Nessuno l’aveva mai fatto: abbiamo analizzato quasi un miliardo e mezzo di dati per stilare la classifica dei nomi di gruppi e cantanti che ricorrono nelle password. E no, non è una buona idea usare “WLigabue” per accedere ai servizi online
Quanti di voi hanno una password con il nome del partner, della squadra di calcio del cuore oppure della propria band preferita?
Abbiamo scaricato dal dark web un famoso data leak con un miliardo e 400 milioni di password rubate a MySpace, Soundcloud, Dropbox e altri servizi. In altre parole, siamo venuti a contatto con gli accessi di tantissimi utenti della Generazione X che non hanno mai dato alcuna importanza alla sicurezza informatica (basti pensare che le password più usate sono 123456 e QWERTY). Quindi ci siamo chiesti quali fossero gli artisti musicali più amati dagli utenti al punto di utilizzarli come chiave di accesso.
Il lavoro che abbiamo svolto è unico nel suo genere, basti dire che l’agenzia per la sicurezza informatica britannica NCSC aveva fornito solo le prime cinque band più utilizzate ed erroneamente i primi risultavano essere i Blink-182. Dalla nostra più approfondita analisi siamo riusciti a creare una “classifica” completa e più accurata per alcuni Paesi tra cui Italia, Germania e Regno Unito.
Dopo aver ripulito le password da numeri e simboli abbiamo potuto sommare i nomi degli artisti e avere dei dati attendibili. Cosa ci dicono queste classifiche? Innanzitutto ci raccontano qualcosa sia dei dati che degli utenti: la maggior parte delle password trovate viene da leak di anni fa e infatti vediamo i gruppi che andavano per la maggiore in quel periodo (Eminem, Slipknot, Justin Bieber o Gorillaz) e poi nomi più “identitari” (Iron Maiden o Metallica per i metallari, Green Day e Blink-182 per il punk anni ’90, Tupac per il rap, Nirvana e Pearl Jam per il grunge e via dicendo) che ci insegnano come, anche una volta cresciuti, ci restano in testa i nomi dei gruppi che hanno segnato la nostra adolescenza.
Esaminando i dati possiamo farci subito una domanda: come mai Eminem è in cima a tutte le classifiche delle password? Un motivo è senz’altro dovuto alla nascita di MySpace nel agosto 2003 (in Italia arrivò quattro anni dopo) e al fatto che Eminem nel 2002 fosse l’artista numero uno negli Stati Uniti e nel mondo (The Eminem Show uscito proprio in quei mesi, si guadagnò il Grammy come album rap dell’anno e ha venduto oltre 10 milioni di copie solo negli Stati Uniti).
I dati che abbiamo confrontato contengono molti utenti di MySpace, il primo social network. Amatissimo dalla Generazione X e fondato da Tom Anderson, l’“amico di tutti”, quello che vi trovavate con il suo bel faccione sorridente all’apertura dell’account, venduto poi per la somma di 500 milioni di euro nel 2005 a News Corporation di Robert Murdoch che non riuscì a reggere la concorrenza con il nascente Facebook. MySpace venne poi acquistato nel giugno 2011 da SMG e Justin Timberlake per soli 35 milioni di dollari, ma di fatto la sua importanza e soprattutto il suo utilizzo lo resero come una terra abbandonata e disabitata.
Non è quindi difficile capire che le password con i nomi degli artisti rispecchiano in parte i gusti di quegli anni e l’amore dei fan per i loro idoli adolescenziali, ma si possono trovare anche password che esprimono la poca stima oppure l’odio o lo sfottò o ancora l’unione di due band che hanno rappresentato molto nel background musicale degli utenti o che comunque erano legate tra loro da questioni di genere musicale o affettivo (coppie artistiche o meno). Non mancano poi le password come WLigabue e tutta una serie di ILove e il nome dell’artista, tipo LitfibaTiAmo oppure dispregiative come Eminemgay e IHateEminem.
Sicuramente nel corso di questi anni avrete ricevuto anche voi almeno un avviso di tentativo di accesso a un vostro account social o e-mail. Sarà stato/a un/a ex? Oppure i poteri oscuri vogliono sapere tutto di voi? In realtà, più semplicemente, da molti anni nel dark web si possono acquistare o scaricare gratis circa 8 miliardi di password relative ai maggiori social network, servizi di e-mail, pagamenti online e molti altri. Uno dei leak con raccolta di password più famose tra gli esperti si chiama “breachcompilation1”, è comparsa online nel 2018 e contiene un miliardo e 400 milioni di password. Da lì poi è stato solo un crescendo di archivi di parole chiave che si sono sommate alle precedenti, aggiornandole. Piattaforme parecchio conosciute, e utilizzate, come Soundcloud, Patreon, Netflix e MySpace hanno subito enormi furti di dati col passare degli anni, e quelli sono proprio i dati che sono stati analizzati per questo articolo; essendo dati di pubblico dominio e non recenti, non mettono in pericolo la sicurezza degli utenti, se non di quelli più sbadati. I leak oggi sono sempre più frequenti, tanto che l’esperto di cybersecurity Troy Hunt nel 2013 ha deciso di lanciare HaveIBeenPwned, un servizio che vi consiglio di provare e permette a chiunque di digitando la propria e-mail, sapere se è presente in qualche leak.
