skip to main | skip to sidebar
45 commenti

Le peggiori password del 2013: la prima è 123456

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Secondo i rilevamenti di Splashdata, una società specializzata nel settore delle applicazioni per la gestione delle password, la password più comune al mondo è ora 123456, che ha preso il posto della parola password.

Il resto della classifica è altrettanto sconfortante: password assolutamente banali e ovvie, che saranno le prime a essere tentate dagli intrusi proprio perché le probabilità di azzeccarle sono molto elevate.

Come fa Splashdata a sapere quali password vengono usate maggiormente dagli utenti? Semplice: attinge agli archivi di password che spesso vengono rubati e messi in circolazione in Rete. Per esempio, i rilevamenti del 2013 si basano in parte sul grande numero di password sottratte ad Adobe e pubblicate in Rete.

Ecco i primi 25 piazzamenti della classifica (la versione pubblicata qui e citata inizialmente in questo articolo è errata perché elenca due volte la password sunshine):

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. abc123
  6. 123456789
  7. 111111
  8. 1234567
  9. iloveyou
  10. adobe123
  11. 123123
  12. admin
  13. 1234567890
  14. letmein
  15. photoshop
  16. 1234
  17. monkey
  18. shadow
  19. sunshine
  20. 12345
  21. password1
  22. princess
  23. azerty
  24. trustno1
  25. 000000
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (45)
in questa statistica non rientrano le password uguali allo username, in quanto differenti per ogni utente. Tempo fa feci una query su un db e trovai oltre il 30% di password uguali allo username.
Perché "sunshine" c'è due volte?
Notare poi come da 1234 a 1234567890 ci siano tutte...
come fa sunshine ad essere classificata in due posizioni differenti?
Il bello è che, nella classifica originale, ci sono anche le posizioni guadagnate/perse e "sunshine" al 12° è in ascesa di due posizioni, mentre quella al 19° è in discesa di 5, quindi è la stessa password che si è sdoppiata!
Vorrei proprio capire come può essere nato quest'errore.
Mi chiedo come mai la parola sunshine compaia due volte, al dodicesimo e al diciannovesimo posto.
"sunshine" due volte?
Qual è la differenza tra la 12 e la 19? :-)
Un blank da qualche parte?
Tutti,

grazie per la segnalazione della ripetizione di "sunshine". Non so perché ci sia: non è un errore mio (è nella lista originale). Ho inviato un commento a Splashdata per chiedere lumi.
"sunshine" scalera' presto la classifica, con la somma dei due punteggi :-P
Ma quante tastiere francesi ci sono in giro per il mondo???
1-Letmein e azerty da dove diamine saltano fuori?

2- mi stupisco dell'assenza di parolacce
La password di Fox Mulder (trustno1) è in giro da quando è finito x-files?? O_o

Ok ok, ammetto d'averla usata io stesso, come ho usato waddaf*ck (che lì non c'è)
Mi pare di notare un baco significativo.
Si dice:
"password più comune al mondo è ora 123456"
ma poi, leggendo, si capisce che:
"attinge agli archivi di password rubate ... i rilevamenti del 2013 si basano in parte sul grande numero di password sottratte ad Adobe"
Se ho capito bene, l'affermazione che 123456 sia la password più comune al mondo è una colossale bufala.
Space balls insegna...
http://www.youtube.com/watch?v=a6iW-8xPw3k
Mi son dimenticato un pezzo: il bello è che, secondo la classifica, nel 2012 la password "sunshine" era al 14° posto. Nel 2013 ha, contemporaneamente, guadagnato 2 posti (finendo al 12°) e persi 5 (finendo al 14°). Direi che, in media, si piazza al 15°...
Paolo facci sapere come si giustificano quelli di Splashdata.
@Fioravante:
No, è una ipotesi statistica.
@martinobri

Azerty sono le prime lettere della tastiera "francese", letmein (let me in, fammi entrare) penso sia più un ordine dell'utente che una vera e propria password, ma tant'è...
@Tukler
Immagino che tu stia scherzando. Forse vuoi dire che tutte le ipotesi statistiche sono delle pre-bufale.

