La nostra presenza online inizia sempre da un nome utente e una password: ovunque sul Web accediamo tramite un profilo, all'interno del quale vengono registrate le nostre abitudini e le nostre preferenze. E siccome di profili sul Web ce ne sono ormai miliardi (ognuno di noi ne ha almeno due o tre, tra indirizzo e-mail e social), non c'è da stupirsi se vengono pubblicati anche studi specifici sulle password. Da questi studi escono fuori dati interessanti, come le 10 password più usate al mondo, che vengono poi usati sia dai "buoni" che dai "cattivi". E per buoni intendiamo gli specialisti di security, che lavorano ogni giorno per rendere la nostra presenza online sempre più sicura, mentre per cattivi intendiamo gli hacker, i cybercriminali e tutti coloro che lucrano alle nostre spalle su Internet.
Tra le ricerche più interessanti sulle password c'è quella realizzata da WP Engine, noto hosting specializzato in siti Wordpress che ha analizzato 10 milioni di password rubate e rivelate nel corso degli anni dagli hacker. La ricerca, intitolata "Smascherate: cosa ci dicono 10 milioni di password sulle persone che le scelgono", è a dir poco illuminante perché svela sia quanto poco siano sicure la stragrande maggioranza delle password usate nel mondo (ma questo, purtroppo, lo sapevamo già) sia i meccanismi mentali che portano le persone a scegliere una password invece che un'altra. Prima di continuare, però, bisogna fare una precisazione: quello che la ricerca di WP Engine mostra sono correlazioni, non rapporti di causa-effetto. Ma le correlazioni sono più che sufficienti per fare statistiche e descrivere un fenomeno.
Le 50 password più usate al mondo
La ricerca non poteva non cominciare con il dato più curioso, cioè quello sulle 50 password più usate al mondo (o, almeno, nel database da 10 milioni analizzato). Quel che emerge è quanto siano scontate le password che usiamo: l'1,6% delle password analizzate compare nella lista delle prime 10, lo 0,6% è proprio la password più usata. Che, neanche a dirlo, è la banalissima "123456". La seconda password più usata è, udite udite, "password" mentre dalla terza alla decima sfilano "12345678", "qwerty", "123456789", "12345", "1234", "111111", "1234567" e "dragon". In fondo alla lista delle prime 50 password, dalla quarantunesima alla cinquantesima, troviamo: "harley", "zxcvbnm" (cercate queste lettere sulla tastiera), "asdfgh" (cercate anche queste), "buster", "andrew", "batman", "soccer", "tigger", "charlie" e "robert".
Aggiungere un numero rafforza la password
Tra le regole d'oro per rafforzare una password, ce lo dicono da anni, c'è quella di aggiungere un numero per renderla più complessa. E, in effetti, WP Engine ha trovato circa 420 mila password con un numero dentro. I problemi, però, sono due: il primo è che il numero era sempre alla fine, il secondo è che il 23,84% delle volte quel numero era "1". Anche in questo caso, quindi, è chiaro che se il numero lo aggiungi in modo banale non rafforzi nulla.
L'entropia di una password
Poi WP Engine si è dedicata ad analizzare l'"Entropia delle password". Dove per entropia si intende la non linearità della parola chiave, ad esempio se viene inserito un numero o un carattere speciale in mezzo ad essa. Di password "entropiche" ne sono state trovate 485 mila su 10 milioni e si è scoperto che uomini e donne, in quanto ad entropia delle password, si possono praticamente sovrapporre e le differenze sono minime: tra gli uomini sono più frequenti password con una entropia compresa tra 0 e 25, mentre tra le donne sono più frequenti quelle con entropia tra 25 e 60. Ma, lo ripetiamo, sono differenze minime: un paio di punti percentuali al massimo.
Anni '80, decennio dell'amore
Altro fatto curioso emerso dalla ricerca di WP Engine è che chi è nato negli anni '80 usa molto più spesso la parola "Love" all'interno della password. Il 5,7% delle parole chiave scelte da chi è nato in quel decennio contiene "Love", contro solo il 2,2% di quelle scelte dai nati negli anni '50. Ad entrare nel dettaglio, poi, scopriamo che è 4 volte più frequente la password con "ilove" + nome maschile rispetto a quella con "ilove" + nome femminile.
Cosa possiamo imparare dalla ricerca sulle password
Dall'analisi di 10 milioni di password si possono certamente trarre alcune conclusioni. Lo ripetiamo: conclusioni basate sulla correlazione, non su un vero rapporto di causa ed effetto. Ma a chi cerca di violare la tua password poco interessa della causa che ti ha spinto a scegliere "123456": a lui interessa violare la tua password. È chiaro che usiamo parole chiave troppo semplici, troppo scontate e troppo "gettonate". Moltissime delle parole chiave analizzate in questa ricerca erano assolutamente alla portata di un normalissimo software per forzare le password. Se vogliamo realmente proteggere i nostri account, allora, non ci restano che due sole scelte: o facciamo un grande sforzo e ci inventiamo una password realmente lunga, complicata e con dentro caratteri e numeri di tutti i tipi, o ci affidiamo a un generatore casuale di password per crearla e a un buon password manager per ricordarcela.
26 giugno 2019