Questo sito web utilizza cookies per garantirvi una migliore esperienza di navigazione. OK

password

E' opinione diffusa che le password debbano essere lunghe e composte da caratteri alfanumerici, ma soprattutto che si debba modificarle regolarmente. Nella realtà di tutti i giorni accade spesso che le aziende chiedano ai dipendenti di modificare a intervalli regolari le proprie password per motivi di sicurezza. Secondo quel che si è scoperto, però, non proprio tutto quello che sappiamo sulla sicurezza delle password è necessariamente vero. E ciò è stato dimostrato da numerosi studi realizzati da esperti e tecnici provenienti da ambiti diversi. La sicurezza delle password è un tema complesso, per cui vogliamo dedicare un articolo interno a presentare questo argomento.

Questo articolo è stato scritto in origine per la pagina inglese di questo blog ed è stato tradotto per voi in italiano.

Esiste tutta una serie di siti internet, dove è possibile creare automaticamente passwordche la cui sicurezza viene poi valutata su una scala da debole a forte. Basandosi su determinati algoritmi di pagine come Facebook e Twitter, le password alfanumeriche ricevono il punteggio più alto. Tuttavia, sviluppatori come Cameron Morris hanno scoperto che molte di queste password - ritennute così tanto sicure - possono essere tranquillamente violate da hacker amatoriali in meno di un giorno. Per esempio, se utilizzi una password alfanumerica che ha un collegamento diretto con te - nel caso tu sia un appassionato di basket e usi "34Lakers56" - la password potrebbe avere sicuramente un'alta valutazione di sicurezza, ma è in realtà tutt'altro che sicura.

La soluzione?

Morris definisce la "valutazione di sicurezza" delle password in un modo completamente nuovo. Anziché sulla solita modalità di calcolo della sicurezza di una password, lo sviluppatore ha prodotto un nuovo strumento di analisi che calcola quanto tempo ci vorrebbe per violare una determinata password.

Il suo Passfault Analyzer (consiglio semplicemente di provarlo) evidenzia alcuni risultati molto interessanti. La password che utilizzo a casa per la mia rete Wi-fi può essere violata in soli tre giorni. Al contrario, ci vorrebbero dei mesi per violare una password basata su una parola di fantasia inventata quand'ero bambino, che quindi per la sua sicurezza potrei utilizzare tranquillamente. Le migliori sono ovviamente quelle password per cui sono necessari milioni di anni prima di poter essere violate.

Per essere sicure, le password devono essere lunghe. Almeno tra i 20 e i 30 caratteri, e non devono contenere parole o concetti che si possono ritrovare in un dizionario. Ovviamente però, password alfanumeriche lunghe e criptiche senza alcun significato hanno anche un grande svantaggio: le si ricorda con difficoltà, per questo spesso preferiamo scegliere il nome del nostro gatto in collegamento con la data di nascita dei propri figli (o qualcosa del genere). Che questa combinazione non sia però il massimo della sicurezza, lo sapevamo già.

Questi sono i consigli di un recente sudio di Carnegie-Mellon: Se hai trovato una password, per violare la quale sono necessari qualche decenni d'anni, non la cambiare. Non è sempre vero - come invece viene più volte ripetuto - che modificare regolarmente la password sia più sicuro, soprattutto perché per ricordarti ogni tre mesi una nuova combinazione di caratteri alfanumerici avrai senz'altro scelto qualcosa che sia collegato a te, e quindi facilmente riconducibile a te. Quindi o l'avrai scritta su un qualche foglietto oppure l'avrai salvata da qualche parte sul computer, il che dal punto di vista della sicurezza non è per niente il massimo. Per questo motivo bisognerebbe segnarsi due password "a prova di bomba", la cui sicurezza potrete testare con Passfault Analyzer. E se non ti venisse in mente nessuna password a prova di bomba? Allora consiglio di guardare prima questo video che mostra come creare una password che possa creare qualche problemino ance al migliore degli hacker...

Link al video

E allora? Com'è andata con la vostra password su Passfault Analyzer? Io ho provveduto a cambiarle subito, dopo un risultato imbarazzante: un paio di giorni quasi per tutte... E da voi? Descrivete nei commenti la vostra esperienza.

1 Commento

Commenta la notizia:

Questo sito web utilizza cookies per garantirvi una migliore esperienza di navigazione. Scopri di più

OK