#consigli
Se siete clienti Adobe registrati, cambiate immediatamente la vostra password: molte password sono state rubate e si trovano ora su Internet, e c’è persino chi ci ha creato un cruciverba. Noi di Kaspersky Lab prendiamo spunto da questo caso per osservare insieme a voi quali password sarebbe meglio evitare.
Di recente, per via di una vulnerabilità in Adobe, sono stati rubati i dati appartenenti a molti clienti Adobe, provocando serie conseguenze. All’inizio l’azienda ha affermato che l’hackeraggio aveva interessato circa 3 milioni di utenti. In seguito è emerso che il database trafugato conteneva circa 150 milioni di account. Inoltre, le password immagazzinate non erano ben protette e probabilmente facilmente ripristinabili nella sua forma originale. Di conseguenza, Facebook ha richiesto a tutti gli utenti colpiti dal problema di cambiare la propria password, nel caso in cui questa fosse la stessa utilizzata anche per il social network.
Usare la stessa password per diversi account online è molto pericoloso e rappresenta un serio problema di sicurezza. Quel che è peggio è che milioni di utenti fanno gli stessi stupidi errori quando creano una nuova password. Tuttavia, non tutto il male vien per nuocere: prendiamo come esempio alcune delle password più popolari di Adobe e impariamo dai nostri errori.
1. “Password”, “qwerty”e”123456”
Queste password sono davvero ovvie; ciononostante sono ancora ai primi posti di tutte le hit parade delle password più utilizzate. Nel database di Adobe, la password “123456” si mantiene stabile al primo posto della classifica, usata da 2 milioni di utenti. La seconda è un po’ più complicata “123456789”, seguita dalla stessa parola “password”, usata da 345 mila utenti. La popolare sequenza di tasti “qwerty” si mantiene stabile in sesta posizione.
2. Azienda, il suo sito o varianti
Forse potreste pensare che usare come login “John” e come password “Facebook” siano originali. Purtroppo non è così. Naturalmente, il nome di un’azienda non compare normalmente nei dizionari, ma potrebbe essere usato dagli hacker per attacchi di forza bruta sulle password. In ogni caso, cybercriminali con esperienza aggiungeranno tali password al proprio database (come abbiamo visto nel caso Adobe). Questo principio viene applicato alle password che si trovano al quarto, nono, quindicesimo e sedicesimo posto della Top 100 di Adobe: “adobe123”, “photoshop”, “adobe1” e “macromedia”.
3. Nome=Password e risposte alle domande di sicurezza
Sebbene molti fornitori di servizi Internet possano criptare le password immagazzinate molto meglio di Adobe, è piuttosto probabile che gli hacker siano capaci di visualizzare il resto dei campi del database senza molti sforzi. Le informazioni contenute in questi campi (come nome, email, domande o suggerimenti per il recupero della password) sono molto utili ai cybercriminali. Molti utenti usano il proprio nome come password e c’è persino chi inserisce la stessa password nel campo di recupero password.
4. Informazioni facili da rintracciare
Facebook è uno degli strumenti preferiti dagli hacker. Se si possiede l’indirizzo email e lo username della vittima, è molto facile realizzare una ricerca su Facebook e indovinare le risposte alle domande di sicurezza come “cane”, “nome di tuo fratello”, “compleanno”, “lavoro”, “cognome di tua madre da nubile” o “band musicale preferita”. Circa un terzo di tutte queste domande si riferiscono ai membri della famiglia e agli animali, con un’aggiunta di un 15% di casi in cui si cita più o meno direttamente la password stessa.
5. Sequenze semplici
Le combinazioni di lettere, caratteri e numeri sono pressoché infinite. Ciononostante, gli utenti non sfruttano appieno tutte le possibilità di combinazione e preferiscono usare password come “abc123”, “00000”, “123321”, “asdfgh” e “1q2w3e4r”. Se pensate a caratteri o sequenze di caratteri facili da memorizzare, abbandonate l’idea. Anche per gli hacker sarà facile indovinarli e molto probabilmente si trovano nei loro dizionari delle password.
