Le password violate raccontano molto più di quanto si pensi sulle abitudini digitali delle persone. Un dato su tutti colpisce: circa la metà di quelle compromesse termina con un numero. A rivelarlo è uno studio condotto dal team di sicurezza informatica e privacy di Kaspersky, che ha analizzato i pattern più comuni tra le credenziali finite nelle mani sbagliate. E il quadro che ne emerge è tutt’altro che rassicurante.
La questione è semplice: rispettare le classiche regole sulla creazione di una password, tipo usare almeno 10 caratteri, una lettera maiuscola, un numero e magari un simbolo, non basta. Non quando lo schema resta prevedibile. Perché è proprio la prevedibilità il vero nemico della sicurezza delle password.
Perché le password violate seguono schemi così prevedibili
Il punto centrale dello studio è legato al cosiddetto attacco brute force. Alexey Antonov, Data Science Team Lead di Kaspersky, lo ha spiegato in modo piuttosto chiaro: questo metodo consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella giusta. E quando chi attacca conosce già le preferenze più diffuse tra gli utenti, il tempo necessario per violare una password si riduce in maniera drastica.
I numeri parlano da soli. Il 53% delle password esaminate termina con delle cifre, mentre il 17% inizia con esse. Quasi il 12% include una sequenza numerica ispirata a una data compresa tra il 1950 e il 2030, come un anno di nascita, un anniversario o qualcosa di simile. E poi c’è quel 3% che contiene sequenze di tasti tipo «qwerty» o «ytrewq», anche se la maggioranza delle sequenze trovate è di tipo numerico, come il classico «1234».
In altre parole, aggiungere un numero alla fine della propria password è il comportamento più comune e, proprio per questo, il più sfruttato dagli hacker. È un po’ come mettere la chiave sotto lo zerbino: tecnicamente la porta è chiusa, ma trovarla è banale.
Parole emotive, tendenze e gli errori più comuni nella scelta delle password
La ricerca di Kaspersky ha messo in luce anche un altro aspetto interessante. Molte password violate usano come base parole legate a emozioni o tendenze del momento. Analizzando la presenza di termini positivi e negativi, i primi risultano nettamente più diffusi. Tra le parole più frequenti compaiono «amore», «magia», «amico», «squadra», «angelo», «stella» ed «Eden». Non mancano però anche termini più cupi come «inferno», «diavolo», «incubo» e «cicatrice».
Antonov è stato piuttosto diretto su questo punto: utilizzare una password composta da una sola parola, anche se accompagnata da numeri o simboli, resta una scelta poco sicura. Lo schema è troppo prevedibile e un software di brute force lo individua in tempi sorprendentemente brevi.
Come creare una password davvero resistente
La soluzione suggerita dallo stesso Antonov punta su un approccio diverso: creare una passphrase, ovvero una combinazione di più parole non correlate tra loro, arricchite con numeri, simboli e magari qualche errore ortografico intenzionale. Più una password è lunga, casuale e imprevedibile, più diventa difficile da violare. Un concetto semplice, eppure ancora largamente ignorato.
Come ulteriore misura di protezione, lo studio raccomanda di attivare l’autenticazione a due fattori (2FA) ovunque sia disponibile. Questo aggiunge un livello di sicurezza che va oltre la password stessa e rende molto più complicato l’accesso non autorizzato, anche nel caso in cui le credenziali vengano compromesse.
