Recentemente SplashData, una organizzazione che si occupa di sicurezza, ha pubblicato l’elenco delle password più utilizzate nel 2014. Questa classifica viene stilata analizzando i file pubblicati in seguito a massicci attacchi cracker che coinvolgono grandi organizzazioni con milioni di utenti.

Ecco le prime 25 password che, sempre secondo SplashData, costituiscono, da sole, il 2.2% delle pw, con a lato una cloud realizzata da Mark Burnett che esprime in forma grafica la frequenza delle prime 500 pw:

Rank Password Change from 2013 1 123456 No Change 2 password No Change 3 12345 Up 17 4 12345678 Down 1 5 qwerty Down 1 6 123456789 No Change 7 1234 Up 9 8 baseball New 9 dragon New 10 football New 11 1234567 Down 4 12 monkey Up 5 13 letmein Up 1 14 abc123 Down 9 15 111111 Down 8 16 mustang New 17 access New 18 shadow Unchanged 19 master New 20 michael New 21 superman New 22 696969 New 23 123123 Down 12 24 batman New 25 trustno1 Down 1

Interessante notare come gli utenti insistano nel farsi del male: la maggior parte delle pw continuano ad essere quelle ormai abusate da anni con le famosissime “123456” e “password” ai primi due posti. Su 25, solo 11 sono nuove rispetto all’anno precedente e corrispondono a nomi di sport, star o supereroi (michael è Jordan).

Interessante anche l’ossimoro “trustno1” (non fidarti di nessuno) al 25° posto (oltretutto è la pw di Fox Mulder in X-Files).

Notare che, secondo uno studio del 2011 di Mark Burnett, la pw del 30% degli utenti è compresa fra le prime 10000 in termini di frequenza d’uso. Quindi, statisticamente, insistendo su un account fino a fare 10000 tentativi, una volta su 3.3 si entra. Diecimila tentativi sembrano molti, ma, ovviamente, non si fanno manualmente, ma via software, con programmi automatici che si collegano via proxy cambiando ogni volta l’IP.

Per darvi un’idea di come stanno le cose nella realtà, prendiamo questo blog (proprio questo che state leggendo), che non è nemmeno così famoso. Dal 1/11/2014 a oggi io mi sono loggato circa una volta al giorno, cioè più o meno 80 volte. Nello stesso periodo, i tentativi di accesso, fortunatamente falliti, sono stati 61777 (sessantunmilasettecentosettantasette) cioè circa 770 al giorno, 32 ogni ora, mediamente 1 ogni 2 minuti.

In questo modo si possono fare 10000 tentativi in circa 13 giorni. Ma il cracker intelligente non fa così. Generalmente, inizia facendo un migliaio di accessi molto rapidamente (circa 4/5 al secondo) tentando le 1000 pw più comuni in circa 4 minuti. Se così non entra, significa che l’amministratore non è totalmente idiota. Il sito scende di priorità e la frequenza dei tentativi si abbassa diventando più sporadica via via che si si è costretti a tentare pw sempre meno comuni, fino ad arrivare a qualche tentativo ogni ora (per esempio, c’è uno che ormai è alla frutta e fa solo 5 tentativi ogni 4 ore). Naturalmente il tutto è gestito da un software e il cracker deve solo preoccuparsi di rifornire il programma con gli URL di siti su cui tentare.

Buon divertimento 😛