(KASPERSKY) – Uno studio condotto dagli esperti di Kaspersky rivela che quasi la metà delle password può essere indovinata dai criminali informatici in meno di un minuto. Le conclusioni del rapporto, che esamina 193 milioni di password rese disponibili sul Dark Web, hackerate da infostealer, con la forza bruta o tramite algoritmi intelligenti, sono edificanti.
Secondo i risultati di una ricerca condotta dagli esperti di Kaspersky, il 45% delle password analizzate (87 milioni) può essere indovinato dai criminali informatici entro un minuto. I ricercatori hanno anche identificato le combinazioni di caratteri utilizzate più frequentemente durante la creazione delle password. Solo il 23% delle combinazioni (44 milioni) si sono rivelate sufficientemente difficili da decifrare per contrastare i tentativi dei truffatori, la cui realizzazione ha richiesto più di un anno.
I dati di telemetria di Kaspersky rivelano che oltre 32 milioni di tentativi di attacchi di furto di password hanno preso di mira individui nel 2023, cifre che sottolineano l’importanza cruciale di una buona igiene digitale e dell’implementazione di una strategia proattiva per le password.
A giugno 2024, Kaspersky ha analizzato 193 milioni di password trovate di pubblico dominio su varie risorse del Dark Web. I risultati indicano che la maggior parte delle password esaminate non sono abbastanza forti e possono essere facilmente compromesse utilizzando algoritmi intelligenti.
La velocità di compromissione della password è suddivisa come segue:
- -45% (87 milioni) in meno di un minuto.
- – 14% (27 milioni) tra 1 minuto e 1 ora.
- – 8% (15 milioni) tra 1 ora e 1 giorno.
- – 6% (12 milioni) tra 1 giorno e 1 mese.
- – 4% (8 milioni) tra 1 mese e 1 anno.
Gli esperti hanno identificato come persistenti solo il 23% (44 milioni) delle password, il che significa che occorrerebbe più di un anno per essere compromesse.
La maggior parte delle password esaminate (57%) contiene una parola del dizionario, il che riduce notevolmente la forza di una password. Tra le sequenze di vocabolario più comunemente usate si possono distinguere diversi gruppi:
- – Nomi propri: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
- – Parole popolari: “forever”, “love”, “google”, “hacker”, “gamer”.
- – Mots de passe standard: «password», «qwerty12345», «admin», «12345», «team».
L’analisi ha mostrato che solo il 19% delle password contiene segni di una combinazione forte e difficile da decifrare, come una parola non inclusa nel dizionario, lettere minuscole e maiuscole, nonché numeri e simboli, e nessuna parola del dizionario standard. Allo stesso tempo, lo studio ha rilevato che il 39% di queste password può essere indovinato in meno di un’ora utilizzando algoritmi intelligenti.
Forse il punto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le password. Un processore per laptop standard e ad alte prestazioni sarà in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o numeri usando la forza bruta in soli 7 minuti. Le schede grafiche recenti possono completare l’attività anche in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare la password decifrano facilmente le sostituzioni di caratteri come “e” con “3”, “1” con “!” ” o “a” con “@”, nonché sequenze popolari come “qwerty”, “12345”, “asdfg”.
“Inconsciamente, gli esseri umani creano password “umane”, contenenti parole del dizionario della loro lingua madre, nomi, numeri, ecc., tutti elementi che sono facili da memorizzare per il nostro cervello già impegnato. Anche le combinazioni apparentemente forti raramente sono completamente casuali e quindi possono essere indovinate dagli algoritmi. In queste condizioni, la soluzione più affidabile è generare password completamente casuali utilizzando i gestori di password. Queste applicazioni possono archiviare in modo sicuro grandi volumi di dati, fornendo una protezione completa e solida dei dati degli utenti” commenta Yuliya Novikova, capo del team Digital Footprint Intelligence di Kaspersky.
Maggiori informazioni sullo studio su SecureList e sul blog di Kaspersky.
A proposito dello studio
Lo studio è stato condotto sulla base di 193 milioni di password trovate su varie risorse pubbliche del Dark Web. Nell’ambito della loro indagine, i ricercatori di Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le password:
- – Forza bruta – La forza bruta è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri finché non viene trovata quella corretta.
- – Zxcvbn – Questo è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ciascun elemento nello schema. Quindi, se la password contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento del pattern, possiamo calcolare la forza della password.
- – Algoritmo di ipotesi intelligente – questo è un algoritmo di apprendimento. Sulla base di tutte le password degli utenti, può calcolare la frequenza delle diverse combinazioni di caratteri. Può quindi generare test dalle varianti più frequenti e dalla loro combinazione a quella meno frequente.
Avanti notizie globali
){kind=link}