Nel 2014 i Trustwave Spider Labs hanno analizzato un campione di password raccolto da migliaia di test effettuati ai fini delle analisi di sicurezza richieste dai propri clienti nell’arco dello stesso anno. Il campione consisteva in circa mezzo milione di hashed passwords. La società ha poi pubblicato a giugno 2015 un sondaggio dal quale ad esempio emerge che le dieci password più facilmente violate (ossia recuperate grazie ai test di penetrazione effettuati) sono, nell’ordine: Password1, Welcome1, P@ssword, Summer1!, password, Fa$hion1, Hello123, Welcome123, 123456q@, P@ssword1
In Cyber Security Flaws in Working Practices, è stata effettuata una analisi per quantificare quante persone condividono le password usate per motivi di lavoro, da cui è emerso che il 23% ha condivisio password o PIN con un suo amico, familiare, collega o manager, mentre questa percentuale scende al 19% (ossia un lavoratore su cinque) qualora sul luogo di lavoro siano state adottate delle politiche di sicurezza.
Dallo studio What do Sony and Yahoo! Have in common? Passwords!, pubblicato a seguito delle violazioni dei database di password ai danni di SonyPictures.com (giugno 2011) e di Yahoo! Voices (luglio 2012) è emerso invece che, dei 302 utenti comuni dei due servizi, il 59% aveva usato la stessa identica password, il 2% due password che differivano solo per lo scriverne i caratteri in maiuscolo o in minuscolo e, infine, il restante 39% aveva utilizzato due password completamente differenti l’una dall’altra. Nel caso in esame entrambi i servizi consentivano il recupero delle password dimenticate grazie al fatto che esse erano memorizzate in chiaro.
Quello che segue è un semplice esempio di script per la realizzazione di un form che consente di inviare alcuni dati personali (nome ed età) ad un server remoto.
E’ scritto in un linguaggio chiamato PHP, molto in uso sui server web:
<form action=”action.php” method=”post”> <p>Your name: <input type=”text” name=”name” /></p> <p>Your age: <input type=”text” name=”age” /></p> <p><input type=”submit” /></p> </form>
Quest’altro è invece uno script un po’ più complesso scritto nel linguaggio Javascript. Questo programma consente di realizzare una animazione in cui un quadratino blu “balza” verso sinistra per poi tornare nella posizione originaria quando ci si clicca sopra:
<!DOCTYPE HTML>
<html>
<head>
<link type=”text/css” rel=”stylesheet”
href=”/files/tutorial/browser/animation/animate.css”>
<script>
function move(elem) {
var left = 0
function frame() {
left++ // update parameters
elem.style.left = left + ‘px’ // show frame
if (left == 100) // check finish condition
clearInterval(id)
}
var id = setInterval(frame, 10) // draw every 10ms
}
</script>
</head>
<body>
<div onclick=”move(this.children[0])” class=”example_path”>
<div class=”example_block”></div>
</div>
</body>
</html>
Una password può essere memorizzata in un computer così com’è, e allora si dice password in chiaro, oppure essa può essere memorizzata come una stringa apparentemente indecifrabile, e in tal caso si dice hashed password (letteralmente password triturata).
Il termine hashed deriva dal fatto che le hashed password sono ottenute passando in ingresso le password ad uno speciale algoritmo, detto funzione hash, che restituisce per tali password delle stringhe apparentemente incomprensibili.
Ad esempio, supponiamo che una mia password sia
$on= Pr=Pri= i=
Allora questa verrà memorizzata da alcuni servizi on-line (tipicamente, tutti quei servizi on-line che consentono di recuperare una password dimenticata) esattamente nello stesso modo, ovvero come la stringa
$on= Pr=Pri= i=
Se invece il servizio on-line utilizza un certo algoritmo basato sulla funzione hash MD5, allora $on= Pr=Pri= i= verrà memorizzata sul computer di destinazione come la stringa 317e45306e8ffc4a2770d2782f818fe8
Voi direte: ma che razza di password è quella usata nell’esempio precedente? Non si capisce nulla! Beh, come vedrete continuando a leggere la pagina principale di questo Passo 1, questo è proprio ciò che dovete cercare di fare con le vostre password: renderle difficilmente comprensibili ad un altro ma facilmente ricordabili per voi stessi !