Password 123456

Categories: Web
Comments: Comments Off
Published on: 21 January 2015

Recentemente SplashData, una organizzazione che si occupa di sicurezza, ha pubblicato l’elenco delle password più utilizzate nel 2014. Questa classifica viene stilata analizzando i file pubblicati in seguito a massicci attacchi cracker che coinvolgono grandi organizzazioni con milioni di utenti.

Ecco le prime 25 password che, sempre secondo SplashData, costituiscono, da sole, il 2.2% delle pw, con a lato una cloud realizzata da Mark Burnett che esprime in forma grafica la frequenza delle prime 500 pw:

Rank Password Change from 2013
1 123456 No Change
2 password No Change
3 12345 Up 17
4 12345678 Down 1
5 qwerty Down 1
6 123456789 No Change
7 1234 Up 9
8 baseball New
9 dragon New
10 football New
11 1234567 Down 4
12 monkey Up 5
13 letmein Up 1
14 abc123 Down 9
15 111111 Down 8
16 mustang New
17 access New
18 shadow Unchanged
19 master New
20 michael New
21 superman New
22 696969 New
23 123123 Down 12
24 batman New
25 trustno1 Down 1
pwcloud 2014

Interessante notare come gli utenti insistano nel farsi del male: la maggior parte delle pw continuano ad essere quelle ormai abusate da anni con le famosissime “123456″ e “password” ai primi due posti. Su 25, solo 11 sono nuove rispetto all’anno precedente e corrispondono a nomi di sport, star o supereroi (michael è Jordan).

Interessante anche l’ossimoro “trustno1″ (non fidarti di nessuno) al 25° posto (oltretutto è la pw di Fox Mulder in X-Files).

Notare che, secondo uno studio del 2011 di Mark Burnett, la pw del 30% degli utenti è compresa fra le prime 10000 in termini di frequenza d’uso. Quindi, statisticamente, insistendo su un account fino a fare 10000 tentativi, una volta su 3.3 si entra. Diecimila tentativi sembrano molti, ma, ovviamente, non si fanno manualmente, ma via software, con programmi automatici che si collegano via proxy cambiando ogni volta l’IP.

Per darvi un’idea di come stanno le cose nella realtà, prendiamo questo blog (proprio questo che state leggendo), che non è nemmeno così famoso. Dal 1/11/2014 a oggi io mi sono loggato circa una volta al giorno, cioè più o meno 80 volte. Nello stesso periodo, i tentativi di accesso, fortunatamente falliti, sono stati 61777 (sessantunmilasettecentosettantasette) cioè circa 770 al giorno, 32 ogni ora, mediamente 1 ogni 2 minuti.

In questo modo si possono fare 10000 tentativi in circa 13 giorni. Ma il cracker intelligente non fa così. Generalmente, inizia facendo un migliaio di accessi molto rapidamente (circa 4/5 al secondo) tentando le 1000 pw più comuni in circa 4 minuti. Se così non entra, significa che l’amministratore non è totalmente idiota. Il sito scende di priorità e la frequenza dei tentativi si abbassa diventando più sporadica via via che si si è costretti a tentare pw sempre meno comuni, fino ad arrivare a qualche tentativo ogni ora (per esempio, c’è uno che ormai è alla frutta e fa solo 5 tentativi ogni 4 ore). Naturalmente il tutto è gestito da un software e il cracker deve solo preoccuparsi di rifornire il programma con gli URL di siti su cui tentare.

Buon divertimento :P

Welcome , today is Saturday, 15 June 2019