed europei in genere. Si tratta in fondo di scelte comprensibili, che in altri tempi avrebbero anche potuto dare qualche garanzia di robustezza. Ma non oggi, per noi contemporanei alla moda dei social network. Scoprire i dati anagrafici di mariti, figli e persino amanti non è poi così difficile per gli esperti del cosiddetto “social engineering”. Molto spesso, basta consultare il profilo di facebook della vittima.

Fonte: La Stampa - Autore: Claudio Leonardi