123456 è (ancora) la password peggiore più comune

14 Dicembre 2018 221

Anche quest'anno SplashData ha pubblicato la classifica delle peggiori password utilizzate dagli utenti. Il podio è rimasto completamente inalterato rispetto a quello del 2017, ciò sta a significare che ancora troppi individui proteggono i propri account in maniera approssimativa con codici del tipo 123456 o digitando parole ancora più semplici come "qwerty" o "admin".

La lista è il risultato dell'analisi di oltre 5 milioni di password rubate agli utenti del Nord America ed Europa Occidentale durante gli attacchi hacker registrati nel 2018. La società stima che circa il 10% delle persone abbia utilizzato almeno una delle 25 peggiori password che trovate elencate qui sotto.

123456... ANCORA TU?

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

Ricordiamo che utilizzare password così banali mette in serio pericolo la sicurezza dei propri dati personali e dell'identità virtuale, oltre a rendere accessibili i numeri di carte di credito o del conto in banca.

Vi lasciamo alla visione di un simpatico filmato realizzato da SplashData in cui si ironizza su alcune delle più "originali" password entrate in classifica.

Battery Phone a meno di 200€? Xiaomi Mi A2 Lite è in offerta oggi su a 129 euro.

221

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
nicsvarote

disqus_DiuJdVvuLu already

Marco

Le mie password sono così invulnerabili che 9 su 10 ho problemi pure io ad entrare nei miei account...

ale

Se un database contiene le password non cifrate e viene bucato, probabilmente è il database di un sito dove avrei usato la password più stupida che mi viene in mente perché non è Google o PayPal, se è un blog non so cosa uso anche il sempre la stessa password facile, tanto nessuno ha interesse a rubarla.

NicoRoma90

dai vari leak e breach di database contenenti password

massimo mondelli

Le password più facili da ricordare
'dimenticata' e 'nonricordo'

Luigi Azzariti

Ahahahah

Frazzngarth

basta.... basta! per quanto intendete andare avanti?

con un layout italiano non è così facile, non avevo la minima idea di come fosse fatta una tastiera americana, cheppalle!

luca bandini

chi mette "welcome" è il peggiore perchè è pure a conoscenza del fatto che che sia una password vulnerabile

luca bandini

perkeè havette pubblikato le mie passwolrd!!!11!1! adesso pulizia kontatti allora!

capitanharlock

Difficile come qwertyuiop

Venom

CTRL+C
CTRL+V

Fregato! XD

Dea1993

su smartphone ho oreo quindi la compilazione automatica è integrata nel sistema

Spider
Jd

Si ma non hai la compilazione automatica delle app se usi Firefox

Carmine M.

Con 654321 manco la Nasa mi entra nel computer.
Chi mai penserebbe ai numeri in senso decrescente ahahah

ale

Infatti, secondo me è inutile un password manager in fin dei conti, quando firefox fa lo stesso lavoro praticamente gratis (mentre i password manager bene o male li paghi o se sono free hai forti limitazioni o danno poca affidabilità)

L'unico svantaggio è che poi su Android sei costretto ad usare Firefox, mentre su Android io mi trovo meglio con Chrome (gira meglio per me), ci vorrebbe un modo per poter importare le password da Firefox a Chrome su Android, o in generale da Firefox alle password salvate su Google.

ale

Ma al giorno d'oggi non rallenta assolutamente nulla, nei processori esistono istruzioni apposite per la cifratura, alla fine anche se hai l'SSD PCIe più veloce sul mercato comunque la cifratura è molto più veloce di quanto puoi scrivere/leggere sul dispositivo, quindi non ti rallenta affatto.

ale

Si ma se sono password rubate da servizi che le salvano in chiaro vuol dire che sono servizi di poco conto per cui un utente non inserisce una password sicura, pure io se devo mettere una password per registrarmi ad un forum a caso metto una cosa banale che mi ricordo, ma la mia password di Google per esempio su cui ho sopra tutti i miei dati, email, contatti, ecc è altamente sicura, come la password di PayPal, della banca, e via dicendo.

ale

Si ma scusate un attimo, come fanno a fare queste classifiche? Nel senso, buona prassi è che le password non vanno salvate, ma va salvato un suo hash, di modo che i gestori delle varie piattaforme (ed eventuali hasker che entrano nel database) non possano aver modo di conoscere le password che un utente sceglie (che è bene nel caso un utente usi la stessa password per più servizi cosa purtroppo molto comune seppur altamente sconsigliata)

Quindi mi chiedo da cosa ricavino questi dati.

