Quale è la password più violata negli USA? Password

In Germania? 123456

In Russia? Qwerty

Questo resoconto riassume i risultati del team di ricerca di Safety Detectives, che ha raccolto oltre 18 milioni di password per identificare le 20 più utilizzate, prevedibili ed essenzialmente più violabili del mondo.

Circa 9 milioni di password erano da utenti generici di tutto il mondo, i 9 milioni di password restanti sono stati raccolti da paesi specifici:

  • Germania: 783,756
  • Francia: 446,613
  • Russia: 5,614,947
  • Italia: 49,622
  • Spagna: 459,665
  • USA: 1,680,749

Per ciascun paese, poi, sono state identificate le 20 password più utilizzate (e le 30 più usate al mondo), i modelli di password più usati ed i riferimenti culturali specifici per ciascuna popolazione.

È inoltre emerso come i nomi usati negli indirizzi e-mail vengono utilizzati anche per le password: uso del nome in “[nome].[cognome]@[email_provider].com” e gli indirizzi nominativi in “[indirizzo_nominativo]@[email_provider].com”.

I dati usati rappresentano anni di violazioni informatiche e sono stati raccolti da forum di hacking, mercati e siti del dark web. Attraverso questa ricerca, si è cercato di identificare eventuali schemi ricorrenti in tutto il mondo, che possono facilitare l’accesso degli hacker a informazioni sensibili, a prescindere dalla lingua o dal paese.

Scopriamo insieme le password più utilizzate al mondo e, successivamente, paese per paese…

Top 30 Most Used

Password generiche e numeriche nel mondo

La parola “password” con leggere variazioni (ad es. “password1”) è una scelta molto popolare. Anche parole ed espressioni comuni (“letmein”, “iloveyou”, “princess”, “superman”, ecc.) sono molto diffuse. I modelli basati sull’ordine dei tasti sono ancora popolari, ammontando al 25% delle 30 password più comuni. “qwerty” è decisamente una delle più usate, ma anche le variazioni diagonali come “1q2w3e4r” e “zaq12wsx” sono abbastanza diffusi.

I sistemi numerici sono tra i più diffusi al mondo quando si tratta di creare una password debole e facile da indovinare. Modelli numerici incrementali (es. 123456) o ripetitivi (es. 111111) si trovano in 8 delle 10 password più diffuse e in 13 delle 30 più usate.

Le 20 password più usate per paese

La parola “ciao” è una scelta popolare ovunque (nella rispettiva lingua) e si trova nella top 20 delle password più diffuse in quasi tutti i paesi esaminati. Nei paesi in cui il calcio è più diffuso, come Italia e Spagna, troviamo i nomi delle squadre più popolari entro le prime 10 password più usate. Gli utenti tedeschi e spagnoli tendono a preferire password numeriche. Gli utenti russi prediligono le password basate sull’ordine dei tasti più degli altri paesi.

Germania: password più usate

Germania: password più usate

Gli utenti tedeschi preferiscono password numeriche incrementali semplici e facili da indovinare, a partire da “123” fino a “1234567890”. Questo genere di password comprende quasi il 50% della top 20 tedesca. La parola “passwort” (“password”) e “hallo” (“ciao”) sono scelte popolari, così come la sequenza di lettere della tastiera tedesca (es. “qwertz”).

Francia: password più usate

Francia: password più usate

La password più comune in Francia è l’equivalente di “qwerty”, ovvero “azerty” ma sono diffuse anche parole ed espressioni francesi che non richiedono traduzione, come “marseille”, “bonjour”, “jetaime”, “soleil” o “chocolat”. Le password numeriche incrementali sono meno diffuse (solo 3 delle 20 password sono numeriche) probabilmente perchè la tastiera francese prevede una combinazione di tasti per scrivere un numero (“Shift + numero”).

Russia: password più usate

Russia: password più usate

Le 20 password russe più diffuse sono numeriche o sequenze di tasti, la maggior parte delle quali differiscono molto dalle tendenze mondiali. Gli utenti russi tendono a preferire sequenze di tasti diagonali, usando caratteri alfanumerici, come “1qaz2wsx” o “1q2w3e4r” e sono quelli che usano meno parole significative.

Italia: password più usate

Italia: password più usate

Nomi come “francesco”, “alessandro” o “giuseppe” sono tra le scelte più popolari per gli utenti italiani. Questo genere di password sono particolarmente deboli e facili da indovinare, soprattutto se utilizzate in combinazione con un’e-mail che utilizza lo stesso nome, come [nome]@[provider_email].com. Da veri appassionati di calcio, in Italia, troviamo nomi delle squadre di calcio tra le password più gettonate. 

