Davide Mancini, responsabile Computer Forensic del GAT – Nucleo Speciale Frodi Telematiche commenta quanto accaduto recentemente a Hotmail, Google, Yahoo! 1… 2… 3… 4… 5… e 6 non è il ritornello che ci si potrebbe aspettare da un bambino che, ad occhi chiusi, scandisce il tempo messo a disposizione dei suoi compagni di giochi per trovare un riparo nel quale nascondersi nell’attesa di esclamare l’agognata “tana!”.
L’elemento che accomuna la sequenza numerica e l’interiezione, però, non è riconducibile all’intramontabile passatempo del “nascondino” ma, piuttosto, a quello che avrà pensato l’hacker che ha violato qualche decina di migliaia di account in essere su provider AOL, Hotmail, Google e Yahoo..
Infatti di alcuni giorni fa è la notizia di un massiccio attacco di phishing che ha permesso ad un ignoto pirata di racimolare un considerevole numero di indirizzi di posta elettronica corredati dalle rispettive password, cui è seguita la loro pubblicazione su un sito web del genere “pastebin” – sembrerebbe proprio www.pastebin.com -.
Alcuni tecnici hanno avuto la sorte di incappare nella risorsa web in questione e sono riusciti a copiare un elenco di 10.028 indirizzi e-mail di Windows Live Hotmail prima che questo venisse rimosso dai webmaster.
Acquisiti i dati, fortunatamente – in questo caso – caduti in buone mani, è scattata una serie di verifiche che ha portato a risultati sorprendenti.
Sebbene gli avvertimenti ed ammonizioni ad utilizzare chiavi di autenticazione non banali e sufficientemente robuste siano diventati quasi ridondanti, ancora una considerevole pletora di utenti crede di assicurare l’inviolabilità del suo profilo a pochi e scontati caratteri.
Proprio 123456 è quella più utilizzata, subito tallonata da 123456789.
Seguono poi una serie di nomi propri – tra cui, al quattordicesimo posto, roberto, “rigorosamente” con l’iniziale minuscola – ed addirittura qualcuno meno avveduto si affida esclusivamente ad una parentesi chiusa.
Di contro qualcun altro, eccessivamente zelante, arriva a digitare ben 30 volte i tasti: lafaroleratropezoooooooooooooo.
L’analisi complessiva ha rivelato più del 60% degli account esaminati hanno una password composta da sole lettere minuscole o numeri, mentre solo il 6% sfrutta ogni possibile alternativa disponibile sulla tastiera.
Quello che però emerge dallo studio condotto ed assume particolare rilievo, lasciando un po’ di spazio a qualche riflessione, è che misure di sicurezza apparentemente insormontabili anche davanti al più agguerrito brute-force o ad un forbito dictionary attack devono capitolare quando l’astuzia dei cyber-criminali riesce ad ingannare il navigatore.