B@sta P@55w0rd c0mpl!cat€! L’autore di un manuale che ha fatto storia sulla creazione di password sicure si pente (dopo aver reso la vita difficile a miliardi di persone!).
Uno dei momenti più stressanti al computer è quando, davanti alla pagina di un servizio di cui asssolutamente non puoi fare a meno, ti chiedono di crearti la tua password, con maiuscole e minuscole e numeri e caratteri speciali (rigorosamente da una data lista)… Se poi è una nuova password per sostituire quella in scadenza (o dimenticata), deve nella maggior parte dei casi essere assolutamente diversa dalla precedente. O dalle due o tra precedenti. Un incubo.
Le regole per la costruzione delle password furono stese, nel 2003, da un funzionario di medio livello del National Institute of Standards and Technology degli Stati Uniti (il Nist), Bill Burr. Il suo manuale, NIST Special Publication 800-63. Appendix A, è stato da allora preso come punto di riferimento per la creazione di password e le regole sono state diffuse ovunque e fanno parte degli algoritmi deputati ad accettare o rifiutare la password che vi ostinate a volere per quel servizio di cui sopra.
FRASI, NON PAROLE. Peccato che le regole fossero basate sul buon senso e sull’idea che parole complicate, o complicate da caratteri improbabili, fossero più difficili da violare di quelle semplici. Questa convinzione si è adesso dimostrata sbagliata e Burr ha deciso di venire allo scoperto, in un’intervista al Wall Street Journal, e di pentirsi pubblicamente per le ore di frustrazione che ci ha inflitto.
È stato infatti dimostrato che le password, per quanto complicate, sono relativamente semplici da craccare con un cosiddetto brute force attack se sono corte: una password breve è sempre più facile da violare rispetto a una sequenza di lettere normali, e più facili da ricordare, ma più lunga. E così, marcia indietro.
Il nuovo manuale del Nist suggerisce adesso di usare passphrase piuttosto che password: cioè frasi costituite da più parole familiari di senso compiuto, per esempio non_mi_ricordo_la_parola, oppure, se siete dei duri, da-qui-non-passi-vigliacco. Sono più facili da ricordare (dicono, i geni!) e più difficili da dedurre o craccare in un attacco informatico diretto ai vostri preziosi segreti.
Lascia un commento