Lascereste la chiave di casa sotto lo zerbino? 

Probabilmente no, eppure avere una password debole per servizi online o per il proprio PC di casa (o al lavoro) è una operazione del tutto equivalente. Equivalente perché nel mondo digitale non è necessario possedere fisicamente la chiave di accesso, ma è sufficiente conoscerne il valore, lo scritto, insomma averne una “copia”, esattamente come potrebbe fare un ladro con un calco pur lasciando ancora lì, sotto lo zerbino, la vostra chiave, lasciandovi tranquilli e orgogliosi del nascondiglio “perfetto”. 

È naturale che il paragone non sia immediato per i più che si accostano al mondo digitale, ma ad oggi le grida di allarme sul rischio delle “password deboli” sono ormai quotidiane, e tutti questi messaggi dovrebbero aver raggiunto una qualche capacità di persuasione. Ed invece no. 

Ma cosa è una password debole? Una password debole è una password (ossia una parola che, in teoria, dovrebbe essere segreta, ossia conosciuta solo da noi) che un perfetto sconosciuto può conoscere: la può conoscere perché può indovinarla o trovarla con pochi tentativi attingendo alla propria conoscenza di parole, o comunque scritture, note per essere spesso utilizzate come password. Tutto qui. 

Possibile che il fenomeno delle password deboli sia dunque ancora così allarmante? 

A giudicare dai numeri non ci sono dubbi. Nel mondo la password più utilizzata (più di 100 milioni di volte, ossia per un corrispondente numero di credenziali) è “123456”, che è seguita dalla più fantasiosa “123456789” (46 milioni di volte) e poi da “12345” (32 milioni di volte). Come si può immaginare sono frutto della selezione di caratteri posti in ordine sulla tastiera su una posizione che è ricoperta in pratica dalla quasi totalità delle tastiere del mondo occidentale o comunque di lingue anglosassoni o latine. Questo vizio all’ovvio non si ferma se si pensa anche password “qwerty” (22 milioni di volte) che è frutto della digitazione delle prime 5 lettere sul layout (ossia posizione dei tasti) di tastiera occidentale che ne prende addirittura il nome. Senza dimenticare la password “password” (20 milioni di volte), il massimo del fantasioso, come dire “entrate pure”. Non credo serva aggiungere qualcosa per dimostrare il concetto di “debolezza” in questi “nomi segreti”. 

Al modello generale non si discosta il caso italiano, in cui nelle prime posizioni si intravedono (con numero di utilizzi inferiore per dimensione, ovviamente) le medesime password. Ma qui emerge un altro vizio che nei grandi numeri internazionali stenta ad emergere. È quello di utilizzare nomi di senso comune, nomi di persone o di cose che sono attinenti alla nostra vita quotidiana: oggetti, affetti, passioni, interessi. 

L’uso di queste parole è ancora più micidiale, in quanto il tentativo, il cercare di “indovinare” la password, può derivare dall’acquisizione di informazioni sulla persona per cui vi sia un tentativo di accesso illegale agli account, e questo è sempre più facile con la grande esposizione dei dati personali attraverso i social media. Vediamo qualche esempio. 

Per gli appassionati di sport abbiamo “juventus” (sesta posizione con 223375 casi) o “napoli” (decima posizione con 167987 casi) o “forzamilan” (novantatreesimo posto con 43778 casi); per gli innamorati abbiamo l’intramontabile “amoremio” (diciannovesimo posto con 131842 casi) o (secondo l’interpretazione) una enorme sequela di nomi di uomo o di donna, ma potremmo leggere lo stesso come puro narcisismo: “andrea” (nona posizione 185381 casi), “francesco” (undicesima posizione 166477), e via via “giuseppe”, “alessandro”, “antonio”, “francesca”, “valentina”, “stella”, “giovanni”, … l’intero campionario. 

Così le intramontabili “cambiami” con 152926 casi o “ciaociao” con 137375 neppure stupiscono più di un “mamma” con 42964: è il campionario dell’ovvio, del dejavu, della sciatteria e, se vogliamo, dell’irresponsabile, benché (spesso) inconsapevole, ignoranza delle conseguenze. 

Per carità di patria (è il caso di dire) fermerei qui il lungo elenco (che potrete studiare all’indirizzo https://nordpass.com/it/most-common-passwords-list/). Lo studio rivela anche il tempo medio che è necessario ad un hacker per rintracciare le password così definite: per molte siamo di fronte a tempi al di sotto del secondo, ma anche quando si tratti di un intero giorno di lavoro, cosa è questo di fronte alla possibilità di ottenere un accesso ai vostri dati? Se la vittima è “appetibile”, lo sforzo sarà ripagato, e poiché il tempo di attesa non è infinito, questo è perfettamente tollerabile, anzi “spendibile” da parte dell’aggressore. 

Soluzioni: non utilizzare mai modelli di password come quelli visti; è preferibile affidarsi a programmi di generazione password (in genere anche con capacità di portachiavi) che saranno in grado di costruire password complesse, difficili per noi da ricordare (per questo utilizzeremo la funzione portachiavi per conservarle e recuperarle in caso s’uso) ma difficili anche da “indovinare” per un malintenzionato.  

Tweet