Nonostante l’aumento degli attacchi informatici e i progressi nelle tecnologie di cybersecurity, molti utenti continuano a ignorare l’importanza di proteggere le proprie credenziali. E così il sesto rapporto annuale di NordPass, gestore di password proprietario lanciato nel 2019 che da sei anni mappa le consuetudini relative alle password evidenzia ancora un dato preoccupante: “123456” è ancora la password più usata, sia a livello globale che in Italia, usata da oltre 3 milioni di utenti per i propri account personali e oltre 1,2 milioni per quelli aziendali. Questo comportamento, che riflette una scarsa attenzione alla sicurezza dei dati personali, comporta un grave rischio, poiché una password così semplice può essere decifrata in meno di un secondo. E, in effetti, il 78% delle password comuni è facilmente vulnerabile.
Le password deboli, come quelle riportate nella classifica di NordPass, sono particolarmente esposte agli attacchi “brute-force”, che consentono di provare migliaia di combinazioni al secondo. Inoltre, il riutilizzo delle stesse credenziali su più account aumenta ulteriormente il rischio di compromettere diversi sistemi.
La classifica delle password più comuni nel mondo
Nel suo consueto rapporto “Top 200 Most Common Passwords“, NordPass ha analizzato milioni di credenziali raccolte da fonti pubbliche e dal Dark Web. I risultati mostrano che “123456” domina ancora la classifica delle password più utilizzate al mondo, una posizione che ha mantenuto per cinque degli ultimi sei anni. In seconda posizione si trovano combinazioni altrettanto banali, come “123456789” e “12345678”. Oltre ai numeri, però, emergono anche scelte più personali ma altrettanto rischiose, come “password” (che aveva preso il primo posto nel 2022), “qwerty123” e parole come “qwerty1” o “secret”.
Nonostante le continue segnalazioni sulle password deboli, molte persone continuano a modificarle leggermente, come nel caso di “qwerty”, che è stata cambiata in “qwerty123”. Una versione, quest’ultima, che è diventata subito altrettanto popolare e vulnerabile, soprattutto in paesi come Canada, Lituania, Paesi Bassi, Finlandia e Norvegia. Lo stesso vale per “password”, che non è più solo una scelta degli italiani, ma è diffusa anche in altri paesi, come gli Stati Uniti, dove è al quinto posto, e nel Regno Unito e in Australia, dove occupa il primo posto.
I dati raccolti evidenziano una varietà sorprendente nelle preferenze per le password, che riflettono influenze culturali e personali. Alcuni utenti scelgono parole come “iloveyou” o espressioni più forti come “fu*kyou”, mentre altri utilizzano nomi di brand o personaggi, come “pokemon” o “naruto”. Altri ancora optano per versioni leggermente modificate di parole comuni, come “P@ssw0rd”, che però, avvertono gli esperti, è facilmente decifrabile in meno di un secondo.
Interessante anche la variazione delle password in base ai Paesi: nel Regno Unito, ad esempio, è comune “liverpool”, mentre in Australia spicca “lizottes”, il nome di un noto locale. In Finlandia e Ungheria, invece, si trovano rispettivamente “salasana” e “jelszo”, che significano semplicemente “password”.
Le password più comuni in Italia
Anche in Italia, la situazione non sembra migliorare. “123456” è ancora la password più utilizzata, seguita da altre combinazioni prevedibili come “cambiami” e “123456789”. Altri esempi di password comuni nel nostro Paese includono “juventus”, “amoremio”, “francesco”, “alessandro” e “giuseppe”.
Un aspetto interessante della ricerca è che molte persone continuano a scegliere parole o nomi legati alla cultura popolare, come brand e personaggi noti, ma anche questi risultano facili da indovinare per chiunque. Per tutte queste password bastano solo pochi secondi (non minuti!) per essere facilmente scoperte.
Le password aziendali più diffuse: la stessa leggerezza
Nonostante le password siano da tempo un tema discusso in ambito aziendale, anche nel settore professionale persistono abitudini pericolose. Il 40% delle password utilizzate sia da utenti privati che da responsabili aziendali è identico. Combinazioni come “admin”, “newuser” e “welcome” sono particolarmente comuni, ma altre, come “newmember” o “newpass”, sono anch’esse ampiamente utilizzate. Questo è un grave pericolo per la sicurezza aziendale, poiché la scelta di password predefinite o semplici facilita l’accesso dei cybercriminali ai sistemi aziendali, anche tramite attacchi “brute-force” che testano milioni di combinazioni in pochi secondi.
Il numero crescente di password per persona
La pericolosità di una password debole è accentuata dal fatto che un utente medio gestisce circa 168 password personali e 87 lavorative. La difficoltà nel tenere traccia di un numero così elevato di credenziali spinge molti a scegliere password semplici e a riutilizzarle, aumentando il rischio di violazioni della sicurezza sia per gli individui che per le aziende.
Come migliorare la sicurezza delle password
Per migliorare la sicurezza online, Karolis Arbaciauskas, responsabile dei prodotti aziendali di NordPass, suggerisce alcune best practice fondamentali:
- Evitate l’uso di combinazioni ovvie come sequenze di numeri, parole comuni o informazioni personali.
- Creare password complesse e lunghe: È fondamentale usare password di almeno 20 caratteri, che includano numeri, lettere e simboli speciali.
- Evitare di riutilizzare le password: Ogni account dovrebbe avere una password unica per ridurre il rischio di compromissione.
- Utilizzare le passkey: Le passkey sono una tecnologia moderna che offre un’alternativa più sicura alle password tradizionali.
- Implementare politiche aziendali sulle password: Le aziende dovrebbero adottare politiche di sicurezza che includano, per esempio, l’autenticazione a più fattori (MFA) e l’uso di gestori di password per proteggere le credenziali.
La raccomandazione è sempre prestare attenzione a quando si naviga su internet poiché i pericoli sono sempre dietro l’angolo.
“Non importa se al lavoro indosso giacca e cravatta o se scorro i social media in pigiama, sono sempre la stessa persona. Ciò significa che, indipendentemente dall’ambiente in cui mi trovo, le mie scelte in materia di password sono influenzate dagli stessi criteri: di solito convenienza, esperienze personali o ambiente culturale. Le aziende che ignorano queste considerazioni e lasciano la gestione delle password nelle mani dei propri dipendenti rischiano di mettere a repentaglio la sicurezza online dell’azienda e dei clienti” ha spiegato Arbaciauskas.
Il report di NordPass si basa su un’analisi di 2,5 terabyte di dati, estratti da fonti pubbliche e dal Dark Web. Questa ricerca ha permesso di raccogliere informazioni su password rubate e esposizioni di dati, creando una panoramica dettagliata delle abitudini degli utenti in 44 paesi. I dati sono stati poi organizzati per nazione, evidenziando le preferenze regionali in termini di sicurezza delle credenziali.
