CINQUANTA Una persona su dieci ha almeno cinquanta password da ricordare.
OVERDOSE Secondo un sondaggio della Rsa Security, il 30% degli impiegati deve ricordare, sul posto di lavoro, dalle sei alle 12 password, il 28% più di 13, il 23% più di 15. L’88% soffre della cosiddetta «password overload», una sorta di “overdose” da password e reputa questa situazione “molto frustrante”. Il 25% degli intervistati tiene una lista di tutte le password memorizzata nel computer, il 22% l’ha salvata sul palmare, il 15% l’ha scritta su un foglietto di carta che tiene sulla scrivania. La dimenticanza di una password incide anche sull’economia dell’azienda. L’82% delle telefonate che arrivano al reparto di Information Technology di una società riguardano la perdita delle password. Ogni chiamata costa all’azienda tra i 25 e i 50 dollari.
NEWCASTLE Un paio di anni fa una signora di Newcastle acquistò un telefonino di seconda mano in un’asta online. Nell’agenda erano rimasti i numeri, i pin e le password per accedere ad alcuni conti bancari in Svizzera.
FACILI Una persona su cinque usa password facili da memorizzare.
123456 La società americana Imperva ha analizzato un elenco di 32 milioni di password sottratte da unhacker a RockYou.com, azienda produttrice di software per social network. La chiave più comune è risultata essere la sequenza “123456″, scelta da quasi l’1% degli utenti. La seconda “12345″. A seguire: 123456789, Password, iloveyou, princess, rockyou, 1234567, 12345678, abc123, Nicole, Daniel, babygirl, monkey, jessica, Lovely, Michael, Ashley, 654321, Qwerty.
LUNGHEZZE Dallo studio è risultato che il 50% ha scelto come password nomi, modi di dire e parole prese dal dizionario. Il 30% ha optato per una lunghezza uguale o al di sotto dei sei caratteri. Circa il 40% ha usato solo lettere minuscole e il 16% solo cifre. Meno del 4% ha usato caratteri speciali. Solo lo 0,2% è risultato avere una password sicura, con otto caratteri. Il 20% delle password usate rientra tra le 5.000 più comuni. «Con uno sforzo minimo, un hacker può avere accesso a un nuovo account ogni secondo – o 1000 accounts ogni 17 minuti», spiega Amichai Shulman, ceo di Imperva, «gli impiegati usano la password di Facebookanche al lavoro, mettendo a rischio il sistema con password non sicure».
NOVANTA La scelta delle password all’inizio degli anni Novanta era simile a quella di adesso: “12345″, “abc123″, e “password”.
RIVELATE Una ricerca inglese condotta dalla compagnia di assicurazioni Cpp ha dimostrato che molte delle password sono facilmente individuabili. Il 43% dei clienti ricorre alla stessa password per ogni tipo di servizio. Il 29% si limita a variare la chiave aggiungendo una cifra o una lettera alla formula base. Il 40% ammette di averla rivelata ad amici, parenti e colleghi.
UOVA DI PASQUA «A una conferenza sulla security in Gran Bretagna ho promesso una penna a chi mi avesse rivelato la sua password: nove su dieci me l’hanno comunicata; l’anno dopo l’hanno fatto sette su dieci in cambio di un uovo di Pasqua» (Kevin Mitnick, hacker).
FURBESCO Matteo Marzotto, presidente dell’Enit, racconta di averne «una decina, tutte segnate su un foglietto infilato nel portafogli». Giancarlo De Cataldo, giallista autore di Romanzo criminale, ammette: «Vado avanti per inerzia, c’è sempre qualcuno che mi aiuta a introdurre e cambiare password. Ogni tanto la scordo e chiamo un soccorritore». Michele Cucuzza, conduttore di Uno Mattina, è titolare di un blog sempre aggiornato: «Sono un hacker di me stesso. Provo a differenziare in modo presumibilmente furbesco i miei codici […] Poi li dimentico». Il matematicoPiergiorgio Odifreddi ha una sola password che usa per tutto: «E mi girano le scatole perché le banche italiane si ostinano a sceglierti loro il codice di sicurezza». Il giornalista Luca Sofri le dimentica continuamente: «Sono un grandissimo cliccatore del comando “hai dimenticato la password?”».
CONTROLLI La showgirl Maria Mazza conosce la password di Facebook del marito, il pubblicitario Ludovico Lieto: «Il suo profilo lo avevo creato io. Un giorno, per curiosità, mi sono collegata, sono entrata nella sua pagina e ho visto che su dieci amici nove erano donne. Mi sono insospettita e ingelosita. Ho deciso di non fare più controlli».
OBAMA Lo scorso anno un hacker francese, Hacker Croll, si impossessò della password di un dipendente di Twitter. Avuto accesso al profilo di amministratore, spedì migliaia di messaggi firmati Barack Obama eBritney Spears. L’hacker si introdusse anche negli account degli attori Kevin Spacey e Ashton Kutcher, della cantante Lily Allen, del giornalista Rick Sanchez e di milioni di altri utenti.
