L'originalità non è ancora diventata una moda nell'ambito della sicurezza informatica. A dimostrarlo le liste di password (sempre le stesse) più utilizzate dagli utenti. NordPass, un servizio di gestione password, ha diffuso una ricerca sulle chiavi di accesso più utilizzate in 35 Paesi. I risultati dell’analisi sono stati ottenuti dallo studio di un database da 6,6 TB costruito sia da archivi pubblici, sia da archivi di dati rubati diffusi nel dark web. La prima posizione è occupata dalla sempiterna 123456. Dalla terza alla sesta sono semplicemente varianti che oscillano tra 123456789 a 1234.

In Italia la password più utilizzata è un’altra: “admin". Un segno dell'inequivocabile pigrizia degli utenti che accettano la chiave d'accesso pre impostata, decisamente semplice da hackerare. Eppure basta poco, ci sono le pass key che sfruttano il riconoscimento biometrico, e come ha spiegato Fabrizio D'amore, professore di cybersecurity della Sapienza di Roma, anche creare una password sicura non è così difficile. Basta usare parole prive di senso. Il problema però sta alla base.

Quest’anno, la password più comune a livello mondiale è “123456”. Ma perché continuiamo a usare queste password poco sicure?

Primo perché rappresentano una scelta semplice, quasi ovvia, in moltissimi sistemi ci sono password precostituite, poi queste scelte appartengono alla tradizione, le classifiche delle password più usate sono sempre molto simili, cambia qualche nome di qualche posizione.

Ma queste classifiche sono attendibili?

No, per fare uno studio scientifico bisognerebbe conoscere tutte le password del mondo che le persone usano, e poi calcolare le frequenze. Questi studi si basano solo su quelle trapelate.

Come fanno gli hacker a rubare le password?

C’è un modo molto semplice, sul web ci sono moltissime rainbow tables. Sono stati calcolati tutti i possibili esiti che si ottengono a partire da ogni parola del dizionario, una lista di parole in una lingua, poi vengono elencati in queste tabelle. Quindi il fatto di scegliere una password che sia una parola che appartiene a una lista nota ti espone. Si tratta di un miliardo di parole, per un computer non è molto.

Gli hacker usano un software per provare tutte le parole elencate nella tabella?

Sì, e le dirò, in un corso di ingegneria del primo anno i ragazzi sono già in grado di programmare un software del genere, è molto facile.

Questo è il metodo più semplice. Ce ne sono altri?

Sì per esempio gli attacchi a forza bruta che testano innumerevoli combinazioni di password fino a trovare quella corretta per ottenere l'accesso. Normalmente le possibilità sono tantissime però esistono alcuni casi in cui un hardware particolarmente potente è in grado di fare operazioni di questo tipo. Si chiama non a caso a forza bruta perché il computer lavora a una velocità inimmaginabile per l’uomo.

C’è ancora poca consapevolezza sulle password poco sicure?

Sì, perché è ancora molto grande la fetta di utenti che utilizza questi strumenti senza comprenderli a pieno, quando sono nate c’era una percezione diversa dei computer, non c’era consapevolezza, non si insegnavano queste cose. Oggi invece un nativo digitale, nato dopo il 2000, avrà un’impostazione diversa.

Le pass key possono essere una soluzione?

Sì, sono una buona soluzione perché ci permettono di sostituire l’uso della password con l'autenticazione biometrica. Vengono vendute come una novità ma la tecnologia che c’è sotto appartiene a idee che hanno preso forma negli anni ‘70.

E perché ancora tante persone non le usano?

Le dirò, spesso chi chiama un esperto chiede di creare applicazioni che prevedono un accesso tramite password, l’ingegnere spiega che è un metodo vecchio e rischioso e il committente comunque preferisce usare le password al posto dell’autenticazione biometrica, perché è qualcosa che conosce. Potrebbe eliminare le vulnerabilità dovute a brutte scelte delle password ma preferisce non farlo.

Come si fa a scegliere una password sicura?

Bisognerebbe scegliere una frase che sia al di fuori di ogni lista. Non deve essere una parola di senso compiuto in una lingua, e non deve nemmeno essere nelle tabelle che citavo prima.

Per esempio molte volte quando si deve scegliere una password viene richiesta la combinazione di lettere, numeri e simboli. Quindi questa combinazione non è sicura?

Questo è un aspetto interessante perché queste regole hanno una certa utilità in quanto aumentano le combinazioni da indovinare e quindi rendono la vita più difficile agli hacker, però da ormai 15 anni diversi studiosi, come Bruce Schneier, hanno cominciato a dire di smetterla di vessare il pubblico con queste regole assurde e restrittive sulle password.

Ci sono diversi casi in cui una password debole ha creato problemi anche ad aziende e istituzioni importanti. 

Me ne vengono in mente molti. Diverse volte quando sono stato chiamato da aziende e istituzioni che volevano un parere riguardo ad alcuni incidenti mi sono ritrovato davanti a situazioni strane. Una volta un’azienda aveva scritto sul disco la sua chiave di cifratura. Quindi era un segreto di Pulcinella.

Ma in questi casi non sono stati consultati preventivamente gli esperti?

Sì, ma spesso non viene lasciata carta bianca. Io ho tanti studenti che mi sono venuti a trovare e mi hanno detto, ‘ci avete insegnato cose bellissime poi siamo entrati nelle aziende e non ce le hanno fatte applicare'. Questo in Italia succede molto spesso.