Oggi (4 maggio) è il Password Day! Una data scelta per ricordare l'importanza di tenere sempre protetti i propri account. Nonostante le raccomandazioni che tutti fanno (e che tutti ci facciamo) è ancora difficile adottare l'abitudine di avere delle password robuste, composte da lettere, numeri e caratteri speciali, di non scriverle da nessuna parte e di cambiarle spesso.
Diciamoci la verità: ricordarsi tutte le password per tutti gli accessi che quotidianamente usiamo è una delle più grandi seccature da utenti di internet. Ovviamente, non vale usare sempre la stessa per tutti gli accessi, perchè sarebbe come aprire tutti i portoni con la stessa chiave. Se qualcuno la trova, è finita!
Le password più comuni del 2022 in Italia
Come ogni anno, il Password Day è anche occasione per diffondere i dati aggiornati in merito alla cybersicurezza e le indagini più curiose. Quella più attesa che è ormai diventata tradizione è quella sulle password più comuni. Per il 2022 in Italia abbiamo:
1) 123456
2) 123456789
3) password
4) ciao
5) juventus
6) napoli
7) ciaociao
8) 12345
9) 12345678
10) martina
Dal 10 posto in poi iniziano a comparire i nomi di persona e, presupponendo forse che Martina sia un nome di donna piuttosto diffuso o che gli abitanti di Martina Franca siano piuttosto campanilisti, troviamo veramente tutti i nomi italiani più comuni come Antonio, Francesco, Andrea, Alessandro, Giuseppe, Giovanni, Chiara, eccetera.
La lista comprende ben 200 voci e se volete consultarla tutta la trovate qui. Il sito indica anche quanto tempo occorre per la decifrazione e quante volte quella password è stata trovata (per spiegare il concetto di "più usata"). Per le password delle prime 10 posizioni si va da meno di 1 secondo di tempo per "123456" a 13 secondi per "martina". Praticamente come lasciare la porta di casa spalancata confidando sul senso civico dei passanti.
Come funzionano gli attacchi brute force per le password
L'attacco brute force (o a "forza bruta") è il metodo più usato dai criminali informatici per carpire le vostre password. Tramite programmi appositamente creati, i criminali sono in grado di tentare l'accesso a un determinato sito (o a gruppi di siti) utilizzando tutte le parole del dizionario e poi combinazioni delle stesse parole via via sempre più complesse e sofisticate. Chiaramente, i tentativi sono velocissimi ma occorre comunque del tempo. Dire che una password viene indovinata in meno di un secondo vuol dire che è veramente elementare, mentre dire che viene indovinata in una settimana indica che stiamo usando una password robusta.
Questo perchè i criminali, come spesso ripetiamo, non vi attaccano perchè ce l'hanno in particolare con voi: vi attaccano perchè siete vittime "facili". In un'azione condotta con sistema brute force loro letteralmente non guardano in faccia a nessuno: quando il programma segnala di aver intercettato una password in uso, loro poi procedono con l'ingresso abusivo, poco importa di chi sia quell'account.
Le passkey di Google, la novità
Per una felice coincidenza (o forse un regalo voluto, non lo sappiamo), in concomitanza del Password Day Google ha finalmente rilasciato anche in Italia l'attesa novità delle passkey per accedere al proprio G-account. In un ambito di un futuro "senza password"(come vi avevamo raccontato qui), Big G fa un primo e importante passo avanti introducendo un sistema di autenticazione che di fatto bypassa la digitazione di qualsiasi password incrementando il livello di sicurezza.
In questa pagina, il supporto di Google spiega come attivare e gestire le passkey a seconda del sistema operativo (Windows, Android o iOS). Di cosa si tratta nello specifico? In pratica, attivando la passkey associamo l'"impronta" del nostro dispositivo (il token) al nostro account. Di conseguenza, ogni volta che vorremo accedere dovremo semplicemente accedere al dispositivo come sempre facciamo (tramite impronta digitale, riconoscimento facciale, codice di sblocco o gesture) per poter accedere anche all'account Google senza digitare nessuna password nè autenticazione a due fattori.
La passkey è condivisibile tra più dispositivi, di modo da non doverne ogni volta creare una nuova per lo stesso utente che magari accede da pc e da smartphone, ma sostanzialmente si basa su dati che non possono essere smarriti o rubati (come l'impronta digitale o il riconoscimento facciale appunto), per cui è estremamente sicura.