Secondo l’ultimo studio: le password utilizzate per piattaforme streaming di contenuti video sono le più vulnerabili
Nel 2023, “admin” è stata la password più utilizzata dagli italiani. Lo rivela il quinto studio annuale di NordPass. Oltre ad analizzare le 200 password più usate al mondo, effettuando dei confronti tra 35 Paesi diversi, lo studio annuale ha anche rivelato quali sono le password più comuni a seconda del servizio preso in considerazione, oltre a valutare l’effettiva unicità di queste credenziali di accesso.
Le password più amate dagli italiani nel 2023 — i soliti sospetti e i trend globali
Fra le 20 password più utilizzate in Italia, elencate qua sotto, troviamo dei “volti noti” e anche delle new entry. La lista completa con tutte le password più comuni al mondo, suddivise tra 35 Paesi e per 8 tipologie di piattaforme si possono trovare qui:
https://nordpass.com/most-common-passwords-list/.
- admin
- 123456
- password
- Password
- 12345678
- 123456789
- password99
- qwerty
- UNKNOWN
- 12345
- ciaociao
- francesco
- 1234567890
- Windows1
- Windows10
- riccardo
- corrado
- francesca
- andrea
- juventus
Precisando che le password variano molto in ogni Paese, Italia inclusa, si possono comunque tracciare delle tendenze a livello globale.
- Lo studio conclude che le persone usano le password più deboli per i propri account streaming di contenuti video. Invece, quelle più solide vengono usate sugli account a tema finanziario.
- Invece di impegnarsi a migliorare il modo in cui creano e gestiscono le proprie password, gli utenti di tutto il mondo hanno optato per un’altra direzione, preferendo le password preimpostate. La password più gettonata in Italia risulta essere “admin”, probabilmente impostata di default, che molti utenti non procedono nel modificare.
- Le persone usano spesso solo i numeri nelle proprie password. Quest’anno, la password più utilizzata a livello internazionale è stata “123456”, posizionata al secondo posto in Italia. Su questo punto, quasi un terzo (31%) delle password più comuni al mondo è formata proprio da sequenze numeriche simili a questa.
- Il calcio è una grande fonte d’ispirazione per la creazione delle password di tantissimi utenti: le squadre e i calciatori sono infatti presenti molto spesso nelle credenziali di login. In Italia, quest’anno, si possono citare “juventus.” In Portogallo, invece “benfica” e “Oliveira11” sono fra le più comuni.
- La “vincitrice” dello studio dell’anno scorso a livello globale, ovvero “password”, è ancora presente. In Italia, sia “password” che “Password” sono entrate nella top 5 annuale.
- Fino al 70% delle password presenti nella lista globale di quest’anno può essere violata in meno di un secondo.
*I dati presentati in questo studio non rappresentano l’utilizzo completo delle password a livello mondiale. I ricercatori hanno analizzato un campione di password estratto da fonti disponibili pubblicamente, fra cui alcune presenti nella dark web.
Gli account di streaming sono “protetti” dalle password più fragili
Lo studio ha anche rivelato che tipo di password viene usato dagli utenti su diverse piattaforme e l’eventuale variazione nella loro solidità da un caso all’altro.
Quelle più deboli vengono usate per proteggere gli account di piattaforme streaming. Secondo Tomas Smalakys, chief technology officer (CTO) di NordPass, ciò potrebbe essere dovuto dalla condivisione dello stesso profilo da parte di più utenti, optando per password facili da ricordare, più veloci e pratiche.
Non ci sorprende scoprire che le persone prestino maggiore attenzione agli account associati direttamente al denaro. In quest’ottica, è interessante sottolineare come le password più solide vengono usate proprio per i servizi finanziari.
Gli hacker mettono nel mirino le password salvate sui browser
Per scoprire quali fossero le password più usate dagli utenti su diverse piattaforme, i ricercatori hanno analizzato un database composto da 6,6 TB di password. Queste credenziali sono state violate da vari malware del tipo stealer, considerati dagli addetti ai lavori una minaccia molto seria alla cybersecurity del grande pubblico.
Gli attacchi con malware sono particolarmente pericolosi perché questi virus sono in grado di carpire tantissime informazioni dalle loro vittime. Ad esempio, possono rubare dati salvati nel browser, come password e altre credenziali, i cookie usati sui siti online, i dati precompilati… Oltre a tutto questo, possono anche sottrarre file dal computer colpito, oltre a dettagli come versione del Sistema Operativo e indirizzo IP.