Danylo

La resposabilita' e' delle aziende, che non implementano adeguate regole per le password.
Non ci vuole molto ad impedire l'uso di psw banali.

Dea1993

solo all'avvio per il resto non te ne accorgi nemmeno.
e comunque per questioni lavorative devo per forza tenere la home cifrata per proteggere il db e tutti i sorgenti

Fabio
PSeeCO

Se leggi l'articolo lo scoprirai!

Frazzngarth

Ommamma e questo da quale gabbia è uscito?

PUTinV2

niente pussy? male male male

Stefano Passeri

Di casuale c'è solo la morte.
Poi se uno vuole entrare da qualche parte, anche la password più complessa regge poco.

Stefano Passeri

Cos'è?

Fabrz

Ok. Vuoi vincere una discussione, inutile discutere...

Dea1993
Dea1993

hai fatto tutta questa spiegazione per cosa?
offline hai tentativi illimitati? hai mai provato a decifrare un filesystem linux cifrato con luks? hai 3 tentativi, e lo puoi anche configurare.
oppure quando provi a fare il login.. hai un numero limitato di tentativi.. e per diventare root hai 1 solo tentativo (in questi casi non c'entra la crittografia, ma sono comunque non bucabili con bruteforce)
non per tutte le cose hai tentativi illimitati... certo per alcune cose si... ma comunque ripeto se hai una password robusta... per quando te la scoprono con il bruteforce, hai gia cambiato password o sei morto.
poi secondo te qualcuno impiegerebbe davvero decenni o più di bruteforce per decifrare password di utenti qualunque come me e te?
il bruteforce vince solo se tu avessi un tempo illimitato... se l'utente nel frattempo non cambia la password di quel servizio di cui hai rubato le password e solo se il sistema non ti sbatte fuori dopo 3 tentativi

Dea1993

per le app intendi quelle che hanno il login effettuato? da quello sei protetto dalla crittografia del dispositivo

Dwarven Defender

Ed europei occidentali

Pietro A.

ammazza che volpone che sei! hahahahahahah

Daniele Gigantino
franky29

Ma anche io uso il generatore di psw di Chrome e le salva Nell account e chi si è visto si è visto xD

franky29

La mia Australia o TerraTonda

La mia password é quantica e ve l'ho messo in qulo.

Ibenfeldan

Re Rolando: La combinazione è: 1...
Lord Casco: 1!
Colonnello Nunziatella: 1!
Re Rolando: 2...
Lord Casco: 2!
Colonnello Nunziatella: 2!
Re Rolando: 3...
Lord Casco: 3!
Colonnello Nunziatella: 3!
Re Rolando: 4...
Lord Casco: 4!
Colonnello Nunziatella: 4!
Re Rolando: 5.
Lord Casco: 5!
Colonnello Nunziatella: 5!
Lord Casco: Allora la combinazione è 1-2-3-4-5! [alzando la maschera] È la più stupida combinazione che abbia mai sentito in vita mia! È la combinazione che un idiota userebbe per la sua valigia!
Presidente Scrocco: Allora, ha funzionato? Dov'è il re?
Lord Casco: Ha funzionato! Abbiamo la combinazione!
Presidente Scrocco: Magnifico! Adesso possiamo prenderci tutta l'aria fresca del pianeta Druidia! Qual è la combinazione?
Colonnello Nunziatella: 1-2-3-4-5, signore!
Presidente Scrocco: 1-2-3-4-5?
Colonnello Nunziatella: Sissignore!
Presidente Scrocco: È sorprendente! È la stessa combinazione della mia valigia!

Skrrrraah

1) In questo grafico non c'è motivo di avere x e y come nomi degli assi, ergo non c'è motivo di dire che la "y" di years possa confondere.

2)In realtà il puntino è più in basso della linea di 10^0.

3)Affermazione discutibile dato che secondo me l'intenzione era quella di dare l'idea della grandissima quantità di tempo necessaria se utilizzate password con molti caratteri.

4) Questo è causa della scala utilizzata nell'asse degli anni. Scleta obbligata a causa dei dati da riportare.

Se proprio vogliamo dare la colpa a qualcosa in questo grafico questa va attribuita alla bassa risoluzione dell'immagine. Stop.

Semplicemente se la gente non sa leggere un grafico, peraltro piuttosto banale, non ci posso fare niente. Queste cose le insegnano a fare alle scuole medie... Dire "eh ma il grafico è brutto" non vale come scusa.

