password
Ogni anno, centinaia di milioni di password di utenti reali vengono divulgate nel Dark Web. Abbiamo analizzato 231 milioni di password univoche risultanti da fughe di dati nel Dark Web tra il 2023 e il 2026 e le conclusioni non sono rassicuranti: la stragrande maggioranza è estremamente debole. Per decifrare il 60% di queste password, un hacker ha bisogno solo di un’ora e qualche dollaro in tasca. Inoltre, il cracking delle password sta accelerando di anno in anno; nel nostro studio simile del 2024, la percentuale di password vulnerabili era inferiore.
Oggi esamineremo l’affidabilità di una password media (spoiler: non proprio) e come è possibile proteggere dati e account utilizzando metodi più affidabili. Allo stesso tempo, verranno messi in evidenza i modelli che si trovano più comunemente nelle password effettive degli utenti.
Come vengono decifrate le password
Nel nostro precedente studio sono stati illustrati in dettaglio i metodi per archiviare e decifrare le password, ma ecco un rapido aggiornamento sugli elementi essenziali.
Al giorno d’oggi, le password non vengono quasi mai archiviate come testo normale. Ad esempio, se si crea un account con la password “Password123!”, il server non lo memorizzerà così com’è. Viene invece eseguito l’hashing della password utilizzando algoritmi specifici, trasformandola in una stringa di lettere e numeri di lunghezza fissa (un hash), che è ciò che rimane effettivamente nel server. Ad esempio, ecco a cosa assomiglia l’hash MD5 per “Password123!”:
2c103f2c4ed1e59c0b4e2e01821770fa.
Ogni volta che l’utente immette la password, questa viene convertita in un hash e confrontata con quella archiviata nel server; se gli hash corrispondono, la password è corretta. Se un utente malintenzionato mette le mani su questo hash, deve decriptarlo per recuperare la password originale: questo è il cosiddetto “cracking delle password”. Questa operazione viene in genere eseguita utilizzando GPU proprietari o noleggiati e per decifrare possono essere utilizzati diversi metodi:
- Enumerazione esaustiva (forza bruta). Il computer tenta ogni possibile combinazione di caratteri, calcolando l’hash per ciascuno. Questo metodo è il modo più semplice per decifrare password brevi o costituite da un singolo set di caratteri (ad esempio solo cifre).
- Tabelle Rainbow. Un incubo totale per chiunque abbia una password semplice, questa è essenzialmente una “rubrica” per le password i cui hash sono già stati decifrati tramite la forza bruta o algoritmi intelligenti. Tutto ciò che un utente malintenzionato deve fare è trovare un hash corrispondente e vedere a quale password corrisponde.
- Smart cracking. Questi algoritmi vengono addestrati nei database delle password divulgate. Capiscono la frequenza delle diverse combinazioni di caratteri ed eseguono i controlli dalle sequenze più probabili a quelle meno popolari. Tengono conto delle parole del dizionario, delle sostituzioni dei caratteri (a → @ o s → $) e considerano le strutture delle password comuni come “parola del dizionario + numero + carattere speciale”, durante il controllo degli hash rispetto alle tabelle Rainbow. La combinazione di questi metodi accelera notevolmente il processo di cracking.
Oltre a ciò, gli utenti malintenzionati possono anche intercettare le password come testo normale. Esistono numerosi modi per farlo, dal phishing (in cui una vittima viene attirata in una pagina Web falsa e inserisce volontariamente la password) e dai keylogger che acquisiscono le sequenze di tasti, a stealer o trojan che trascinano documenti, cookie, dati negli appunti e altro ancora. Purtroppo, molti utenti mantengono le password come testo normale in note, app di messaggistica e documenti o le salvano nei browser da cui gli utenti malintenzionati possono estrarle in pochi secondi.
