Gli adulteri di Ashley Madison usavano password terribili: ecco le peggiori 30

Non molto tempo fa parlavamo degli adulteri di Ashley Madison rimasti a brache calate. Il sito di incontri al buio fra gente sposata è stato violentemente hackato e una quantità industriale di dati era stata allora pubblicata online. È una notizia dei giorni scorsi, inoltre, che le prime password sono state decifrate e quanto si scopre dovrebbe far vergognare ancora di più gli utenti potenzialmente fedifraghi del servizio online.

Ashley Madison sosteneva che l'algoritmo crittografico utilizzato sulle password degli utenti fosse fra i migliori in circolazione, il che è vero. Il servizio usa Bcrypt, sistema che rende il processo di hashing così lento che un ipotetico brute-force sulle password del servizio potrebbe concludersi virtualmente dopo decine e decine di anni. Gli esperti, però, sono riusciti a decifrarne circa un terzo dopo poche settimane, ma come hanno fatto?

Analizzando la mole di dati pubblicati (circa 100GB complessivamente), il team ha identificato una vulnerabilità attaccabile nel modo in cui venivano gestite le password. I token per il log-in, nella fattispecie, erano protetti utilizzando MD5, algoritmo molto più debole e veloce da decifrare. Invece di "crackare" l'agoritmo Bcrypt, quindi, gli esperti hanno semplicemente effettuato un brute force sui token MD5 dei singoli account.

Questo approccio ha permesso di decifrare 11,2 milioni di password e riportarle in semplicissimo formato testuale, ma non consentirà di crackare tutti i 37,2 milioni di hash pubblicati online. La vulnerabilità dovrebbe consentire di scoprire altre 4 milioni di password nei prossimi giorni, e mettere a nudo altrettanti adulteri o aspiranti tali. Ma prestiamo attenzione alle password utilizzate dagli utenti.

Le varie firme del web vivono con i nostri dati. Ci profilano, sanno tutto o quasi di noi sia perché glielo diciamo esplicitamente, sia perché deducono le nostre caratteristiche dalle abitudini che abbiamo sul web. Riservatezza e privacy non vanno molto d'accordo con il web di oggi, tuttavia possiamo ancora mantenere un po' di riserbo impostando password uniche e complesse, soprattutto in quei casi in cui facciamo cose che non vogliamo che vengano scoperte.

Ma nonostante i vari moniti che possiamo trovare sul web, sono ancora in tantissimi gli utenti che preferiscono la comodità di una password semplice da ricordare (e sempre la stessa), senza considerare che più semplice è da ricordare, più facile è per i malintenzionati scoprirla. Sulle 11 milioni di password che gli esperti di sicurezza hanno decifrato, tuttavia, solo 4,6 milioni sono uniche, mentre le restanti (ben oltre il doppio) offrono una sicurezza quanto meno labile.

Ahsley Madison, password più comuni

Fra le più note troviamo l'intramontabile 123456, seguita da 12345. Queste due sono state utilizzate da quasi 170 mila utenti, che accedevano quindi con la stessa password. Al terzo posto troviamo proprio password, seguita da DEFAULT, 123456789 e qwerty. Nella lista che riportiamo nella pagina troviamo anche tanti nomi comuni, naturalmente anch'essi semplici da decifrare con comunissimi attacchi brute-force.

I consigli da dare in questo caso sono sempre gli stessi, ed anche Ashley Madison ha cercato di ovviare alle problematiche insorte rilasciando alcune note da seguire. È necessario scegliere password il più possibile uniche e complesse e soprattutto diverse per ogni servizio. Se non si vuole rinunciare alla comodità, è possibile utilizzare un "password manager", scegliendolo però fra i più famosi e rinomati.

Ma sappiamo che con certi utenti è tutto inutile, e saranno sempre in tantissimi ad utilizzare ridicole progressioni numeriche anche per proteggere i dettagli più scabrosi della propria vita online. Tanto la colpa è sempre di chi offre il servizio.