{"id":4528,"date":"2015-01-21T16:33:44","date_gmt":"2015-01-21T15:33:44","guid":{"rendered":"http:\/\/www.maurograziani.org\/wordpress\/?p=4528"},"modified":"2025-08-22T18:14:35","modified_gmt":"2025-08-22T16:14:35","slug":"password-123456","status":"publish","type":"post","link":"https:\/\/maurograziani.org\/wordpress\/archives\/4528","title":{"rendered":"Password 123456"},"content":{"rendered":"

Recentemente SplashData<\/a>, una organizzazione che si occupa di sicurezza, ha pubblicato l’elenco delle password pi\u00f9 utilizzate nel 2014. Questa classifica viene stilata analizzando i file pubblicati in seguito a massicci attacchi cracker che coinvolgono grandi organizzazioni con milioni di utenti.<\/p>\n

Ecco le prime 25 password che, sempre secondo SplashData, costituiscono, da sole, il 2.2% delle pw, con a lato una cloud realizzata da\u00a0Mark Burnett che esprime in forma grafica la frequenza delle prime 500 pw:<\/p>\n\n\n\n
\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Rank<\/strong><\/td>\nPassword<\/strong><\/td>\nChange from 2013<\/strong><\/td>\n<\/tr>\n
1<\/td>\n123456<\/td>\nNo Change<\/em><\/td>\n<\/tr>\n
2<\/td>\npassword<\/td>\nNo Change<\/em><\/td>\n<\/tr>\n
3<\/td>\n12345<\/td>\nUp 17<\/em><\/td>\n<\/tr>\n
4<\/td>\n12345678<\/td>\nDown 1<\/em><\/td>\n<\/tr>\n
5<\/td>\nqwerty<\/td>\nDown 1<\/em><\/td>\n<\/tr>\n
6<\/td>\n123456789<\/td>\nNo Change<\/em><\/td>\n<\/tr>\n
7<\/td>\n1234<\/td>\nUp 9<\/em><\/td>\n<\/tr>\n
8<\/td>\nbaseball<\/td>\nNew<\/em><\/td>\n<\/tr>\n
9<\/td>\ndragon<\/td>\nNew<\/em><\/td>\n<\/tr>\n
10<\/td>\nfootball<\/td>\nNew<\/em><\/td>\n<\/tr>\n
11<\/td>\n1234567<\/td>\nDown 4<\/em><\/td>\n<\/tr>\n
12<\/td>\nmonkey<\/td>\nUp 5<\/em><\/td>\n<\/tr>\n
13<\/td>\nletmein<\/td>\nUp 1<\/em><\/td>\n<\/tr>\n
14<\/td>\nabc123<\/td>\nDown 9<\/em><\/td>\n<\/tr>\n
15<\/td>\n111111<\/td>\nDown 8<\/em><\/td>\n<\/tr>\n
16<\/td>\nmustang<\/td>\nNew<\/em><\/td>\n<\/tr>\n
17<\/td>\naccess<\/td>\nNew<\/em><\/td>\n<\/tr>\n
18<\/td>\nshadow<\/td>\nUnchanged<\/em><\/td>\n<\/tr>\n
19<\/td>\nmaster<\/td>\nNew<\/em><\/td>\n<\/tr>\n
20<\/td>\nmichael<\/td>\nNew<\/em><\/td>\n<\/tr>\n
21<\/td>\nsuperman<\/td>\nNew<\/em><\/td>\n<\/tr>\n
22<\/td>\n696969<\/td>\nNew<\/em><\/td>\n<\/tr>\n
23<\/td>\n123123<\/td>\nDown 12<\/em><\/td>\n<\/tr>\n
24<\/td>\nbatman<\/td>\nNew<\/em><\/td>\n<\/tr>\n
25<\/td>\ntrustno1<\/td>\nDown 1<\/em><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n\"pwcloud<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Interessante notare come gli utenti insistano nel farsi del male: la maggior parte delle pw continuano ad essere quelle ormai abusate da anni con le famosissime “123456” e “password” ai primi due posti. Su 25, solo 11 sono nuove rispetto all’anno precedente e corrispondono a nomi di sport, star o supereroi (michael \u00e8 Jordan).<\/p>\n

Interessante anche l’ossimoro “trustno1” (non fidarti di nessuno) al 25\u00b0 posto (oltretutto \u00e8 la pw di Fox Mulder in X-Files).<\/p>\n

Notare che, secondo uno studio del 2011 di Mark Burnett, la pw del 30% degli utenti \u00e8 compresa fra le prime 10000 in termini di frequenza d’uso. Quindi, statisticamente, insistendo su un account fino a fare 10000 tentativi, una volta su 3.3 si entra. Diecimila tentativi sembrano molti, ma, ovviamente, non si fanno manualmente, ma via software, con programmi automatici che si collegano via proxy cambiando ogni volta l’IP.<\/p>\n

Per darvi un’idea di come stanno le cose nella realt\u00e0, prendiamo questo blog (proprio questo che state leggendo), che non \u00e8 nemmeno cos\u00ec famoso. Dal 1\/11\/2014 a oggi io mi sono loggato circa una volta al giorno, cio\u00e8 pi\u00f9 o meno 80 volte. Nello stesso periodo, i tentativi di accesso, fortunatamente falliti, sono stati 61777 (sessantunmilasettecentosettantasette) cio\u00e8 circa 770 al giorno, 32 ogni ora, mediamente 1 ogni 2 minuti.<\/p>\n

In questo modo si possono fare 10000 tentativi in circa 13 giorni. Ma il cracker intelligente non fa cos\u00ec. Generalmente, inizia facendo un migliaio di accessi molto rapidamente (circa 4\/5 al secondo) tentando le 1000 pw pi\u00f9 comuni in circa 4 minuti. Se cos\u00ec non entra, significa che l’amministratore non \u00e8 totalmente idiota. Il sito scende di priorit\u00e0 e la frequenza dei tentativi si abbassa diventando pi\u00f9 sporadica via via che si si \u00e8 costretti a tentare pw sempre meno comuni, fino ad arrivare a qualche tentativo ogni ora (per esempio, c’\u00e8 uno che ormai \u00e8 alla frutta e fa solo 5 tentativi ogni 4 ore). Naturalmente il tutto \u00e8 gestito da un software e il cracker deve solo preoccuparsi di rifornire il programma con gli URL di siti su cui tentare.<\/p>\n

Buon divertimento \ud83d\ude1b<\/p>\n

\n
\n

RELATED:<\/h3>\n