USA: password più usate

USA: password più usate

Gli utenti statunitensi tendono a usare password numeriche, con sequenze di tasti o parole comuni con la stessa probabilità. Il 25% delle 20 password più diffuse contiene una qualche variazione di “qwerty”.

Spagna: password più usate

Spagna: password più usate

Gli utenti spagnoli, come quelli tedeschi, mostrano una preferenza per i modelli numerici. Delle 5 parole nella top 20, 2 sono nomi di squadre di calcio spagnole famose (“barcellona” e “realmadrid”).

Trend mondiali in breve

  • La parola “password” è risultata la scelta più popolare tra gli utenti di tutto il mondo, anche nelle sue variazioni in altre lingue, come “passwort” (tedesco) o “motdepasse” (francese).
  • Inoltre, parole come “angelo”, “drago” e “superman” sono popolari e diffuse in tutto il mondo, risultando rilevanti per un’ampia categoria di utenti.
  • La maggior parte degli utenti europei (in particolare italiani e spagnoli) preferisce usare nomi come password.
  • Gli utenti russi sono quelli che differiscono di più dalle altre popolazioni. Infatti, preferiscono sequenze di tasti rispetto a parole significative, anche usando caratteri alfanumerici come password.

Password con nomi di persona

L’uso dei nomi di persona nelle password è molto comune: sono utilizzati dal 4,19% degli utenti in tutto il mondo. Italiani (4,13%), russi (3,79%) e tedeschi (2,51%) tendono a usare più spesso queste password facili da hackerare.

Password con nomi propri e sequenze numeriche

Il 0,03% delle password della popolazione mondiale utilizza una sequenza numerica come “123” prima o dopo il nome dell’indirizzo e-mail. L’aggiunta di sequenze numeriche casuali è un’ottima strategia ma questo modello è fin troppo semplice e comune e rende queste password facilmente hackerabili.

Password con personaggi famosi, marche e riferimenti pop

Riferimenti a personaggi della pop culture e storici come parte di una password o come password completa sono molto gettonati, questi riferimenti culturali influenzano molto la scelta delle diverse password. “Cristo” e “Gesù” sono ai primi posti, con 7.432 e 7.414 menzioni nelle rispettive password. Anche aziende come “Google” (7.057 menzioni), “Apple” (6.240) o “Samsung” (2.866) entrano nella top 10. La famosa serie TV “Friends” è un’altra delle scelte più comuni, con 4.289 menzioni, mentre “Starwars” è comparso 2.237 volte. Il famoso calciatore “Ronaldo” è al decimo posto, con 1.265 menzioni.

Le 10 password preferite dagli hacker

I risultati riportati nelle sezioni precedente sono stati confrontati con le prime 10 password più utilizzate dagli hacker e ricercatori di sicurezza nel testare la sicurezza delle credenziali utilizzando risorse come John The Ripper (programma per crackare le password), NMAP (strumento di rilevamento della rete), liste di password più usate secondo i ricercatori di sicurezza (da Github) e credenziali esca da attacchi nel mondo reale (da Github), stilando così l’elenco delle 10 password preferite dagli hacker.

Le 10 password preferite dagli hacker

Hacker's top 10 of most used passwords

L’immagine soprariportata dimostra che le password meno sicure sono “123456” e “12345678”, due modelli numerici tra i più ovvi e facili da indovinare, che soddisfano la lunghezza minima della password da 6 a 8 caratteri, un requisito della maggior parte dei siti Web.

123456” è il numero 1 nella lista delle password preferite dagli hacker per un motivo: è la password più diffusa al mondo (0,62% delle 9,3 milioni di password analizzate). Inoltre, ha anche le seguenti posizioni:

  • #1 posto per utenti tedeschi, italiani e spagnoli.
  • #2 posto per utenti statunitensi e russi.
  • #4 posto per utenti francesi.

Le password più utilizzate al mondo sono molto facilmente violate con gli attacchi dizionario. Soprattutto gli utenti di Stati Uniti e Spagna sono ad alto rischio di hacking.

I problemi con le password aziendali

Le aziende hanno iniziato ad utilizzare servizi di autenticazione a più fattori (MFA) e Single Sign-On (SSO) per rafforzare la sicurezza. Tuttavia, secondo il 3° rapporto annuale globale sulla sicurezza delle password (2019) di LogMeIn, troppi dipendenti “hanno ancora una scarsa considerazione delle password che indebolisce il comportamento di sicurezza generale della loro azienda”.

