Microsoft è testimone di oltre dieci milioni di attacchi informatici ogni giorno. Per arginare il rischio di furto delle password, con cui i cybercriminali ottengono accesso ad applicazioni e dati di ogni genere, d’ora in poi la banalità sarà messa al bando. Su servizi come la posta di Outlook, il Voip di Skype, il cloud di OneDrive e la piattaforma di gaming Xbox Live, qualora un utente scelga una parola troppo semplice o comune, comparirà una finestra contenente la richiesta di optare per una password diversa. In un secondo momento, lo stesso meccanismo sarà applicato anche agli accessi di Azure Active Directory, il servizio di gestione delle identità e accesso per le applicazioni aziendali.
Per capire quali siano effettivamente le parole chiave più deboli, aggiornando poi costantemente la “lista nera”, Microsoft sfrutterà l’analisi quotidiana di più di dieci milioni di attacchi registrati sulla rete dei suoi servizi. Come intuibile (e come confermato dalla classifica annuale di SplashData), in cima alle scelte dei più pigri o ingenui spiccano alcuni classici come “123456”, “password” o “qwerty”, ma anche new entry come “starwars”.
Le 25 peggiori password del 2015 nella classifica di SplashData
Una domanda sorge spontanea: ma non basterebbe il buon senso, associato a un po’ di attenzione e a una minima conoscenza dei principi di base che rendono più complessa una password, per evitare parole facili da espugnare? Evidentemente no, come si apprende da un whitepaper scritto dal program manager di Microsoft, Robyn Hicock. Adeguarsi a richieste quali la lunghezza minima della stringa, la presenza di caratteri speciali e la modifica periodica delle password non fa che esporre ulteriormente queste ultime al rischio di hackeraggio. Il perché, spiegato nei dettagli all’interno del documento, si reduce sostanzialmente al fatto che “le persone agiscono in modi piuttosto prevedibili quando sottoposte a questo genere di richieste”. Nel medesimo whitepaper Microsoft elenca le raccomandazioni da seguire per generare e gestire le parole chiave: evitare le ripetizioni tra password usate per account diversi, non usare parole singole o frasi abusate (per esempio “iloveyou”), né nomi di familiari, amici o gruppi musicali preferiti. È bene, inoltre, sfruttare l’autenticazione a due step.
Agli amministratori It, invece, Microsoft consiglia di imporre come password per gli account Active Directory una lunghezza minima di otto caratteri (specificando che“non è necessariamente di più è meglio”), di mettere in lista nera le scelte più banali, di rafforzare l’autenticazione multi-fattore, di istruire gli utenti a non riciclare la stessa parola chiave su più servizi, di eliminare sia i vincoli di composizione (per esempio, la presenza di un certo numero di caratteri speciali, maiuscole o numeri) sia l’obbligo di reimpostazione periodica delle password.
Il cambio di policy arriva, probabilmente non a caso, a pochi giorni di distanza dalla scoperta di un gigantesco data breach che ha intercettato 117 milioni di credenziali di accesso di utenti LinkedIn. L’episodio non è recente, risalendo anzi al 2012, ma era stato inizialmente sottostimato.