Cerca nel blog

2017/12/29

Le password peggiori dell’anno

We Live Security ha pubblicato una classifica delle password più comuni, basata sulle password saccheggiate nel corso del 2017, che è stato un anno spettacolare da questo punto di vista.

Le presento senza commento perché sono desolanti. Anni di raccomandazioni buttati al vento.

1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou
11. admin
12. welcome
13. monkey
14. login
15. abc123
16. starwars
17. 123123
18. dragon
19. passw0rd
20. master
21. hello
22. freedom
23. whatever
24. qazwsx
25. trustno1
26. 654321
27. jordan23
28. harley
29. password1
30. 1234

Tenete presente che queste password sono nel repertorio di qualunque criminale o aspirante criminale informatico. Non usatele e assicuratevi che non le usi nessuno. E già che ci siete, attivate l’autenticazione a due fattori, se potete.

15 commenti:

ThePreacher ha detto...

Paolo, ho constatato, dopo anni di lavoro nel campo IT, che la gente NON VUOLE usare password complesse (o strumenti per la generazione e gestione di password alfanumeriche complesse). Ad un certo punto, si meritano il danno. Mi spiace dirlo, ma è così. Figurati questi personaggi a usare wallet e criptovalute... mi viene il freddo solo a pensarci.

ST ha detto...

Curioso però... Chissà perché asdfg e zxcv oppure poiu, lkjh e mnbv non sono presenti. Ma è anche curiosa la presenza di jordan23 o di monkey. Noto starwars.... Quindi la gente si fa influenzare fino a questo punto dalla moda del momento?

Una domanda una sequenza di lettere casuali quanto è più forte di: una parola, una parola di altra lingua, un termine non in uso.
Esempio:
1) feliscatus
2)gdtyjgcjod
3) macchinina
4) konnichiwa

Quale è la più "forte"? E perché?

Roberto ha detto...

Segnalo questa interessante lettura (in italiano):
http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/crack/johnexamples.html

Lanf ha detto...

Io volevo far mettere delle password tipo: "44 gatti in fila per 6", ma la maggior parte dei dispositivi non l'accetta. Peccato

Dumdumderum ha detto...

La password più gettonata dove lavoro io è il proprio nome (o quello di qualche familiare) seguito dalle ultime 2 cifre dell'anno di nascita e un punto esclamativo per soddisfare i requisiti di complessità imposti dal sistema. Il problema è che l'utOntume che abbiamo qui non solo le usa nella nostra rete interna, che non è accessibile da fuori: vengono usate anche fuori. Quando fai notare a questi utOnti che cani e porci (più gatti e sorci) possono sgamare quelle password come ridere e combinare la qualunque a nome loro, e li esorti a trovarsi delle password più sicure, ti rispondono che è troppa fatica.

Guastulfo (Giuseppe) ha detto...

@Dumdumderum
Quando fai notare a questi utOnti che cani e porci (più gatti e sorci) possono sgamare quelle password come ridere e combinare la qualunque a nome loro, e li esorti a trovarsi delle password più sicure, ti rispondono che è troppa fatica.

... o che a loro non è mai capitato nulla e ti danno dell'uccello del malaugurio.

Il nostro tecnico informatico di fiducia dice che sono il suo "conforto psicologico" perché l'unico che crede a quello che gli altri chiamano paranoie :-D

ST ha detto...

Ho provato alcuni siti per testare la robustezza delle password... Una tristezza! Per la stessa password ho avuto risultati che variavano dai 15 minuti ai 3 mesi, ed anche l'ordine variava. Per alcuni siti che fosse una parola a senso compiuto o meno non cambiava nulla, la posizione di lettere msiuscole o altri simboli dava risultati diversi...

Sciking ha detto...

Chi usa "iloveyou" si merita un'epidemia di ILOVEYOU nel proprio computer

Guastulfo (Giuseppe) ha detto...

@ST

Una domanda una sequenza di lettere casuali quanto è più forte di: una parola, una parola di altra lingua, un termine non in uso.


Anch'io mi sono posto la stessa domanda e mi sono dato una risposta che, però, da non addetto ai lavori, può non essere corretta.

In pratica, se si usa una parola si può subire un attacco basato su dizionario. Ovvio che se esegui un attacco basato sul dizionario inglese per carpire una password in italiano è difficile che si ottenga un successo :-)

Le password basate su parole possono essere irrobustite se sono almeno due e sono accompagnate da numeri e simboli.

Ad esempio (visto che siamo in periodo natalizio), usare Albero o Presepe come password non è una grande idea ma Albero@@prESepe.1! è decisamente più robusta.

Una password formata da parole del dizionario resta comunque una password più debole di una basata su lettere, simboli e numeri casuali o "pseudocasuali" (per esempio, se prendo la prima sillaba di ogni verso di una poesia e ci aggiungo dei dumeri e simboli si ottiene una password che, per chiunque non sappia l'origine, è indistinguibile da una formata da lettere e simboli casuali).

La debolezza risiede nel fatto che si restringe comunque il campo di ricerca perché scarterei tutte quelle combinazioni di lettere che non corrispondono a parole.

Se, poi, si considera che molti usano password ESATTAMENTE di otto caratteri...

Explobot ha detto...

@Dumdumderum
Conosci le password dei tuoi colleghi perché le condividete o perché e avete in chiaro nel database?

Andrea P. ha detto...

"Ehi, ma c'è la password della mia valigetta!"
(semicit.)

Mars4ever ha detto...

La più diffusa nel mio ufficio è "temporanea". Quella che metto quando imposto o resetto gli account (perché le dimenticano sempre), ma poi non la cambiano.
E ho anche provato a spiegare il modo migliore per farsele diverse, complesse e facili da ricostruire, ma sono parole al vento.

Basta scegliere un criterio che da una serie di istanze di un insieme di elementi noto ne crei delle stringhe di caratteri, come ad esempio i dati degli attori e personaggi di un film. Indovinate cosa genera queste:
SWmh510925ls
SWhf420713hs
SWcf561021lo
.
.
.
.
.
.
.
.
soluzione:
Star Wars, iniziali attore, data di nascita nel formato AAMMGG, iniziali personaggio. Sono già 12 caratteri impossibili da indovinare per gli altri e difficili anche sbirciando mentre le digitate sulla tastiera perché sono apparentemente senza logica.
Invece c'è ma la sapete solo voi, ed è molto semplice ricordare le associazioni tra attore e sito, in questo esempio la password di google sarebbe derivante da Mark Hamill, quella di facebook da Harrison Ford, amazon da Carrie Fisher e così via. E se non ricordate una data basta cercarla su wikipedia o imdb.

Alexandre ha detto...

uh... ma perché "monkey"?

paolo zamparutti ha detto...

da aggiungere I_love_nasa , vecchia password usata da Elon Musk.

Mammiiiinaaa?! ha detto...

Certo che LeBron rosica di sicuro: Jordan si è ritirato da una vita eppure sta ancora nella "top 20" delle password, a lui non se lo fila nessuno, pare!