Ogni anno monitoriamo circa cento milioni di fughe di password plain text. Utilizziamo questi database per avvisare Kaspersky Password Manager utenti se i loro dati sono stati compromessi. Per rispondere alla domanda più frequente che ci viene posta in merito: no, non conosciamo le password dei nostri utenti. Abbiamo spiegato in un linguaggio non tecnico esattamente come confrontiamo le password con quelle divulgate senza realmente conoscerle e perché le password non sono archiviate in [placeholder KPM] né i relativi hash lasciano mai il dispositivo, nelle nostre panoramiche della nostra tecnologia di analisi delle divulgazioni e dell’architettura interna del nostro strumento di gestione delle password. Date un’occhiata; rimarrete sorpresi dall’eleganza del design.
Il 60% delle password può essere decriptato in meno di un’ora
È stato ampliato il database del nostro studio precedente di ulteriori 38 milioni di password vere pubblicate dagli utenti malintenzionati nei forum del Dark Web e sono stati confrontati i risultati. Il test è stato condotto utilizzando una singola GPU RTX 5090 per l’hashing delle password con l’algoritmo MD5. I dati per l’analisi sono stati ottenuti dal nostro servizio Digital Footprint Intelligence. È possibile esaminare l’algoritmo utilizzato per valutare la complessità della password nel nostro articolo su Securelist.
Purtroppo, le password rimangono vulnerabili come sempre, mentre decifrarle diventa sempre più facile ogni anno. Oggi il 60% delle password può essere decifrato in meno di un’ora; due anni fa, quella cifra era del 59%. Ma la parte veramente spaventosa è un’altra: quasi la metà di tutte le password (48%) viene decifrata in meno di un minuto!
| Tempo di cracking | Percentuale di password decifrabili entro questo periodo di tempo nel 2024 | Percentuale di password decifrabili entro questo periodo di tempo oggi |
| Meno di un minuto | 45% | 48% |
| Meno di un’ora | 59% (+14%) | 60% (+12%) |
| Meno di 24 ore | 67% (+8%) | 68% (+ 8%) |
| Meno di 1 mese | 73% (+6%) | 74% (+6%) |
| Più di un anno | 77% (+4%) | 77% (+3%) |
| Più di un anno | 23% | 23% |
Tempo di cracking delle password: due anni fa e oggi
Gli utenti malintenzionati devono questo aumento di velocità ai processori grafici, che diventano ogni anno più potenti. Mentre una RTX 4090 nel 2024 poteva forzare gli hash MD5 a una velocità di 164 gigahash (miliardi di hash) al secondo, la nuova RTX 5090 ha aumentato tale velocità del 34%, raggiungendo i 220 gigahash al secondo.
E sebbene una scheda video di fascia alta come quella attualmente venga venduta al dettaglio per diverse migliaia di dollari, il prezzo da pagare non è un grande ostacolo: sono disponibili molti servizi cloud economici per noleggiare la potenza di elaborazione della GPU. A seconda della configurazione e del modello, i costi di noleggio variano da pochi centesimi a qualche dollaro l’ora. Come abbiamo visto, un’ora è tutto ciò di cui ha bisogno un utente malintenzionato per decifrare tre password su cinque trovate in una fuga di dati. Inoltre, a seconda dell’entità dell’attività, possono sempre noleggiare dieci o addirittura cento GPU anziché una sola…
Vale la pena sottolineare che decifrare ogni password in un set di dati non richiede molto più tempo rispetto al decifrarne una singola. Durante ogni iterazione, una volta che l’utente malintenzionato ha calcolato un hash per una specifica combinazione di caratteri, controlla se lo stesso hash esiste in qualsiasi punto del set di dati e più grande è il set di dati, più facile è trovare una corrispondenza. Se viene rilevata una corrispondenza, la password corrispondente viene contrassegnata come “decifrata” e l’algoritmo passa a quella successiva.
Quali password sono vulnerabili?
L’efficacia di una password dipende dalla lunghezza, dalla varietà di contenuti e dalla casualità di tali contenuti. Le password create dagli esseri umani risultano essere le meno resilienti: purtroppo gli esseri umani sono abbastanza prevedibili. Utilizziamo parole del dizionario e combinazioni di caratteri che gli algoritmi intelligenti hanno imparato da tempo, evitiamo stringhe casuali lunghe e modelli possono essere trovati anche nelle sequenze di tasti che riteniamo casuali. È interessante notare che le password generate dall’IA portano ancora l’impronta di un approccio umano; ne abbiamo parlato in un post separato su come creare una password efficace ma memorabile.
