La società di cybersicurezza Hive Systems ha fatto una tabella per mostrare quanto sono sicure le password perchè tutti noi diamo per scontato che gli hacker non decifrino le nostre password, anche se sono semplici con pochi caratteri.
Ma quanto è facile per qualcuno entrare in un login online?
Secondo una nuova ricerca, qualsiasi cosa con sei caratteri, indipendentemente dal fatto che siano inclusi numeri e simboli, può essere decifrata immediatamente. Lo stesso vale per qualsiasi cosa che sia di sette o otto caratteri ma composta solo da numeri o lettere minuscole seppur non migliorino molto per qualsiasi combinazione di otto caratteri.
Infatti, è possibile indovinarle in circa 39 minuti secondo la società di cybersicurezza statunitense Hive Systems, che ha sede a Richmond, in Virginia.
D’altra parte, il modo per garantire che la vostra password non sarà decifrata per circa 438 trilioni di anni è quello di utilizzare 18 caratteri composti da numeri, lettere maiuscole e minuscole e simboli.
Naturalmente, ci vorrebbe un bel po’ di tempo per inserirla ogni volta. Una password più maneggevole di 11 caratteri con le stesse caratteristiche alternative verrebbe decifrata in circa 34 anni, suggerisce la ricerca.
Hive Systems ha realizzato la tabella a colori per il 2022, mostrando quanto siano sicure le password degli utenti. L’azienda ha dichiarato che i suoi dati sono “basati su quanto tempo impiegherebbe un hacker a basso costo per decifrare l’hash della tua password usando un computer desktop con una scheda grafica di alto livello“.
Se usi la stessa password su più siti, ti aspetta un brutto periodo”, ha scritto Hive Systems in un post sul blog.
L’azienda ha anche discusso l’hashing, una tecnica che protegge le password rubate, e come gli hacker aggirino l’algoritmo a senso unico.
Nel contesto delle password, un ‘hash‘ è una versione criptata del testo che è riproducibile se si sa quale software di hash è stato utilizzato.
Per esempio, se la parola “password” è sottoposta a hash usando il software MD5, l’output sarebbe 5f4dcc3b5aa765d61d8327deb882cf99.
Le password che usi sui siti web sono memorizzate nei server come hash invece che in testo semplice come ‘password’, in modo che se qualcuno le visualizza, in teoria, non conoscerà la vera password.
Nell’esempio dato per ‘password’, l’hacker vedrebbe solo 5f4dcc3b5aa765d61d8327deb882cf99.
È impossibile invertire questo hash per produrre la parola ‘password’, ma ciò che gli hacker fanno, è fare una lista di tutte le combinazioni di caratteri sulla vostra tastiera in modo da poter iniziare l’hashing.
Trovando corrispondenze tra questa lista e gli hash delle password rubate, gli hacker possono capire la vera password di un utente, che a sua volta permette loro di accedere ai vostri login per vari siti web.
“Sono state esaminate le violazioni dei dati delle password dal 2007 ad oggi, segnalate attraverso HaveIBeenPwned, per vedere cosa gli aggressori hanno effettivamente cercato di craccare e se questo è cambiato nel tempo“, ha detto Hive Systems.
In generale, i login dei siti web di cui la gente probabilmente si preoccupa meno, come forum e ristoranti, hanno usato e continuano a usare MD5 e SHA-1.
Questo è un grosso problema, supponendo che le persone riutilizzino le stesse password su siti più importanti come le banche, il governo, la messaggistica privata, le e-mail e i social media”.
Alla luce della nuova ricerca, gli esperti hanno esortato il pubblico a utilizzare password più complicate con combinazioni uniche di lettere e numeri, insieme all’autenticazione a due fattori (2FA).
La 2FA richiede agli utenti di fornire un’informazione aggiuntiva, come un codice pin inviato via SMS, oltre alla password.
Il mese scorso il fornitore londinese di macchine per carte di credito Dojo ha analizzato i dati su 100.000 password violate dal National Cyber Security Centre (NCSC) del governo britannico.
E’ stato scoperto che ‘123456’, ‘qwerty’ e ‘password’ – tutte scelte facilmente ricordabili ma notoriamente cattive – erano tra le password più frequentemente violate.
In generale, i nomi di animali domestici o termini di affetto – tra cui ‘amore’, ‘baby’ e ‘angelo’ – sono risultati essere le password più comunemente hackerate, davanti ad animali, colori e parolacce.
