Lo Zen e l’Arte di scegliere una Password sicura

“Simplifying Your Approach contains advice for system owners responsible for determining password policy. It is not intended to protect high value individuals using public services. It advocates a dramatic simplification of the current approach at a system level, rather than asking users to recall unnecessarily complicated passwords.”

NCSC, UK

Per anni abbiamo creduto, io compreso, che una password sicura fosse una password complicata, piena di numeri, maiuscole, simboli. Difficile da ricordare, tanto da aver bisogno di un Password Manager, ma abbastanza sicura da essere pressoché inviolabile. Così dicevano i super-esperti di sicurezza, tra cui Bill Burr, l’autore della famosissima “bibbia sulle password sicure“, scritta nel 2003 mentre lavorava per il governo USA, che per anni ha determinato le misure minime di sicurezza per le credenziali di miliardi di utenti.

Lo stesso Burr è stato recentemente costretto a tornare sui suoi passi, ammettendo che costringere gli utenti a sottostare a vincoli impossibili per la scelta di una password, di fatto ne indebolisce la sicurezza perché porta a scegliere sempre la stessa (o con piccole varianti) e comunque a doversela appuntare da qualche parte (come il post-it sul monitor).

Molto meglio scegliere una password composta da diverse parole di facile memorizzazione, puntando sulla lunghezza –che dovrebbe essere di almeno 12-14 caratteri (deprecabile che alcuni sistemi informatici impongano limiti a 8 caratteri)– più che sulla complessità.

Analizziamo le tecniche più utilizzate per la scoperta delle password:

a questo punto è quasi banale la scelta della password, che dovrebbe sempre e comunque:

Avevo già parlato del portale HowSecureIsMyPassword.net, che permette di verificare la sicurezza delle password. Beh, ammesso e non concesso che lo utilizziate per verificare la robustezza della vostra password, fatelo da una postazione il più possibile anonima (magari usando TOR) e comunque evitate di offrire al provider del servizio elementi riconducibili alla Vostra persona: fidarsi è bene ma non fidarsi è sempre meglio !

Giusto per fare due esempi, ho provato una password composta come “m0nter0ss0“, che molti reputeranno ragionevolmente sicura: tempo per la scoperta con un attacco a forza bruta, circa 1 giorno. Ho poi provato “ilmiocorpochecambia“, dal titolo di una canzone dei Litfiba, per scoprire che un attacco impiegherebbe oltre 607 milioni di anni…. (tranquilli, nessuna di queste due password è in alcun modo riconducibile a password da me utilizzate).

A questo punto spero di avervi dato qualche dritta utile per la scelta della vostra password sicura

Questo articolo è stato visto 5 volte (Oggi 1 visite)
Exit mobile version