Contrordine internauti. Le password astruse troppo facili da violare

Io non ci posso credere: abbiamo passato quattordici anni, dico quattordici, a trovare password sempre più complicate, perché così aveva pensato nel 2003 il signor Bill Burr, all'epoca impiegato al National Institute of Standard and Technology. E tutti gli dettero retta. Ci ha fatto impazzire, sostenendo si dovessero usare caratteri assurdi, tipo: «$£&§726%2£ç88ansbx!®©!», ci metti una vita solo per trovarli sulla tastiera. E adesso? Contrordine! In sintesi hanno scoperto che quei caratteri strani sono difficili da ricordare per noi umani ma facili da decriptare per un computer, e Burr, ormai in pensione, ha chiesto scusa. Scusa? L'ergastolo dovrebbero dargli, altro che pensione, e noi vogliamo un risarcimento danni, ci sarà pure una sindrome da stress di password a cui appellarsi.

Anche perché nel frattempo tutte le società hanno adottato il metodo Burr. Chiunque di voi si sarà trovato a fare shopping online dovendosi prima iscrivere al tal sito, e la password scelta non va mai bene: deve contenere maiuscole, numeri, simboli, deve essere lunga almeno dodici caratteri ma meglio di venticinque, neppure stessimo entrando nella sede della Cia. In sostanza una buona password deve essere pensata in modo che neppure se foste Einstein ve la ricordereste. Come se non bastasse, consigliano: mai la stessa password! E ti pareva, troppo facile altrimenti, sicché a ogni account la sua password. Ah, i bei tempi degli albori dell'informatica! Quando bastava mettere un nome qualsiasi, del gatto, della fidanzata, del figlio, della pornoattrice preferita, magari seguito dalla data di nascita, tanto per stare più sicuri. Tra l'altro a cadenze regolari ti arrivano mail dove ti consigliano di cambiarla, perché qualcuno ha tentato di hackerarti. Succede spesso con Facebook, ed è subito panico. Mi stanno hackerando Facebook! Ci spiano! Ma chi vuoi che ti spii, al massimo sarà tua moglie per vedere se fai il provolone online. In ogni caso le password sono infinite e sfinenti: quella per accedere al pc, quella per far accedere il pc ad altro dispositivo al wi-fi, quella per accedere a Facebook, Twitter, Instagram, quella per accedere a Amazon o eBay, quella per accedere alla Playstation, quella per accedere a PayPal, e c'è perfino la password per accedere all'applicazione che ricorda le password (e quella, però, dove la mettiamo? In cassaforte? Che avrà a sua volta una combinazione, da custodire in un'altra cassaforte senza combinazione, perché ormai non ci ricordiamo più niente a memoria, neppure i numeri di telefono, se li ricorda lo smartphone per noi). Paradossalmente le password più semplici restano quelle del bancomat, 5 cifre e prendi i soldi. Insomma, la vita è una giungla di password. Ma almeno ci siamo liberati del mix di cifre e lettere, e soprattutto dei terrificanti caratteri Burr: le nuove norme di sicurezza suggeriscono password lunghe, facili da ricordare, anche di senso compiuto. Più lunghe sono, meglio è. Tipo i titoli della Wertmüller. Che aveva capito tutto in anticipo meglio di quello scemo di Burr. Ecco, la mia nuova password sarà una cosa così: «Fatto di sangue fra due uomini per causa di una vedova. Si sospettano moventi politici». Senza spazi in mezzo, ovvio. E vediamo un po' se me la hackerano.

Commenti

isolafelice

Ven, 11/08/2017 - 08:58

Un suggerimento? per password una breve frase nel vostro dialetto locale, che sia napoletano o bergamasco o trapanese sicurezza garantita.

Lapecheronza

Ven, 11/08/2017 - 09:10

Una PW composta da 3 caratteri e di solo numeri (es. 375) ha 1 probabilità su 1.000 (10^3) di essere trovata; se i caratteri, sempre numerici, fossero 8 la probabilità è di 1:100.000.000 (10^8). Se si estende la gamma dei caratteri a lettere e ad altri caratteri da tastiera (es. &%£$=) composta da 26 lettere minuscole + 26 lettere maiuscole + 10 numeriche + 30 segni da tastiera = set da 92 caratteri, una PW composta da 8 caratteri sarà di 1: 5.132.188.731.375.620 (92^8), una composta da 12 caratteri di 1: 367.666.387.654.882.000.000.000 (92^12). Se poi si considera che molti sistemi sono stati progettati che dopo 5 tentativi di PW sbagliata viene bloccato l'accesso...

Franco Ruggieri

Ven, 11/08/2017 - 09:52

@isolafelice: hai proprio ragione, anzi: "Cia1_propio_raggion&" :-)

Un idealista

Ven, 11/08/2017 - 10:12

Oggi i computer sono velocissimi. In un secondo possono tentare milioni di parole, finché viene quella giusta. Che cosa si aspetta a mettere il tempo nella password, ad esempio almeno un decimo di secondo fra una lettera e la successiva, oppure un secondo tra un tentativo e il successivo? Se opportunamente programmata, la gestione delle password può includere il tempo, e questo può rendere le password inattaccabili.

QuebecAlfa

Ven, 11/08/2017 - 11:53

I siti per servizi online realmente importanti implementano ora un'autenticazione "a due fattori" (2FA - Two Factors Authentication). Il metodo migliore è disporre di un gestore di OTP (One Time Password) che viene generata automaticamente tramite software, sulla abse del proprio profilo personale ora presente anche all'interno di un semplice QRCode ed ha una scadenza generalmente di 60 secondi. I software in grado di gestire queste OTP sono disponibili gratuitamente da lungo tempo anche per smartphone.

Ritratto di Legio_X_Gemina_Aquilifer

Legio_X_Gemina_...

Ven, 11/08/2017 - 13:07

@un idealista Certo, hai ragione, però il tempo lo devi decidere tu che generi la password e deve essere un tempo lungo per i computer ma breve per noi umani.

libertyfighter2

Ven, 11/08/2017 - 13:14

@Lapecheronza Quel che dice è vero, però una volta estesa la gamma dei caratteri a tutto il codice ASCII, il fatto che uno usi solo numeri, o solo lettere minuscole non cambia la probabilità di venir scoperti. Perché sistemi "brute force" sono comunque obbligati a testare tutti i caratteri.

Ritratto di venividi

venividi

Ven, 11/08/2017 - 13:20

Facili da decriptare per un computer ? Quale tipo di computer? Sicuramente non quelli di casa. Anch'io, come suggerisce casafelice, uso frasi di un paio di vecchie canzoni arabe che pochissimi ricordano ancora: sono altrettanto difficili da scoprire di quella citata nell'articolo ($£&§726%2£ç88ansbx!®©!). In questo modo mi proteggo dalla gran parte dei cracker che girano per Internet, centinaia di migliaia se non milioni dotati di computer potenti ma non di un CRAY. Anche il tempo è un fattore calcolabile, renderebbe le cose più difficili ma non impossibili, persino il disegno della retina o un impronta digitale. Il limite dei tentativi è anche aggirabile, vedere le dritte per ottenere più "vite" in un sempolice gioco di computer. Semplicemente più il valore che si vuole proteggere è alto più le password devono diventare complicate e inaccessibili agli cracker amatoriali. Non fasciamoci la testa, $£&§726%2£ç88ansbx!®©! è ancora utile.

Lapecheronza

Mar, 15/08/2017 - 19:00

@libertyfighter2 - nessun sistema serio consente attacchi a forza bruta. Provi a verificarlo di persona.