Comunque, spero che i ricercatori, soprattutto in medicina, usino dei campionamenti migliori. Questo qui sarebbe buono per avvalorare il metodo Stamina, assieme a qualunque boiata.
Su questa lista pubblicata su splashdata.com al numero 12 compare "admin".
Probabilmente chi ha preparato la copia dell'articolo per il blog (splashdata.blogspot.com) ha sbagliato a copiare.
Ma la password più comune al mondo DEVE essere una password ovvia, altrimenti non sarebbe tanto comune.
È sbagliato però trarre da questa classifica la conclusione che la maggior parte di persone usano password ovvie e facili da identificare, al massimo, visto che si tratta di password rubate, possiamo dedurne che le password ovvie sono più facili da rubare. E non lo sapevamo già?
bisogna però considerare da dove hanno preso le PW: essendo quelle rubate da ADOBE, non mi stupisco di vedere ADOBE123 e PHOTOSHOP, usate da utenti che, probabilmente, per twitter usano qualcosa tipo MERLO123 e UCCELLINO o per facebook usano FACCIALIBRO e MARK123. credo che nel totale delle PW usate al mondo, ADOBE123 e PHOTOSHOP abbiano posizioni molto meno rilevanti
@Fioravante:
Non capisco dove vuoi arrivare, perché sarebbe così assurdo che 123456 è la password più usata al mondo? Io scommetterei che o è quella o è "password" (dal momento che sembra si giochino la prima posizione), o al massimo 12345678 se è più frequente la richiesta di minimo 8 caratteri.
Secondo te invece quale altra potrebbe essere la password più usata?

Quale sarebbe secondo te il difetto di questo campione?
Al massimo si potrebbe sostenere che visto che si tratta di database dove la password è salvata in chiaro, appartengono mediamente a servizi mediamente di qualità più scarsa, utilizzati quindi da utenti con mediamente meno esperienza.
Ma un utente con più esperienza non usa una password banale, quindi usa una password diversa da quelle degli altri.

O vuoi sostenere che esiste una singola password diversa da queste che viene usata da un grosso numero di utenti "più esperti" che però usano una password uguale agli altri?
@ J.N.:

grazie
@Tukler,
"Quale sarebbe secondo te il difetto di questo campione?"

Facciamo un esempio scolastico.

Domanda:
- quali sono le serrature di sicurezza più usate in Italia?
"Ricerca":
- andiamo dalla polizia che gentilmente ci lascia consultare l'archivio delle serrature che sono state forzate dai ladri. La più usata è la serratura "PregoEntrate", prodotta dalla ditta "Viva i Bassotti"
Conclusioni:
- sulla base della nostra ricerca possiamo dire che la serratura di sicurezza più usata in Italia è "PregoEntrate"

Se non ti è chiaro adesso perché il campione è scelto a muzzo, pazienza, me ne farò una ragione.
Fioravante Patrone,
Se andiamo a leggere il comunicato sul blog di Splashdata scopriamo che " this year's list was influenced by the large number of passwords from Adobe users posted online by security consulting firm Stricture Consulting Group following Adobe's well publicized security breach."

Ovvero, come dice l'articolo qui sopra, che il paper è stato influenzato da tutte quelle password sottratte ad Adobe. Questo ha fatto sì che entrassero in classifica password come "adobe123" et similia, non che tutte le password listate provengano dal furto subito da Adobe.

Ad ogni modo, anche se fosse che tutte le oassword listate venissero solo dai database di Adobe, rimarrebbe comunque il dato statistico, data anche l'enorme diffusione mondiale che hanno i prodotti dell'azienda di San Jose.

Ti rammento inoltre che l'esempio che hai fatto è sostanzialmente errato: non è Adobe che fornisce le chiavi per aprire, bensì l'utente che si crea la sua chiave. Ergo, che il database sia di un singolo produttore o di centinaia di produttori, il dato statistico non cambia di molto. Le password sono sempre una creazione a valle della software house pertanto i dati possono essere ritenuti attendibili.

Poco importa che siano state usate per prodotti Adobe o per log su Blogger. Nessuno dei proprietari dei software/piattaforme/servizi ha voce in capitolo per invalidare la statistica di quanti decerebrati usino 1234 come password.
@Fioravante:
Prima di continuare con la tua malcelata ironia, vorrei essere sicuro che tu abbia presente che "la più comune" è superlativo relativo, ovvero si riferisce alla password con una frequenza di utilizzo maggiore, non dice niente su quanto elevata sia questa frequenza, è semplicemente più alta di tutte le altre.
È la stessa cosa che dire che nel tuo ultimo post le parole più comuni sono "più" e "che", nonostante compaiano solo 3 volte l'una su un totale di 69 parole. Ma tutte le altre parole sono usate meno volte.

