Anche quest’anno 123456 è in vetta alla classifica delle peggiori password più utilizzate al mondo! Lo riferisce SplashData, che ha elaborato un database di credenziali (5 milioni di utenze) formato da dati resi pubblici in seguito ad attacchi di varia natura, inclusi phishing e ransomware.

La classifica viene stilata da otto anni e 123456 vince per il quinto anno consecutivo. E’ evidente come, nonostante l’aumento degli attacchi e la crescita delle vulnerabilità rilevate, la consapevolezza degli utenti rimanga sempre allo stesso livello: scarso.

Ferma restando la certezza che nel mondo digitale nulla è sicuro al 100%, è ormai risaputo che una password solida deve rispondere ad alcuni requisiti minimi di complessità che la rendano difficilmente individuabile ed è necessario considerare che, per scoprirla, oltre ad espedienti ingannevoli per carpirle direttamente agli utenti, è possibile ricorrere a programmi che la trovano tentando ogni possibile combinazione di caratteri. Questi sistemi riescono in pochissimo tempo a scovare una password “semplice”: una frazione di secondo è sufficiente per rivelare una password che deriva da un termine presente nel dizionario, altrimenti – in caso di stringhe di caratteri prive di senso compiuto – pochi secondi bastano per individuare una password di sei caratteri, una decina di minuti per una da sette caratteri.

Molti utenti si demotivano a creare password sicure per due ragioni: il tempo e la memoria. Perché il tempo? Perché scegliere una nuova password è una seccatura, quindi spesso viene ideata di fretta perché accade ad esempio di doverne inventare una nuova alla scadenza di una password vecchia, e allora si ricorre ad una soluzione rapida per accedere velocemente a computer o dati. Ma si ha fretta anche quando la si deve digitare, perché anche scrivere una password lunga viene ritenuta una seccatura. A monte di tutto questo c’è la necessità di doversela ricordare – per questo parlavo di memoria – e una password semplice e breve è ovviamente più facile da ricordare di una complessa: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però, onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che protegge. Per capire quanto è sicura una password, propongo una piccola verifica su How secure is my password? http://howsecureismypassword.net/

Sebbene assicuri di non tenere traccia di quanto digitato, non è indispensabile scrivere esattamente la password che intendete utilizzare: è possibile provarne una simile, con lo stesso numero di caratteri e composta con lo stesso criterio.