Lo screen della cartella “Collection #1” ospitata sul portale di file hosting “Mega” e contenente milioni di password uniche. Fonte: blog ufficiale Troy Hunt.
Il 2 maggio scorso è stato celebrato l’annuale World Password Day e, nonostante le ripetute raccomandazioni degli esperti di sicurezza online e le periodiche classifiche delle password meno sicure da utilizzare sul Web, l’utente medio sembra intenzionato a non abbandonare la classica combinazione “123456”.
E’ quanto afferma uno studio supervisionato dal National Cyber Security Centre (NCSC) del Regno Unito e Troy Hunt, l’esperto che ha contribuito alla messa online del portale Have I Been Pwned, utile strumento per verificare se i propri indirizzi email e/o password siano stati compromessi da una delle più recenti violazioni di dati avvenute online – un enorme archivio di informazioni sensibili (circa 87GB di file .txt) è stato visionato dallo stesso Hunt nel mese di gennaio 2019 ed ha contribuito alla realizzazione del portale citato qualche riga fa.
Il ricco database di credenziali e non solo, ospitato su un popolare sito di file hosting (Mega, ex Megaupload) ed il cui link era finito in uno dei tanti forum del deep web, è stato soprannominato The Collection #1, dal nome della cartella principale che ospita tutte le varie sottocartelle ed i file di testo con indirizzi email e password. Per rendere meglio l’idea dell’enormità dell’archivio, adoperato anche per lo studio dell’NCSC, Hunt ha menzionato una serie di interessanti cifre che riassumiamo qui di seguito:
- le password e gli indirizzi email di The Collection #1 occupano 2,692,818,238 righe di testo;
- sono presenti 1,160,253,228 combinazioni uniche di email e password;
- sono presenti 772,904,991 indirizzi email unici;
- sono presenti 21,222,975 password uniche.
Ma torniamo allo studio della NCSC ed alle 100.000 password più ricorrenti individuate dagli analisti e da Troy Hunt.
Da 123456 ad Eminem. E c’è anche Batman.
Come è possibile notare qui sotto, le combinazioni più popolari sono state suddivise in “categorie”: nella classifica generale spiccano i 23.2 milioni (mln) di 123456 seguito a debita distanza da 123456789 (7.7 mln). Qwerty è al terzo posto con 3.3 mln. Abbastanza preoccupante la presenza di 1111111 (3.1 mln) nella top5, una password probabilmente individuabile in una frazione di secondo dai più basilari programmi brute force perché costituita dallo stesso numero ripetuto più volte.
Nella categoria “nomi” si posiziona al primo posto ashley (432,276) ed al secondo michael (425,291). Medaglia di bronzo per daniel a quota 368,227.
La Premier League è ben rappresentata da liverpool (280,723), chelsea (216,677) ed arsenal (179,095).
In ambito musicale primeggia invece il gruppo dei blink182 (285,706), seguono poi due vecchie glorie dell’hip hop come 50cent (191,153) ed eminem (167,983).
La rassegna si chiude con la categoria dei “personaggi immaginari” in cui si posiziona primo superman (333,139). La seconda e terza posizione, separate da circa 5000 riscontri, appartengono rispettivamente al ninja naruto (242,749) ed a tigger (237,290 – “Tigro” nell’adattamento italiano ndr) della serie per bambini Winnie the Pooh.
Resoconto password più riutilizzate, fonte: NCSC
Quali sono i consigli degli esperti per salvaguardare le proprie credenziali ed account online? Ancora una volta di riutilizzare il meno possibile le medesime password ed ovviamente di affidarsi a combinazioni complesse. Per facilitare il compito potrebbe essere il caso di affidarsi ad un password manager affiancato possibilmente dall’autenticazione a due fattori.
Fonti: 1, 2, 3 (lista completa delle 100k password più ricorrenti).
