Quella della scelta oculata delle password è chiaramente una battaglia persa. La gestione del rischio deve passare per soluzioni passwordless.
Autore: Redazione SecurityOpenLab
123456, password, querty: è questa (di nuovo) la top 3 delle password più utilizzate nel 2024. Seguono altre 197 parole chiave più diffuse al mondo, messe in fila come sempre da NordPass. Significa che, nonostante l’intensa attività di awareness, la stragrande maggioranza degli utenti non ha ancora compreso la criticità dell’uso di password deboli, combinazioni prevedibili o del riciclo delle chiavi di sicurezza.
I dati dall’analisi di database con password estratte da vari database pubblicamente accessibili o presenti nel dark web, relativi alle utenze di 44 Paesi. Al netto dei dati globali, volendo restringere il campo solo all’Italia emerge che i nostri connazionali sono persino spiritosi, dato che la seconda password più diffusa è “cambiami”. Juventus è slittata dal quinto posto del 2021 al sesto posto del 2024; al 14mio posto troviamo chi scherza con gli hacker e scrive “ciaociao”, al 18mo posto ci sono invece i latin lover che digitano ogni giorno “amoremio”.
A prescindere dallo humor, il risultato non cambia: tutte queste combinazioni (e le altre in elenco sul sito ufficiale della ricerca) sono già nelle tasche dei cyber criminali, che ne fanno ampio uso per violare – oltre ai sistemi privati – le reti aziendali. Anche perché, puntualizzano gli esperti, il rischio è ulteriormente amplificato dal riutilizzo delle credenziali su più piattaforme. Ritroviamo quindi la stessa password per l’app di entertainment e per l’accesso al repository aziendale su Dropbox, così da essere certi di agevolare gli attaccanti, a cui sarà sufficiente un'unica violazione per compromettere l'intera rete digitale di un utente e dell’azienda per cui lavora.
L'analisi annuale di NordPass evidenzia un altro dato preoccupante: il problema riguarda anche chi opera in settori sensibili, come l’hi-tech e i servizi finanziari, nonostante l'ampia diffusione di soluzioni avanzate come i gestori di password. La soluzione ovviamente esiste e si conosce da tempo: eliminare le password, che costituiscono evidentemente una battaglia persa, a favore di alternative più sicure come le passkey e l'autenticazione biometrica.
In sostanza queste opzioni depennano il rischio legato alle password perché non ne fanno uso, prediligendo l’impiego di dati biometrici come impronte digitali o riconoscimento facciale per appurare l’identità di un utente. Questo, tuttavia, comporta un passaggio tecnologico che richiede tempo e risorse di cui molte aziende (soprattutto le PMI) non dispongono, restando di fatto esposte al rischio.