Da una ricerca effettuata sulla base di più di 3 milioni di parole derivanti da password rubate si deduce che le più utilizzate sono quasi sempre le stesse.
Nelle prime 10 posizioni troviamo infatti termini come qwerty, admin123, admin, 1234567, 111111, 12345, 12345678, 123456789, 123456. Dunque le combinazioni numeriche semplici continuano ad andare per la maggiore.
In assoluto la peggiore più utilizzata è 123456. Al secondo posto troviamo invece “password”, forse complice il fatto che alcuni produttori di dispositivi o fornitori di servizi la usino di default, lasciando in mano all’utilizzatore finale il compito di cambiarla. Ma questo, a quanto pare, non sempre succede.
Una delle caratteristiche che possiamo notare in molti termini presenti nella lista è il cosiddetto “password walking”, traducibile come “parola chiave che cammina”, ossia una password formata da caratteri e numeri vicini tra loro.
A parte i soliti “123456”, “qwerty” e derivati, anche al contrario, notiamo pure diverse varianti che sembrano sicure ma sono riconducibili a sequenze e algoritmi abbastanza semplici, per esempio “1a2s3d4f”, una sequenza di numeri e lettere alternati ma ordinati su una classica tastiera qwerty. Anche l’uso delle maiuscole non rafforza adeguatamente una password se limitato solo alla lettera iniziale, come spesso accade.
Si deduce quindi che le password dovrebbero essere lunghe, complesse e casuali per poter essere considerate sicure.
- Lunghe perché la forza di una password è data innanzitutto dalla sua lunghezza. Ogni carattere in più aumenta considerevolmente la sicurezza della password. Una password di 8 caratteri non è più considerata sicura, una password di 9 caratteri può andare bene, ma vista la rapida evoluzione delle tecnologie di decifrazione sono consigliabili 13 o più caratteri.
- Complesse perchè l’uso misto di lettere maiuscole e minuscole, numeri e simboli aumenta enormemente le possibili combinazioni necessarie per indovinare la password e quindi i tempi necessari per decriptarla ai programmi usati dagli hackers.
- Casuali perchè gli hackers conoscono tutti i più frequenti patterns di costruzione delle password e li hanno integrati negli algoritmi usati per decifrare le password, quindi bisogna aggiungere elementi casuali.
Come creare una password sicura e allo stesso tempo facile da ricordare? Ecco alcune tecniche che forniscono un valido aiuto.
L’idea di fondo è di usare una base per la password facilmente memorizzabile e poi variarla.
Ma prima di entrare nei dettagli, leggete questi consigli:
- non servono troppe modifiche alla base. Basta inserire un numero, qualche simbolo e qualche maiuscola, in posizioni semplici, per creare una password sicura e allo stesso tempo facile da ricordare. Non creare password usando regole troppo complesse, altrimenti farai fatica a ricordare la password.
- evita modifiche ovvie. Ad esempio, non capitalizzare soltanto la prima lettera della password. Evita di aggiungere 1, 2 o ! alla fine della password, sono le finali più usate. Evita di sostituire vocali con numeri (ad esempio, sostituzioni di “o” con “0”, “i” con “1”, “e” con “3” sono frequenti). Tutte queste modifiche ovvie seguono patterns (strutture) che gli hackers conoscono e che hanno integrato negli algoritmi dei loro programmi. Per superare questo problema devi cercare di rendere il più casuale possibile la tua password. Ad esempio, rendere maiuscole lettere in mezzo alla password piuttosto che nei posti più ovvi (come l’inizio). Oppure, sostituire lettere con numeri o simboli casualmente (ad esempio sostituire una “o” con “3” invece che con “0”).
Qualcuno afferma ironicamente che la password più sicura è quella che non si riesce a ricordare.
Continua l’approfondimento su HWReload