Ma ora chiediamoci: perché negli anni scorsi molti hanno usato password così simili e così facilmente riconducibili alle proprie passioni sportive, musicali o affettive? Qui entriamo nel campo della password psychology e della mnemonica. Detto semplicemente: siamo troppo pigri e poco creativi al momento di creare password uniche e facilmente memorizzabili e ci ostiniamo a rifiutare quelle sicure che le piattaforme ci offrono automaticamente perché difficili da ricordare.
I casi famosi di password stupide sono all’ordine del giorno: anni fa furono desecretati i documenti che per 20 anni hanno custodito il codice numerico che il presidente degli Usa avrebbe dovuto inserire per lanciare una guerra nucleare attivando il lancio dei missili. Bastava digitare “00000000”, uno zero ripetuto otto volte, per annientare interi continenti.
Sappiamo che agli americani piace la semplicità, e lo sa molto bene anche Victor Gevers, un ethical hacker olandese che riuscì ad entrare il 16 ottobre 2020 nell’account Twitter del 45esimo presidente degli Stati Uniti, digitando alcune semplici password che secondo lui calzavano con la personalità di Trump ed azzeccando al terzo tentativo con “maga2020!”.
Non era la prima volta che Gevers accedeva all’account Twitter di Trump: insieme ai suoi amici riuscì a ottenere l’accesso già nell’ottobre 2016, trovando la password del tycoon (“yourefired”, frase che pronunciava nel famoso format tv The Apprentice) in uno di quei innumerevoli database nel dark web che citavo prima.
Gli studiosi di password psychology potrebbero affermare, a giusta ragione, che noi umani non diamo importanza alle password perché non percepiamo il pericolo che criminali informatici possano ottenere facilmente gli accessi e non diamo sufficiente importanza alla sicurezza quando ci iscriviamo ai servizi online, sia che si tratti della tessera fedeltà del supermercato con cui facciamo la raccolta punti che dello streaming musicale a cui siamo iscritti. Non vi è venuto mai in mente che la password che avete usato per il vostro negozio di shopping online è la stessa della vostra e-mail, di Facebook o del backup del vostro computer Apple?
Per capire quanto la nostra mente è debole pensate a Stefan Thomas, un informatico tedesco residente a San Francisco che non è riuscito a recuperare il suo portafoglio Bitcoin con 220 milioni di dollari solo per essersi scordato la corretta sequenza della password, cosa che vi sarà successo spesso con i soli cinque numeri del Bancomat. Per ovviare a questo problema c’è chi utilizza alcuni servizi come LastPass che contengono tutte le vostre password in un solo posto con promesse di crittografia e massima sicurezza. Il problema è che poi si fanno bucare tanto quanto siti meno promettenti, e infatti dalla nascita nel 2008 ad oggi LastPass ha subito ben sei attacchi documentati andati a buon fine.
Un altro errore di valutazione è pensare che i dati che inserite siano assolutamente segreti e criptati e vi seguiranno nella tomba. L’errore che fanno molti è di usare un esercizio mnemonico molto semplice e basato sui sentimenti o pensieri ossessivi. Per questo motivo in Italia abbiamo il record mondiale di bestemmie e insulti inserite nelle chiavi di sicurezza: sono circa 215 mila e devo ammettere che quelle in lessico toscano sono abbastanza lunghe da diventare molto sicure.
Infine, un aneddoto per gli amanti del bourbon whisky: Mr. Jack Daniel, in uno dei primi giorni dell’ottobre 1911, arrivò di prima mattina nel suo ufficio per ritirare dei soldi dalla robusta cassaforte. Quella mattina però si scordò la combinazione e dalla rabbia cominciò a prendere a calci la cassaforte, ferendosi un dito del piede. Jack Daniel morì per setticemia il 10 ottobre 1911.
Le password sono un vecchio concetto di sicurezza e sono diventate un tirannia: pensate al caso di Jack Daniel, al programmatore tedesco che ha perso 220 milioni di dollari oppure a un uomo di Nuova Delhi ucciso per una password. Forse sarebbe ora di passare a nuove tecnologie biometriche, e vi assicuro che in questo momento chiunque potrebbe entrare facilmente in almeno il 30% dei vostri account. Non ve lo aspettavate, eh?
Dimenticavo, se avete ancora delle password come Rollingstone1234 oppure LigabueTiAmo non incolpate me se domani qualcuno entrerà nelle vostre e-mail o account.
Rollingstone.it