16.12.10

La password più comune? 123456. CVD

Come ben sapranno i professionisti della sicurezza lettori di questo blog, nei giorni scorsi si è verificata una fuga di informazioni dal gruppo Gawker media, che pubblica tra gli altri i blog Gizmodo, IO9 e Lifehacker.
Le informazioni riguardavano i dati di circa 1.300.000 utenti, dati tra cui erano presenti anche le  password, codificare con l'algoritmo DES (mah!, n.d.r.)
Ebbene, gli esperti di Duo Security si sono presi la briga di decodificare 400.000 di queste password e hanno trovato i seguenti risultati:
  • 123456 è la password più diffusa, essendo presente più di 2500 volte;
  • password è la seconda in classifica, essendo la scelta di 2200 utenti;
  • 12345678 buona terza, con 1200 utenti;
  • qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234 seguono a breve distanza.
Sebbene la protezione di un account Gawker possa non essere considerata strategica da molti dei suoi utenti, il vero pericolo risiede nella possibilità che la stessa password utilizzata per entrare in Lifehacker o Gizmodo possa essere utilizzata anche per accedere servizi più sensibili per l'utente, come la email, l'e-banking e altro ancora.
Con un database come quello divulgato, contenente anche gli indirizzi e-mail, diventa semplice entrare in possesso dell'identità di un utente:
  1. il db contiene password e indirizzo e-mail;
  2. ottenuta una password di accesso a Gawker, la si prova per l'accesso alla e-mail;
  3. nel caso fortuito che le due password coincidano, acceduta l'e-mail, si leggono i messaggi per identificare eventuali servizi sensibili a cui l'utente è iscritto, tipo l'e-banking;
  4. si prova ad accedere all'e-banking con le stesse credenziali e, nel caso che la password sia diversa, si segue la procedura di cambio password, che normalmente prevede l'invio di un messaggio alla e-mail.
Sebbene il soddisfacimento di questi passaggi non sia esaustivo per ottenere le informazioni di accesso e uso di un servizio di e-banking, ci consente di arrivare molto vicino: un hacker con la volontà di malversare avrebbe già una buona base di partenza.
Va da sé che, quindi, sebbene le tecnologie moderne di sicurezza ci permettano di proteggerci con mezzi ulteriori, una buona password è e rimane un punto fondamentale per mitigare i rischi di accesso ai nostri servizi da partedi ospiti indesiderati.

Per qualche ulteriore suggerimento su come creare buone password, leggete il nostro nuovo blog Sicurezza e Privacy (ancora in beta).
Se, inoltre, volete dilettarvi a scoprire quanto è sicura la vostra password, provate lo strumento disponibile su http://howsecureismypassword.net/ che, attraverso un calcolo effettuato da un javascript in locale al vostro browser, vi dirà quanto tempo ci vuole per cracckare la vostra password con un programma su un comune PC.