“La parte più spaventosa è che le vittime potrebbero non rendersi nemmeno conto che il proprio computer è stato infettato. Gli hacker tendono a nascondere i malware all’interno di email create ad hoc a scopo di phishing, magari imitando aziende serie e rispettabili, come una banca o la società per cui lavora l’utente,” ha aggiunto Smalakys.
Il futuro delle password
Nei cinque anni in cui NordPass ha condotto questa ricerca, “123456” è stata la password più usata in 4 occasioni. Secondo Smalakys, è un segnale chiaro che servono dei cambiamenti in fatto di autenticazione.
Le passkey sono uno strumento nuovo per far fronte alla questione. L’essenza di questa tecnologia è che l’utente non deve creare una password, dato che tutta la procedura è gestita in modo automatico. Quando ci si iscrive a un sito web che usa le passkey, il dispositivo dell’utente genera una coppia di chiavi legate fra loro, una pubblica e una privata. Quest’ultima viene salvata sul dispositivo, mentre quella pubblica è conservata all’interno del server del sito. Singolarmente, queste due chiavi sono inutili. Se l’utente viene identificato correttamente tramite dei fattori biometrici, le passkey vengono associate fra loro e l’accesso viene effettuato.
“Questa tecnologia contribuirà alla scomparsa delle password più fragili, garantendo standard di sicurezza più solidi a tutti gli utenti. Detto questo, come succede con ogni innovazione, l’autenticazione “passwordless” non diverrà realtà dall’oggi al domani. Essendo fra i primi password manager a proporre questa tecnologia, possiamo toccare con mano la curiosità crescente degli utenti. Ma c’è ancora molto lavoro da fare e la sicurezza delle password rimane un tema di grande attualità” ha concluso Smalakys.
Suggerimenti per una gestione efficace delle credenziali di accesso
Mentre le passkey si fanno largo anche a livello mainstream, l’igiene digitale in tema di password e cybersecurity rimane di grande importanza.
- Creare password lunghe e complesse. “123456 non è più accettabile” ha ribadito Smalakys. Usare password facili da indovinare è come lasciare aperta la porta di casa. Ecco perché è consigliabile usare password casuali di almeno 20 caratteri, che contengano al loro interno lettere maiuscole e minuscole, simboli e numeri.
- Evitare di conservarle sul proprio browser, optando per un password manager. Vista la frequenza di attacchi con stealer che mettono nel mirino le credenziali sui browser, i software per la gestione delle password sviluppate da soggetti terzi sono considerati un’opzione più sicura per la conservazione delle credenziali.
- Adottare le passkey. Un numero sempre più alto di siti offre la possibilità di accedere al proprio account con le passkey invece delle password. Se è vero che le passkey non hanno ancora rimpiazzato del tutto le password, rappresentano senza dubbio il futuro nel mondo dell’autenticazione.
- Massima attenzione. Per proteggerti dagli stealer, devi prestare attenzione a tutti i file che scarichi sul tuo computer. I malware vengono spesso distribuiti tramite email di phishing: per questo è importante imparare a riconoscerle.
Metodologia della ricerca: la lista delle password è stata stilata in collaborazione con ricercatori indipendenti, specializzati in incidenti di cybersecurity. Sono stati analizzati 4,3 TB di dati estratti da diverse fonti disponibili pubblicamente, fra cui anche alcune provenienti dalla dark web. Per condurre questo studio, NordPass non ha acquisito o comprato alcun dato personale.
I ricercatori hanno classificato i dati tramite varie categorie, consentendo così l’esecuzione di un’analisi statistica su diversi Paesi. NordPass ha ricevuto informazioni statistiche esclusivamente dai ricercatori, senza alcun riferimento ai dati personali degli utenti.
In aggiunta, i ricercatori terzi e imparziali hanno analizzato un altro database contenente 6,6 TB di password. Questi dati sono stati sottratti da vari stealer, come Redline, Vidar, Taurus, Raccoon, Azorult e Cryptbot. I log dei virus non includevano solo le password ma anche il sito di riferimento. I ricercatori hanno categorizzato le password più usate per tipo di piattaforma e hanno condiviso i dati statistici aggregati con NordPass.