Itachi

"io non compro su internet, è pericoloso e ti rubano i soldi, voi fate come volete"
password: 123456

Jd

E su App del tel tipo Spotify ?

PassPar2_

Qualcuno ha messo anche "dadada"

Tizio Caio

Il brute Force Vince sempre, è matematico, se le provi tutte prima o poi quella giusta la trovi. Il fatto di creare password casuali è quello che permette di metterci 100 anni come dici tu per essere trovate. Ma ricorda che sono 100 anni con la potenza di calcolo di OGGI. Ci sono due tipi di controlli per le password: online (che dici tu) e offline, quelli online in genere hanno un numero limitato di tentativi, quindi una password risulta robusta anche con pochi caratteri (ti sei mai chiesto perché il PIN del bancomat è di sole 5 cifre?? Hai 3 tentativi prima del blocco quindi 3/100000 è una probabilità molto bassa di trovare la password). Quelli offline invece hai tutti i tentativi che vuoi per trovarle, quando buchi un server non trovi le password in chiaro ma gli hash delle password, bene, puoi fare quanti tentativi vuoi per trovare la parola che corrisponde a quell'hash. Secondo te sennò come si arriva a fare queste liste delle password più usate??
Spero di averti chiarito le idee

Fabio

Perché?

Fabio

Lavori alla Cia per avere bisogno di tutta questa sicurezza? XD

Dea1993

più che lastpass preferisco usare la condivisione di firefox (meno sbattimento) e avere il file system cifrato sia su linux che su android.
quindi quando hai una buona password di cifratura su android e su pc e quando usi una buona password per l'account firefox, sei a posto

Dea1993

be oddio che il brute force vince sempre è molto discutibile.
gia password complesse possono impiegare anche 100 anni ad essere bucate... oltretutto alcuni sistemi dopo tot errori ti aumentano il tempo di attesa per il prossimo tentativo, oppure semplicemente si blocca fino al riavvio (o in caso di siti web ti blocca per diverso tempo) o sempre nel caso di servizi online, ti inizia a chiedere il captcha.
quindi no il brute force non vince sempre, e anzi, per password complesse, praticamente perde gia in partenza

Roberto

al politecnico, ai tempi delle prime workstation e dell'intranet ... agli albori di internet, per poter giocare online con giochi testuali collegati con belgi, francesi, etc... si doveva sapere la password.... la beccammo subito: SYSTEM ... e non la cambiarono mai

P.S.: parlo di circa 30 anni fa

Mox

Mi stupisco per questa leggerezza di considerazione, non ti ho ma letto come commentatore superficiale: hai idea di quante password esistano per serrature elettroniche e programmi su "serverini" aziendali interni alle lan (ma chiaramente accessibili da Wan?). Pensa che io usavo un sw open source su Linux che codificava le pw in sha+salt nel 2006 e che ogni 30gg chiedeva il rinnovo della pw su db coperto da pw scelta dall'amministratore, poi siamo passati ad un sw commerciale oggi che su win NON PREVEDE un rinnovo di password temporizzato. Ed il server win deve essere visibile in lan e con cartelle condivise altrimenti non è raggiungibile per la stampa ed i backup (quando a random vanno). E quindi puoi leggere tutti i file db che vuoi (la pw del db io l'ho scoperta leggendo un file .cfg ed è uguale per tutti, e da lì ho scoperto che il db non è relazionale perché le relazioni sono dannosmente codificate nel codice). Fai conto che questo è uno dei tre programmi di contabilità spicciola piú venduti in itaIta. Vuoi che ti parli dei codici delle serrature, o del fatto che quando 15 anni fa avevo chiesto alla concessionaria di aggiungere un filo al cablaggio dell'auto per potere cambiare il codice antifurto mi dissero "Ma non lo cambia nai nessuno" ed ancora oggi il filo non lo montano?

Dea1993

esatto non è la prima volta che capita... oppure quando non te la ricordi fai la procedura per il ripristino e ti inizia a chiedere l'ultima password che ricordi, mese e anno di creazione dell'account e altre cose impossibili da ricordare.... è un po come dirti, niente da fare ricrea un account nuovo

Samsung

Galaxy Fold ufficiale: inizia l'era degli smartphone-tablet pieghevoli | VIDEO

Samsung

Samsung Galaxy S10 series: le differenze nella VIDEO ANTEPRIMA

Android

Recensione OPPO AX7: ottima batteria ed un hardware sufficiente

HDMotori.it

Hyundai Kona Electric: prova consumi, autonomia reale e costi ricarica | Video