Molte persone usano password basate su parole di senso compiuto, nomi o date di nascita. Questo le rende estremamente vulnerabili, anche se la password ha 6–8 caratteri.
Vediamo due esempi concreti:
Esempio 1: marco87
7 caratteri
Solo lettere e numeri
Senso compiuto (nome + anno)
Tempo medio per craccarla:
Con dizionario: meno di 1 secondo
Con brute-force: pochi minuti
Se la password è contenuta in un dizionario (es.
rockyou.txt), il tempo di attacco è praticamente istantaneo.
Esempio 2: marco87!
8 caratteri
Aggiunto un carattere speciale
!
Tempo medio per craccarla:
Con dizionario: qualche minuto o ora (dipende dalla presenza nel dizionario esteso)
Con brute-force: può arrivare a giorni su CPU medie, ma rimane craccabile
Anche se più resistente, non è ancora una password forte: aggiungere un simbolo non basta se il resto è prevedibile.
Tabella comparativa (stima su CPU moderna)
| Tipo di password | Lunghezza | Complessità | Tempo stimato |
|---|---|---|---|
mario83 | 7 | lettere + numeri | < 1 secondo (dict) |
mario83! | 8 | + simbolo | minuti – ore |
Mk#9Zr4p | 8 | casuale forte | anni |
!Mario1987! | 11 | prevedibile | ore – giorni |
Le password semplici si violano in pochi secondi, anche se sembrano “complesse” per chi le crea (es. nome + numero + simbolo). I tool come John the Ripper o Hashcat sfruttano dizionari, regole e attacchi combinati per ridurre drasticamente il tempo necessario. Tieni anche presente che la tabella suppone che tu stia usando per questo test un semplice PC desktop; nella realtà un malintenzionato (cracker) ha PC molto più potenti e con grande capacità di calcolo per cui le password precedenti vengono visualizzate da "immediato" a "pochi minuti"
Come proteggersi
Non usare mai parole comuni, nomi, date
USA password lunghe (12+), casuali o frasi complesse
USA un password manager
ATTIVA l'autenticazione a due fattori (2FA)