Password Intelligence

Le password sono così spesso facili da indovinare perché molti utenti pensano a parole e numeri ovvi e li combinano in modi semplici.

Chi è il primo supereroe che vi viene in mente?
Pensa ad un numero compreso tra uno e 10?
Per finire pensa a un colore allegro?
Pensa rapidamente a ciascuna di queste cose, se non l’hai già fatto, quindi combina tutte e tre in un’unica frase.

Ora è il momento di indovinarlo.

È Superman7rosso? No, no: Batman3Arancione? Se abbiamo indovinato una qualsiasi delle singole risposte correttamente, è perché gli esseri umani sono prevedibili. E questo è il problema con le password…

È vero, ci siamo dati il ​​vantaggio di alcune domande scelte in modo subdolo, ma questo non è niente in confronto alla maestria su scala industriale dei software per la violazione delle password appositamente progettati. I nostri sistemi di analisi possono generare 300.000 tentativi al secondo (a seconda della tipologia di hash) per verificare le vostre password, quindi anche se avete scelto OcchiodiFalco6giallo, come vostra frase segreta, prima o poi, non lo sarebbe più segreta.

Le password sono così spesso facili da indovinare perché molti utenti pensano a parole e numeri ovvi e li combinano in modi semplici. Abbiamo voluto esplorare questo concetto e, così facendo, vedere cosa potremmo scoprire su come funziona la mente di una persona quando lui o lei organizza parole, numeri e (si spera) simboli in un ordine (probabilmente non molto) unico.

Grazie ad una base di dati abbiamo sviluppato pattern specifici di ricerca che ci permetto di analizzare le vostre password alla ricerca di quelle più deboli e comuni. Mantenendo tutti i dati anonimizzati possiamo fornire uno stato delle vostre password e all’occorrenza segnalare quali account devono effettuare un cambio password.

Un po’ di storia

Alla fine del 2016, due database contenenti milioni di credenziali sono stati resi pubblici: AntiPublic Combo List e Exploit.in Combo List. Questi database contengono una combinazione di nomi utente / indirizzi e-mail e password di diversi servizi online.

I nostri ricercatori hanno effettuato un’analisi completa sul contenuto di questi database. L’idea era di raccogliere tutte le password presentate in entrambi gli elenchi e analizzarle per estrarre statistiche significative.

Quindi, per prima cosa, abbiamo fatto delle ricerche su ciò che si sapeva di questi elenchi. All’epoca (inizio 2017), non si sapeva molto su di loro (a parte il contenuto) o da dove provenissero.

Il primo pensiero è stato “da dove cominciare?”. Dopo aver verificato la dimensione dei file con cui  avevamo a che fare, abbiamo fatto un’analisi di base per verificare il numero di righe dei file, quali di queste erano uniche, quanti indirizzi e-mail, password e nomi utente erano presenti in queste liste. Questa era la parte facile. Poi abbiamo proseguito ad analizzare separatamente le email e le password.

Analisi dei dati

Utilizzando i nostri strumenti per estrarre statistiche sulle password, abbiamo effettuato l’analisi della lunghezza delle password: il risultato è stato un file CSV con la lunghezza delle password e il numero di volte che sono state trovate.


Euro Informatica S.p.A., leader in questo settore può metterti a disposizione la decennale esperienza nel monitorare e identificare qualsiasi rischio remoto. Disponiamo di moltissime soluzioni e tecnologie, chiavi in mano, che permetteranno alla tua azienda di rendere da subito le soluzioni di smart working semplici e sicure, permettendo ai tuoi collaboratori di essere subito nelle condizioni di lavoro ottimali e sicure sia per loro ma soprattutto per tutta l’infrastruttura di rete della tua azienda.

Il nostro team è a tua disposizione per informazioni sui nostri servizi. Contattaci gratuitamente.