La lunghezza della password è il fattore principale che influenza il tempo di cracking. Come è possibile notare dalla tabella seguente, sono necessarie meno di 24 ore per decifrare quasi tutte le password di otto caratteri.
Percentuale di password di lunghezza variabile decifrabile in un determinato intervallo di tempo
Ma la prevedibilità della password è altrettanto importante. Pensi di aumentare la sicurezza aggiungendo un numero o un carattere speciale a una parola memorabile? Lo stai facendo, ma solo leggermente. I modelli utilizzati dalle persone per creare le password sono facilmente prevedibili e, a volte, piuttosto divertenti, anche se questo non è un problema di poco conto.
Cosa abbiamo appreso sui pattern delle password
L’analisi di oltre 200 milioni di password ha rivelato pattern caratteristici che consentono agli algoritmi intelligenti di decifrare facilmente le password degli utenti.
Scegli un numero
Più della metà di tutte le password (53%) termina con una o più cifre, mentre quasi una su sei (17%) inizia con un numero. Una password su otto (12%) contiene sequenze che assomigliano molto agli anni, che vanno dal 1950 al 2030, e una password su dieci (10%) cade nello specifico tra il 1990 e il 2026. Molto probabilmente ciò accade perché le persone aggiungono l’anno di nascita (o quello di una persona cara), un altro anno significativo o l’anno in cui è stato creato la password o l’account. Curiosità: in base alla distribuzione di queste date, suggerisce che gli utenti Internet più attivi siano nati tra il 2000 e il 2012.
Tuttavia, tra tutte le combinazioni numeriche, la più popolare è risultata essere… avete indovinato: “1234”. Complessivamente, i modelli che implicano pressioni sui tasti sequenziali (“qwerty, ,”ytrewq” e simili) compaiono nel 3% delle password.
I caratteri speciali non sono una soluzione ottimale
La maggior parte dei criteri per le password negli ultimi anni richiede almeno un carattere speciale. Il vincitore assoluto di questa categoria è il simbolo @: compare in una password ogni 10. Il punto (.) è al secondo posto, seguito dal punto esclamativo (!) al terzo.
L’amore governa il mondo… e anche Skibidi Toilet
Le parole cariche emotivamente spesso costituiscono la base di una password e, nonostante tutto, le parole positive sono più comuni. Tra gli esempi che ricorrono frequentemente troviamo “amore”, “angelo”, “squadra”, “compagno”, “vita” e “stella”. Detto questo, compare anche la negatività, principalmente sotto forma di parolacce inglesi comuni.
È interessante notare che i meme virali si riflettono anche nelle password. Tra il 2023 e il 2026, l’uso della parola Skibidi nelle password è salito alle stelle di 36 volte! Naturalmente (si veda il collegamento se non sembra naturale), anche “toilet” ha visto un’impennata, sebbene in misura minore.
Gli utenti tendono a mantenere le password invariate per anni
Più della metà delle password (54%) identificate nelle recenti fughe di dati è emersa in precedenza. In parte ciò può essere spiegato con la migrazione degli stessi dati da un set di dati all’altro. Tuttavia, c’è anche un motivo molto più preoccupante: molti utenti semplicemente non cambiano le password da anni.
L’analisi delle date trovate all’interno delle password mostra che le combinazioni contenenti gli anni dal 2020 al 2024 rimangono popolari. Sembra che le persone aggiungano l’anno corrente alla password quando la creano e poi la dimenticano per diversi anni. Questo in realtà ci consente di calcolare la durata media di una password: da tre a cinque anni circa.
