Il crack Sony e l'insicurezza delle password

Nei giorni scorsi Sony è caduta vittima dell’ennesimo crack sui propri server. In tutto sono stati trafugati 37608 account Sony Pictures: Lulzsec, il cracker responsabile dell’attacco, ha distribuito i dati tramite file torrent, dimostrando così la bontà delle proprie accuse e mettendo ancora una volta in ridicolo le difese utilizzate da Sony per i propri sistemi. A distanza di pochi giorni, però, il crack può essere trasformato anche in qualcosa di utile e formativo, poiché un’analisi aggregata delle password è l’ennesima occasione per evidenziare quanto poca attenzione venga prestata alla composizione delle stesse.

L’analisi è stata composta da Troy Hunt, software architect che, dopo aver scaricato il file distribuito da Lulzsec, non ha prestato tanto attenzione ai singoli account, quanto alla complessità degli stessi. Ne esce un quadro confermativo di quanto già si è sospettato in passato: gli utenti prestano troppo poca attenzione alla sicurezza dei propri dati online e li proteggono dietro password del tutto prevedibili, insicure, ripetute ed inappropriate al ruolo a cui son preposte.

La lunghezza, anzitutto: il 90% delle password usate è tra i 6 ed i 10 caratteri, e ben il 50% del totale è al di sotto degli 8 caratteri. Ma non solo: spesso e volentieri le stringhe usate sono composte da soli caratteri testuali, ignorando altri segni grafici o i numeri. Soltanto il 4% delle password mischia più tipi di caratteri ed il 99% del totale utilizza soltanto caratteri alfanumerici. Spesso e volentieri, insomma, gli utenti hanno utilizzato sul database Sony (sfruttabile comunque come valido esempio generale) parole o nomi di uso comune. Come sempre  “abc123” o “123456” sono largamente usate ed in generale il 64% delle password fa comunque riferimento a parole esistenti in qualsiasi dizionario.

La fuga dei dati riverbera inoltre le proprie conseguenze deleterie anche su altri sistemi a causa di una cattiva abitudine ancora largamente diffusa: l’uso della stessa password su più siti e più servizi. Secondo l’analisi di Troy Hunt il raffronto tra i dati Lulzsec e la precedente fuga di dati dal database Gawker ha indicato come il 67% delle password fosse ripetuta ed il 33% fosse invece unica.

Il quadro generale svela pertanto una situazione che sembra voler favorire su più livelli il gioco sporco dei cracker: server insicuri e policy di costruzione delle password scarsamente strutturate rendono infatti semplice l’opera dei malintenzionati. Il problema è sia nel fattore tecnico che nel fattore umano: se il primo non può che essere delegato ai server a cui si affidano i propri dati, il secondo è invece responsabilità propria e frutto di una sana educazione culturale alla sicurezza. Agire su entrambi i fronti è quanto necessario per costruire una vita digitale che non possa veder minati i propri assunti da attacchi cracker ed iniziative truffaldine.