Le diecimila password peggiori

Rethymno - Porta / DoorMark Burnett ha raccolto nel tempo varie password che sono state pubblicate per buchi nella sicurezza.

Adesso ha deciso di pubblicare le 10.000 password più utilizzate, quindi le 10.000 password da non utilizzare mai.

Le password sono in un file di testo, che può essere importato in un archivio di black-list per evitare che gli utenti scelgano password troppo facili da indovinare.

L’archivio contiene password in minuscolo, ma le varianti maiuscole, CamelCase o 1337 sono oramai considerate analoghe.

L’analisi della distribuzione fatta da Mark è ancora più desolante: il 14% delle password è nelle prime 10. il 40% nelle prime 100, il 79% nelle prime 500 e il 91% nelle prime mille. Questi nono sono solamente dati di una banale analisi di frequenza statistica, ma significa che provando 100 password (e relative varianti) si scardinano il 40% degli account, quasi uno su due.

Da qui la solita annosa domanda: qual è la password ideale, a parte quelle generate casualmente?

Da evitare decisamente quelle nell’archivio pubblicato da Mark, tutte le parole presenti in un dizionario o in un’enciclopedia (la wikipedia potrebbe aiutare).

Restano termini gergali, dialettali e delle parole inventate. Anche se nell’ultima ipotesi esistono (almeno per ora in inglese, ma non è difficile modificarli) degli algoritmi che generano parole pronunciabili, quindi una parola inventata come bamambaum potrebbe non esistere in nessuna enciclopedia o dizionario, ma potrebbe essere generata da un algoritmo di quel tipo.

Una delle sequenze memorizzabili più vicina ad una stringa casuale sono le prime n lettere delle parole di una frase che si conosce bene, come l’incipit di un’opera, una frase famosa, il ritornello di una canzone. La regola principale è evitare gli schemi fissi o le sequenze indovinabili se sono note parte di esse.

Non è una cosa facile, ma ne va della propria sicurezza e di quella delle persone con cui interagiamo perché se si mette pippo come password della mail un malintenzionato potrebbe colpire tutti i nostri contatti inviando mail apparentemente legittime.

 

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

5 pensieri riguardo “Le diecimila password peggiori”

  1. 12345 è la combinazione che un idiota userebbe per la sua valigia! (cit.)

    P.S.: il primo link dell’articolo non funziona…

  2. Diciamo che l’elenco e la riflessione vale per gli americani direi (osservando le password). In Italia a parte i casi numerici, sarebbero quasi tutte escluse.

    Per mia esperienza al top c’è sempre il campo blank, ovvero senza password, seguite da date di nascita dei figli, nome dei figli/cani/gatti, 1111 o 11111 o 111111, e poi 1234 o 0987 e loro varianti progressive.

    Quasi nessuno usa password anglofone.

  3. P.S. ho fregato i fiocchi neve, mi seguono dappertutto, ma non se vado in alto… sebbene potrebbero. Seguire ‘troppo’ le leggi della gravità… Non sono quindi fiocchi di neve geek !!!

    1. Sono inclusi nel tema che utilizzo, che li attiva il 4 dicembre e li disattiva il 4 gennaio. Esistono anche plugin specifici di WordPress per aggiungere i fiocchi di neve ai temi senza questa… feature. 🙂

Spazio per un commento