SPECIALI Una password, per essere sicura, deve contenere almeno otto caratteri e di quattro differenti tipi, tra maiuscole, minuscole, numeri e caratteri speciali come !@#$%^&*,;”. Questi ultimi non devono essere inseriti né per primi né per ultimi. Più le password è lunga, più tempo occorre per decifrarla. Non deve essere un nome (il nostro, dei figli, del cane ecc.), una data di nascita, il codice fiscale o una parola del dizionario, né deve includere parte dell’indirizzo mail o del nome utente. Mai utilizzare la stessa per tutti i siti. Meglio averne almeno due, una per i domini importanti (es. conto online) e una per quelli secondari (es. Facebook). Se si ha difficoltà a ricordarle, meglio scriverle su un foglio di carta invece che su un file word. Non lasciarle alla portata di tutti e non rivelarle a nessuno. Non inviarla tramite e-mail.
SPAZZOLINO La password va modificata con regolarità, «sono come lo spazzolino da denti, vanno cambiate ogni due o tre mesi» (Marco Pancini, responsabile per i rapporti istituzionali diGoogle).
COMPLESSITA’ Una password di 15 caratteri composta solo da numeri e lettere casuali è 33.000 volte più complessa rispetto a una password di otto composta da caratteri disponibili sulla tastiera.
SIMBOLI I simboli più comuni nelle password sono quelli che si ottengono premendo il tasto “maiuscolo” e digitando un numero.
SICUREZZA La complessità della password è direttamente proporzionale alla sua sicurezza nel tempo. Una password che contiene meno di otto caratteri può essere utilizzata per una settimana circa, una con 14 o più caratteri può essere utilizzata per molti anni.
SUGGERIMENTI Password suggest (http://password.10try.com/) crea password sicure e facili da ricordare: si inserisce una parola che risulta familiare e il sistema, partendo da quella, suggerisce settte possibili chiavi e altrettanti username.
ESEMPI Esempio di creazione di una password complessa: pensare a una frase semplice da ricordare. Esempio: “Mio figlio Andrea ha tre anni”. Prendendo la prima lettera di ciascuna parola, si ottiene “mfahta”. Per renderla più complessa si possono utilizzare lettere maiuscole e numeri: “MfAh3a”. Infine, si possono sostituire delle lettere con simboli simili: “MfAh3@”.
TENTATIVI Una password di otto caratteri costituita da sole lettere minuscole, per essere rintracciata, richiede circa 208 miliardi di tentativi. Una chiave composta unicamente da otto numeri è più semplice da trovare. Poiché le cifre vanno da zero a nove, le possibili combinazioni sono dieci elevato alla ottava, ossia cento milioni.
EFFICACIA Passwordmeter.com verifica l’efficacia delle password: si inserisce il testo e la si fa esaminare. Se risulta “weak”, (debole) il sito suggerisce come trasformarla in “very strong” (molto sicura).
PROGRAMMI I keylogger sono programmi in grado di registrare e inviare a un computer esterno tutto ciò che si digita sulla tastiera (dalle password alle e-mail d’amore). Esistono anche keylogger hardware che sembrano prolunghe del cavo tastiera e, di solito, passano inosservate. In vendita su keykatcher.com a 74 dollari.
VIRTUALI Alcune banche hanno introdotto tastiere virtuali in cui l’utente deve fare clic sulle cifre corrispondenti anziché digitarle.
TILT Nel 2008 un dipendente comunale, sotto pressione per il posto di lavoro a rischio, mandò in tilt la città di San Francisco, cambiando la password di alcuni importanti sistemi informatici. Arrestato, consegnò la nuova password solo dopo dieci giorni.
CREDENZIALI A seguito di un attacco cosiddetto di phishing, lo scorso anno alcuni criminali informatici sottrassero le credenziali di accesso di circa 20mila utenti di Gmail (la e-mail di Google) e 10mila utenti diHotmail (Microsoft).
FURTI Il phishing è un furto d’identità: la vittima riceve un’e-mail, apparentemente spedita da una banca e un link da cliccare che rinvia a un sito identico a quello del vero istituto. Lì viene chiesto di confermare i propri dati e digitare la password del conto online o della carta di credito per una verifica. I pirati informatici registrano i dati e accedono ai conti delle vittime. Il phishing inganna circa il 5% dei destinatari.
INCREMENTI In tempi di crisi economica, le credenziali rubate online stanno diventando un bene sempre più richiesto. McAfee Avert Labs ha registrato un incremento del numero di malware finalizzato al furto di password di circa il 400%, tra il 2007 e il 2008. (Fonte: “Viaggio nel business dei furti di password”, McAfee Lab).
PAROLE «Password? Quale password? Io non ho neanche la viacard o il telepass. Nulla di ciò che va troppo veloce mi entusiasma: perché non devo scambiare due parole col casellante?» (Gene Gnocchi).
IMPRONTE In futuro la biometria potrebbe liberarci dalle password. Esistono già sistemi di riconoscimento basati sulle impronte digitali, ma la tecnologia che offre più garanzie è la scansione dell’iride. Una ricerca delNational Physics Laboratory britannico, su oltre 2,7 milioni di tentativi, non ha individuato alcun errore di identificazione.
MAPPE nel sistema dei SERVIZI alla persona e alla comunità, a cura di Paolo Ferrario 