6. Parole semplici e popolari
Secondo vari ricercatori, circa la metà delle password usate dagli utenti è costituita da parole semplici e popolari, contenute nei dizionari e appartenenti alle 10.000 parole più usate nella propria lingua. I computer moderni sono in grado d’inserire fino a 10.000 password in pochi secondi. Ecco perché tali password sono assolutamente inaffidabili. Nella classifica di Adobe, stilata in lingua inglese, ci sono un sacco di password di questo tipo come: “sunshine” (sole/luce del sole), “monkey”(scimmia), “shadow”(ombra), “princess”(principessa), “dragon”(drago), “welcome”(benvenuto), “jesus”(Gesù), “sex”(sesso), “god”(Dio) e così via.
7. Modificazioni ovvie alla password
Per rendere più difficili gli attacchi di forza bruta, molti servizi obbligano i propri utenti a impostare le loro password in base a specifiche regole. Per esempio: almeno 6 caratteri, utilizzare obbligatoriamente lettere maiuscole e minuscole, numeri e caratteri non alfanumerici. Abbiamo sottolineato più volte su Kaspersky Daily quanto queste misure siano oramai obsolete e non più efficaci. Nella maggior parte dei casi, la prima lettera di una password è maiuscola e la modificazione più popolare che viene fatta è l’aggiunta del numero 1 alla fine della password. Nel database di Adobe, questi trucchi sono stati combinati con parole molto ovvie. Il risultato? Password come “adobe1” e “password1”. I caratteri più popolari sono l’esclamazione e l’underscore (_).
8. Modificazioni ovvie – Parte 2 (1337)
Grazie a film come “Hackers”, il grande pubblico è ora a conoscenza del linguaggio dei cybercriminali LEET (1337), che funziona mediante la sostituzione di lettere con caratteri e numeri che assomigliano a lettere. Operare tali sostituzioni può apparire una buona idea e password come “H4X3R” o “$1NGL3” potrebbero sembrare originali. Sfortunatamente, però, queste password non sono meno difficili da indovinare che le ovvie “hacker” o “single”, dato che esistono alcune funzionalità contenute nella app per l’individuazione di password mediante attacchi di forza bruta denominate “mutation engige” che cercano e individuano tutte queste modificazioni servendosi di un dizionario.
9. Frasi di impatto
Oggigiorno le password lunghe sono le migliori e le più affidabili. Infatti si consiglia sempre di comporre il proprio codice utilizzando frasi, evitando tuttavia alcune espressioni popolari come quelle presenti nella classifica di Adobe: “fuckyou” e “iloveyou”.
10. Codice Fiscale e altri dati importanti
Queste password sono più difficili da indovinare; tuttavia, gli hacker si impegneranno sempre di più per ottenere queste informazioni, soprattutto se sono parte della risposta alla domanda di sicurezza di alcuni servizi online della vittima. Inoltre se si associa tale dato al nome utente, data di nascita e altri dati estrapolabili da Facebook, il codice fiscale potrebbe essere usato per portare a termine un furto di identità e rubare soldi alla vittima.
Password uguali
Si tratta di una tendenza che non possiamo verificare nel caso Adobe, ma è un errore tanto comune come l’uso della password “1234565”. Vi abbiamo già parlato più volte di quanto sia sconsigliato usare la stessa password per diversi servizi online. Se gli hacker scoprono la vostra password (Adobe), e risulta essere la stessa per ogni pagina web a cui vi siete iscritti, cercheranno di utilizzarla per entrare a tutti i servizi web più popolari come Facebook e Gmail, compromettendo più account allo stesso tempo. Secondo un sondaggio condotto da B2B International e Kaspersky Lab, il 6% degli utenti usa una sola password per tutti i propri account, mentre il 33% usa solo un paio di password. Se Adobe è uno dei siti usati da questa percentuale di utenti, la loro vita digitale è certamente in pericolo.
Tutti gli errori sopra menzionati sono dovuti ad una semplice ragione: oggi usiamo un media di 5/10 servizi online ed è molto difficile ricordarsi 5/10 password uniche e complesse a memoria. Fortunatamente c’è una soluzione a questo problema.
Questa è la nostra ricetta:
- Non usate la stessa password per più siti;
- Usate password lunghe e forti;
- Verificate l’efficacia della password utilizzando servizi di controllo password;
- Usate servizi come Password Manager, o strumenti che gestiscono e immagazzinano tutte le password in forma criptata. Con Password Manager non sarà più necessario memorizzare codici e password; avrete una password unica, estremamente complicata e difficile da indovinare, per ogni servizio a cui vi iscriverete.
Consigli