Secondo te esistono password più comuni di queste? quali, per esempio?
E se fossero così tanto comuni, non trovi che sarebbero state crackate anch'esse, entrando quindi a far parte del campione, che per definizione comprende esattamente le password più comuni in quanto più crackate?
C'è da dire che chiunque usi una password presente in uno di questi "dizionari", fosse pure l'ultima della lista, è a rischio e dovrebbe cambiarla al più presto.
E' la password che un'idiota userebbe per la sua valigia! :oD
Qual'è il numero massimo di password che una persona normale può ricordare senza doverla scrivere da qualche parte?
Allora la pwd deve essere abbastanza complessa, per cui almeno 16 caratteri tra numeri lettere e simboli.
Io personalemnto accedo a tre pc diversi in tre location diverse e devo sapere memoria tre pwd diverse da cambiare ogni tre mesi +
FB, TWITTER, le caselle di posta, almeno 5, ogni servizio che ho in rete e sono almeno un'altra decina.
Poi tutti i pin e puk dei: bancomat, carte di credito, tessera nazionale dei servizi, e le relative pwd per per gli accessi in rete.
E poi le chiavi di accesso alle valigie, al lucchetto della bici, e a quello dello scooter... e la chiave della chiave elettronica.... e la pwd per entrare in casa e diavolo dimenticavo la pwd di paypal...

DOMANDA PER VOI INGEGNERI. Quando inventate la chiave unica per tutto magari a comando mentale univoco che sto invecchiando e ormai nemmeno 123456 me la ricordo senza scriverla su un foglietto magari scrivendo ABCDEF che poi mi dimentico che devo convertire le lettere in numeri e cazzo dopo tre tentativi si blocca tutto.
Beh alla chiave unica, almeno sul web, ci si sta arrivando tramite OpenID (soprattutto tramite Facebook e Google)... anche se non sono sicuro che questo sia un bene;)

Credo che sia umanamente impossibile ricordarne più di una cinquantina... e purtroppo ormai ne servono molte di più io tra lavoro e personali ne ho oltre 300:(
Quindi almeno per me è indispensabile usare un servizio online (Passpack) per salvarle.

Generalmente per quelle personali cerco di mantenere uno schema fisso (un prefisso + un suffisso che dipende dal sito + qualche carattere speciale), ma per quelle più importanti uso direttamente sequenze lunghissime di caratteri casuali, tanto alla fine faccio comunque copia e incolla, quindi è inutile che siano più semplici;)

Se poi vuoi un consiglio su che password scegliere, se non hai limiti di lunghezza (certi servizi di pessima qualità purtroppo li mettono) il miglior consiglio è quello di http://xkcd.com/936, controintuitivo ma sacrosanto!
Continuo a pensare che la miglior password sia una bella imprecazione in vernacolo stretto
Quindi sull'architrave di un antico portale magico con accesso diretto a miniere naniche, potrebbe esserci scritto: "dite "la password" ed entrate"?

Bello!

Concordo con Joram Rosebringer, comunque.
@Tukler

Io non riesco a fidarmi di servizi online per cose così delicate. Se ci fosse un ammanco sul conto dell'azienda dove lavoro, nella migliore delle ipotesi sarei licenziato in tronco; nella peggiore, prima mi ammazzerebbero (dopo adeguata tortura) e poi mi chiederebbero il perché del furto.

Anch'io ho una (FIAT) marea di password ma preferisco, come già detto in altro loco, il buon file excel zippato e cifrato con una bella password, pesante ovviamente. :-)
Nella classifica mancano le password più banali, tipo "nome proprio", "nome moglie", "nome figlia", "nome marito" ecc..., che non sempre sono uguali alla username.
Dal punto di vista statistico la singola password non è comune come 12345678 e quindi non è inserita in classifica, però se si stilasse una graduatoria per "per categoria" probabilmente questo tipo di credenziale sarebbe al primo posto.
Io credo che un buon sistema per creare un password facile da ricordare ma non banale, sia quello di memorizzare una frase, magari senza senso compiuto (chessò: "A tavola crescono sette cavoli di Giuseppe più belli di Maria") e poi ricavarne il relativo acronimo, usando maiuscole, numeri e simboli (nell'esempio di prima diventa: "Atc7cdG+bdM").
Altro buon sistema è quello di storpiare titoli di canzoni, film, libri e via dicendo ("I7Sambucarai" anzichè "I sette samurai). Tutta roba, insomma, che nei dizionari non si trova.
Malcelata ironia la mia? Ma no, è che sono un inguaribile ottimista... E spero sempre che le cose che scrivo vengano lette. Ma, si sa, sui forum e blog questa è spesso una pia illusione.