Questa è una tendenza pericolosa. Per prima cosa, gli algoritmi intelligenti possono decifrare password molto più complesse in quel tipo di lasso di tempo. In secondo luogo, più a lungo la password rimane invariata, maggiore è la probabilità che venga divulgata, a causa di una violazione, di un’infezione malware o di un attacco di phishing.
La situazione peggiora quando la stessa password viene utilizzata in più account. In questo caso, gli autori degli attacchi non hanno nemmeno bisogno di decifrare nulla; devono solo trovare la password in un’unica perdita e inserirla in altri siti.
Come proteggere password e account
Se ti sei reso conto durante la lettura di questo post che le tue password sono tra quelle facilmente decifrabili, niente panico. Abbiamo stilato per te un elenco di suggerimenti semplici ma essenziali.
Usare uno strumento di gestione delle password
Le password più vulnerabili sono quelle che le persone scelgono da sole. La creazione e la memorizzazione di centinaia di sequenze di 16-20 caratteri casuali (poiché ogni sito richiede una password lunga e univoca) è un’attività scoraggiante e irrealistica.
Ecco perché è necessario delegare la generazione e l’archiviazione delle password a il nostro gestore di password. Non si limita a creare e memorizzare password complesse e casuali in un formato criptato; le sincronizza inoltre in tutti i dispositivi. Per decifrare l’archivo, è sufficiente ricordare una password principale che solo tu conosci: la nostra guida sulle password mnemoniche può aiutarti in questo.
Non memorizzare le password come testo normale
Qualunque cosa tu faccia, non annotare mai le password in file, messaggi o documenti. Non hanno la solida crittografia fornita da un gestore di password. Inoltre, questo tipo di note cadono istantaneamente nelle mani degli utenti malintenzionati se si rileva un Trojan o un infostealer.
Non memorizzare le password nel browser
Molti utenti salvano le password nei browser, soprattutto perché offrono comodamente la possibilità di farlo in automatico. Putroppo, la ricerca mostra che il malware si è evoluto per estrarre queste password da tutti i browser più diffusi quasi istantaneamente. Kaspersky Password Manager
Passa alle passkey
Ove possibile, utilizza le passkey, un sostituto crittografico delle password. In questa configurazione il servizio archivia una chiave pubblica, mentre la chiave privata rimane nel dispositivo e non viene mai trasmessa. Durante l’accesso, il dispositivo firma semplicemente una richiesta una tantum. Inoltre, le chiavi di accesso sono legate a un dominio specifico, il che significa che gli attacchi di phishing che utilizzano indirizzi falsificati non funzioneranno. Kaspersky Password Manager consente di memorizzare sia password che passkey, risolvendo il problema della sincronizzazione tra diversi ecosistemi, inclusi Windows, Android, macOS e iOS.
Imposta l’autenticazione a due fattori
Quando possibile, abilita l’autenticazione a due fattori. Anche se la password è compromessa, una configurazione 2FA configurata correttamente rende estremamente difficile l’accesso all’account da parte dell’utente malintenzionato. Per la massima sicurezza, ignora i codici monouso inviati tramite SMS e utilizza le app di autenticazione. E sì, Kaspersky Password Manager torna utile anche qui.
può aiutarti a importare le password salvate dal tuo browser preferito (segui la nostra semplice guida in tre passaggi). Cosa ancora più importante, non dimenticare di cancellare la memoria delle password del browser al termine dell’importazione.
Pratica una buona igiene digitale
Ricorda che memorizzare correttamente le password è solo metà della battaglia. È fondamentale seguire le regole dell’igiene digitale: evitare di scaricare file non verificati, software piratato, cheat o crack e non fare clic su collegamenti casuali. Il numero di attacchi di infostealer è in costante aumento negli ultimi anni, il che significa che è necessaria una solida soluzione di sicurezza per una protezione completa. Consigliamo Kaspersky Premium: protegge tutti i dispositivi da Trojan, phishing e altre minacce. Inoltre, l’abbonamento include il nostro gestore di password.
Chi è appassionato di sicurezza dell’account può consultare la nostra raccolta di post su password, passkey e autenticazione a due fattori:
Consigli