La brutta abitudine di usare pessime password per proteggere gli account digitali è dura a morire: il celebre “123456”, nomi di cani e gatti, date di nascita, squadre di calcio sono alcuni degli esempi più ricorrenti. Lo svela una ricerca del National Cyber Security Centre interno all’agenzia di intelligence governativa britannica (ii Government Communications Headquarters), pubblicata non a caso l’11 aprile, cioè nella giornata nazionale degli animali domestici: nel Regno Unito, il 15% degli utenti ha scelto il nome del proprio amico a quattro zampe come parola chiave in una o più registrazioni online, a cominciare dall’account di posta elettronica.
Similmente, un 14% impiega il nome di un membro della famiglia, mentre il 13% inserisce come credenziali una data significativa (un compleanno, un anniversario) e il 6% sceglie di usare il nome della squadra sportiva del cuore. E c’è anche chi fa di peggio, il 6% dei britannici utilizza la parola “password”, accompagnata da altre lettere o numeri oppure addirittura da sola.
Questi espedienti sono certo un aiuto per la memorizzazione, ma come sappiamo sono una porta aperta ai tentativi di furto dati, eseguiti con attacchi brute force (con software che tentano in automatico un gran numero di possibili combinazioni di username e password) e con tecniche di social engineering (in cui le vittime vengono “studiate” attraverso i social network e altre fonti, per dedurre informazioni utili).
La password più usate nel mondo e in Italia
Lo spaccato britannico si affianca a quello, più ampio, stilato da Nordpass, azienda titolare dell’omonimo servizio di password manager: nella classifica delle parole chiave più usate nel 2020 in tutto il mondo al primo posto c’è “123456”, al secondo “123456789”, al terzo “picture1” e al quarto proprio la parola “password”. Interessante, e scioccante, è notare quanto poco serva, in media, per forzare queste credenziali così deboli: questione di secondi.
Le password più usate nel 2020 (Fonte: Nordpass)
E in Italia? Secondo l’annuale classifica di SplashData, eseguite su un campione di cinque milioni di credenziali, anche da noi la scelta più comune (fatta dal 3% degli utenti) è quella, dai tragici effetti, di “123456”. Inoltre circa il 10% degli italiani abitualmente usa la stessa password per registrazioni varie, fatto che può generare dannose reazioni a catena se anche solo uno degli account viene violato.
Come scegliere password efficaci (e ricordarle!)
I consigli del National Cyber Security Centre britannico su come scegliere password efficaci e sicure ricalcano quelli che i vendor di cybersicurezza vanno ripetendo da anni. Il primo e più importante è di usare per la posta elettronica una parola chiave diversa da quella di altri servizi, così da scongiurare l’effetto a catena nel caso la casella email venga violata. Selezionare una parola particolarmente efficace per l’email è molto importante. Utilizzare combinazioni casuali di lettere e numeri è sempre una buona idea, ma se preferiamo parole di senso compiuto perché più facili da ricordare, allora possiamo accostare vocaboli e numeri.
A meno di avere una memoria di ferro, o di fidarci di post-it e appunti sull’agenda (con il rischio di perderli), i browser e i programmi password manager ci vengono in aiuto. Memorizzare le credenziali all’interno del browser ci aiuta, inoltre, a difenderci dai siti malevoli, come quelli di phishing, poiché il programma di navigazione riconosce se atterriamo su un sito già noto e in quel caso può proporre la compilazione automatica dei campi di login.
Altra pratica soluzione è l’uso di un programma password manager, come quelli proposti da LastPass, 1Password, Okta, Keeper, KeePass, Dashlane Business, RoboForm, TeamPassword, True Key, Enpass, Avatier o Thycotic Secret, per citarealcune delle alternative più popolari. Secondo le stime di Mordor Intelligence, il mercato dei software di gestione delle password valeva poco meno di 1,25 miliardi di dollari nel 2020 e crescerà in modo impressionante nei prossimi cinque anni (+15,9% di tasso Cagr), fino a superare i 3 miliardi di dollari nel 2020. D’altra parte, con l'affermazione strutturale dello smart working di massa e con la continua migrazione sul cloud di servizi e applicazioni aziendali, è molto verosimile che il numero delle password usate su Internet crescerà notevolmente nei prossimi anni.