Che 12345678 sia una password più comunemente usata di aD[0<£sò tendo a crederlo anch'io. Peccato che non c'entri nulla con la questione che avevo sollevato col mio primo intervento.

Vediamo cosa c'è scritto nell'articolo:
Affermazione: "la password più comune al mondo è ora 123456"
Come la provo, o comunque porto prove significative a favore di questa affermazione?
Posso fare un'indagine statistica. Ovvio che dovrò scegliere un campione.

Faccio un altro esempio, oltre a quello che mi sembrava molto chiaro sulle serrature, ma tant'è...
Quale è il peso medio di una persona? Prendo un campione... Ma COME lo prendo? Vado in un centro per la cura dell'obesità e uso come campione le prime 100 persone che entrano? Oppure vado nel Sahel, dopo 10 anni di carestia? Non mi sembrano buone idee. Siamo d'accordo che non è banale trovare un buon campione, ma almeno evitiamo errori così stupidi, per cortesia.

Bene, torniamo all'articolo. Che campione è stato usato per corroborare l'affermazione che "la password più comune al mondo è ora 123456"?

Ci arrivo, ma prima un aneddotto. Sono arrivato su questo blog perché avevo letto altrove (su fb) questa "notizia" sulle password, e mi domandavo come diavolo potessero aver fatto l'indagine. Erano forse andati in giro a chiedere alle persone quale (quali) password usavano? Breve ricerca in rete, trovo questo blog, e immagino (data la sua meritata fama) di poter trovare la spiegazione.

E infatti:
"attinge agli archivi di password rubate"

Ora, questa affermazione mi ha colpito. Non posso usare come campione significativo un campione composto di password rubate. Se lo faccio, potrò magari affermare, con le dovute cautele, questo:
"la password RUBATA più comune al mondo è ora 123456"
A me non sembra così difficile vedere che c'è una differenza tra queste affermazioni:
"la password più comune al mondo è ora 123456"
"la password rubata più comune al mondo è ora 123456"

Ma forse il problema vero è un problema di lingua italiana.
La frase corretta forse non era:
"attinge agli archivi di password rubate"
ma
"attinge agli archivi di password rubati"
Se uso come campione password contenute in ARCHIVI rubati, il mio senso di disagio diminuisce parecchio.
Fioravante,

obiezione accolta: ho riformulato la frase per maggiore chiarezza.


Brain_use,

grazie del link alla versione corretta della classifica. Ho aggiornato l'articolo per tenerne conto.
Certo se gli archivi rubati contengono così tante password banali c'è poco da rubare archivi, tanto vale provare 123456 come password per ogni utente.

E' anche vero che la definizione di password sicura è alquanto labile. Ad esempio, per qualcuno che conosce la persona di cui vuole violare un account la cosa più semplice è provare la data di nascita. Non ho uno studio alle spalle, e nemmeno voglia di cercare, però per la mia personale esperienza è una delle password più usate, anche se in varie forme. Ora, se buona parte degli utenti usa la propria data di nascita abbiamo una concentrazione di PSW banale abbastanza alta, ma tutte diverse (due persone nate lo stesso giorno potrebbero comporre "29012014" come "29gen2014" come "290114" ecc. ecc.), mentre se anche solo due utenti inseriscono 123456 ecco che questa diventa la statisticamente più usata perchè uguale, ma non necessariamente tanto più sicura.
@Fioravante:
Sono d'accordo con la tua correzione, ma questa serve proprio a rafforzare la validità del campione.

Come tu sostieni, 123456 è la password più comune all'interno degli archivi rubati, non solo la password più comunemente rubata (questo includerebbe anche bruteforce su archivi non compromessi, per dire).

A leggere bene infatti la statistica è stata effettuata su archivi rubati in toto, dei quali solo alcune password sono state crackate. E il fatto che l'archivio sia stato rubato non dipende dalla qualità delle password contenute in esso (il fatto che siano state crackate sì, ma una delle qualita che porta a renderle crackabili è proprio la loro diffusione).