Quanti account ha una persona media?

130. Davvero tanti se si pensa alla popolazione tecnologica mondiale: l’11% utilizza la stessa password in tutti gli account, il 49% riutilizza le password solo per account “non sensibili” ed il 40% ritiene di non riutilizzare mai le proprie password.

L’autenticazione a più fattori (MFA)

“Un’autenticazione a due fattori (o autenticazione a più fattori) è un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuali. Molto spesso è legato al concetto di out of band authentication: l’uso di più canali per autenticarsi verso un asset. Per fare un esempio di autenticazione a due fattori basti pensare al metodo di accesso al conto corrente: vengono sfruttati un ID, una password e una OTP (cioè una password usabile una volta sola generata attraverso un token).” fonte Wikipedia.

Il 48% la usa, il 33% non sa cosa sia. Il problema della password comporta rischi significativi per le imprese. Il rapporto sulle indagini sulla violazione dei dati del 2019 di Verizon rileva che l’80% delle violazioni dei dati può essere ricondotto a password deboli o compromesse.

“Le password sono state tradizionalmente la prima linea di difesa per le aziende, ma continuano a causare frustrazione e rischio” afferma John Bennett, Senior Vice President, GM-Identity & Access Management at LogMeIn Inc. “Inoltre, la condivisione e il riutilizzo delle password rimane una pratica comune nella maggior parte delle aziende, con i dipendenti che riutilizzano una password in media 13 volte”.

Password Manager

Come rendere più complessa una password

Con l’incremento dei tassi di hacking nel 2021, sempre più utenti diventano vittime perché non creano password uniche, difficili da indovinare e sicure. In realtà ha senso. Senza un gestore di password, è impossibile ricordare centinaia di password uniche e complesse per ogni singolo account.

5 suggerimenti per migliorare la sicurezza della password:

  1. Non riutilizzare le password su altri account
  2. Usa password più lunghe di 8 caratteri
  3. Non includere parole che fanno parte del tuo indirizzo e-mail
  4. Includi sempre numeri, lettere maiuscole e caratteri speciali nelle password
  5. Non includere nomi comuni, città o riferimenti culturali semplici

Il modo migliore e più semplice per generare password complesse è usare un password manager. Un buon gestore di password può creare password sicure per tutti i tuoi account, compilando automaticamente i campi delle credenziali al momento dell’accesso e offrendo alti livelli di crittografia per assicurare che nessuno possa rubare le tue informazioni.

Password Manager

Le applicazioni di gestione delle password per utenti aziendali (come 1Password, Dashlane e LastPass) sono il metodo migliore per ridurre i rischi che le password rappresentano. I gestori di password sono economici, facili da implementare e offrono agli utenti la possibilità di generare e memorizzare lunghe password casuali. È inoltre possibile aggiungere un livello di autenticazione a più fattori per proteggerle ulteriormente.

Autenticazione a più fattori

Se disponibile si consiglia di attivarlo. Con lo smartphone, usalo come token MFA insieme alla password. Niente è sicuro al 100%, ma meglio tutelarsi il più possibile!

Non creare password con parole del dizionario

Ecco un suggerimento per gli amministratori di sistema: non consentire agli utenti di creare password contenenti parole del dizionario. Questa modifica del sistema costringe gli utenti a creare password complesse, abbinandole a un gestore di password e un hacker potrebbe concentrarsi su obiettivi meno complessi.

Formazione sicurezza

“Una password sicura non appare da nessun’altra parte nell’area pubblica (come nei dizionari), non appare da nessuna parte in privato (come gli altri account degli utenti) e contiene abbastanza caratteri casuali che ci vorrebbe un’eternità per indovinarla”. L’educazione alla sicurezza, attraverso una formazione mirata, permette un uso consapevole e responsabile dei sistemi informatici. Il corso sicurezza informatica per utenti proposto da Nexsys, azienda informatica di Verona, insegna ai partecipanti a porre attenzione anche alle operazioni più comuni dall’apertura degli allegati di posta elettronica, alle policy di sicurezza, alla riservatezza delle proprie password.

Diversamente, il corso Ethical Hacking avanzato approfondisce alcune tematiche per i più esperti insegnando a padroneggiare gli stessi strumenti utilizzati dagli hacker e sfruttare il punto di vista di un attaccante per mettere in campo contromisure utili alla protezione dei sistemi. Questo corso permetterà agli studenti di formare solide basi per arrivare a specializzarsi in tematiche particolari come Vulnerability Assessment, Penetration Test, Malware Analysis, Incident Response, Digital Forensics.