E mi sembra anche ragionevole ipotizzare che all'interno di questi archivi non ci fossero altre password più comuni, altrimenti in quanto comuni sarebbero state crackate anch'esse e sarebbero entrate in classifica.

Quindi non è come entrare in un centro per la cura dell'obesità e pesare le persone, è come pesare tutti i frequentatori di questo blog e utilizzarlo come campione per calcolare il peso medio di una persona.
Certo, non sarà un campione statistico perfetto, ma non vedo neanche perché debba essere palesemente inaffidabile. Come dicevo, in media se un'archivio è rubato, allora appartiene a un servizio di qualità più scarsa, con utenti meno esperti, e quindi password meno valide. Ma un archivio con password di qualità migliore conterrà anche meno password identiche tra loro.

Non credo che esistano in giro campioni di password non rubabili in cui la password più diffusa è aD[0<£sò, e non ho nessun motivo di credere che la classifica non sia sostanzialmente corretta (magari con qualche variazione nelle prime posizioni, e ovviamente senza "adobe123" e "photoshop").

E, dal momento che le cose che scrivi le ho lette, se ci fai caso sono intervenuto rispondendo al post in cui dicevi che "è una bufala colossale", dicendo che per me era una "ipotesi statistica". Ora, sarà più o meno azzardata, più o meno valida, ma tra una ipotesi dubbia e una bufala colossale credo ci sia parecchia differenza.
@Guastolfo:
Io non ho il tuo stesso problema perché nella mia azienda usiamo tutti quel servizio, quindi la colpa non ricadrebbe per forza su di me;)

Comunque anch'io tendenzialmente diffido dai servizi cloud, ma dopo averci riflettuto un po' e fatto qualche verifica, razionalmente non vedo come possa essere meno sicuro dello zip. Anzi, in caso di furto del pc è decisamente più sicuro.
E poi la comodità di averle accessibili da dovunque e poterle condividere con facilità con gruppi vari di altre persone su un canale sicuro lo rende una scelta migliore per me.
Uhm... la password più rubata è 123456...
L'affermazione proviene dalla consultazione di password rubate...
Ergo: la password più utilizzata è 123456...

Il campione regge.
Non c'è altro modo di sapere quali sono le pwd più rubate/usate se non attingere a database di pwd rubate.
Si desume che il numero delle pwd più rubate vada di pari passo con le pwd più usate.

O sbaglio ancora? :)
forse mi sfugge qualcosa, ma se hanno rubato l'intero archivio contenete milioni di account (si dice da 38 a 150 milioni) e tali account mostrano altrettante password in chiaro, perchè il dato statistico non sarebbe attendibile? Non è che hanno letto solo le password più semplici, le hanno analizzate tutte.
Se invece sono state decifrate, hanno individuato tra le più semplici quelle più comuni, ma le meno semplici saranno anche le meno comuni, e in tal caso la lista è ancora valida anche se con qualche riserva perchè non conosciamo l'algoritmo utilizzato (per esempio "p@ssword" potrebbe essere altrettanto utilizzata di "monkey", ma potrebbe non comparire in elenco perchè il software non riesce a decifrarla).
Immagino che sia tutto un grande frantendimento: qui il campione è costituito da password *rubate*, non *violate*. Se io rubo da un database un grande numero di password, a parte qualche bias statistico (soprattutto dovuto al fatto che si tratta di un particolare database, quello di adobe), posso considerarlo un campione ~attendibile e sarà popolato da password deboli e password robuste, con una distribuzione che, in maniera indicativa, rappresenta la realtà.

Se invece consideriamo un campione di password hackerate, allora il campione non è attendibile, perchè è logico che sia popolato soprattutto da password deboli.

Fisicoimpenitente, mi pare di capire che il campione in oggetto sia una crasi delle due tipologie di pwd che citi, ovvero che comprenda sia quelle hackerate che quelle rubate ad Adobe.
In tal caso, c'è un bias statistico, che non si puo' valutare senza guardare direttamente i dati :D
Vero, infatti è scritto nell'articolo: " Per esempio, i rilevamenti del 2013 si basano in parte sul grande numero di password sottratte ad Adobe e pubblicate in Rete."

Nella fattispecie significa che i dati possono essere congruenti con la diffusione/facilità di hackeraggio di password deboli, ma anche che nella classifica risultano dati pesantemente influenzati da una parte del database preso in esame, ovvero quello di Adobe. Rimane comunque un campione valido.

:)