Come scegliere le password

Come scegliere le password per i nostri account? Se da un lato l’opinione pubblica appare sempre più preoccupata o spaventata da possibili intrusioni nei propri sistemi informatici (email, account di social network o della propria banca), dall’altro solo di rado, purtroppo, sembra voler prendere provvedimenti seri che possano garantire un incremento del livello di sicurezza. Le motivazioni sono varie e, soprattutto, non sono tutte tecnologiche, ma sono legate al tempo a disposizione, alle cattive abitudini difficile da eradicare, dalle procedure aziendali contorte e via dicendo.





Meglio non riutilizzare sempre la stessa password

Prevenire è meglio che curare e, fuori da ogni luogo comune, è importante tenere molto alta la priorità  per quanto riguarda le password che si utilizzano. La prima cosa che è necessaria sapere, in effetti, è inerente al fatto che esistono elenchi pubblici di password altrui, sottratte da hacker molti abili e pubblicate (quindi ricercabili addirittura su Google): tanto per capire, anche Linkedin è stata soggetta ad un attacco del genere, con circa 6 milioni di password pubblicate che non devono mai più essere riciclate o riutilizzate su più account.

Ogni account dovrebbe, idealmente, avere la sua password “personale”

Questo ci riporta ad un semplice criterio per preferire password che non siano mai utilizzate da più di un sistema, ricorrendo quindi all’opportunità  di utilizzarne una distinta per ogni sito o servizio online a cui si desidera accedere. Per venire incontro a questa esigenza di maggiore sicurezza, i siti delle maggiori banche (tra cui ad esempio Monte Paschi o anche solo Postepay) permettono l’accesso al sistema mediante una username comunicata privatamente, una password scelta dall’utente (che di solito è obbligatorio cambiare periodicamente) ed una cosiddetta OTP (One Time Password), generata casualmente da un dispositivo apposito ed utilizzabile soltanto una volta.

Un triplo livello di sicurezza difficile, ma non certo impossibile, da violare per un estraneo.

Approfondimento: i bit di entropia delle password

In genere il rischio teorico associato alle password deboli (ciao, admin, 1234, e via dicendo) è che non sono facili da indovinare solo per un essere umano malintenzionato: lo sono anche per un computer o un algoritmo, che nello specifico si chiama di brute force (forza bruta) e che consiste nel tentare tutti i caratteri possibili fino ad indovinare la password esatta per successivi tentativi molto veloci.

Nel caso della password 1234, bastano per l’appunto 1234 tentativi a partire da 0000, proseguendo con 0001, 0002, … per indovinarla. Il calcol dei cosiddetti bit di entropia di una password permette di effettuare una stima sul tempo necessario per violare la password in questione.

E, nello specifico, viene considerata l’entropia della password e si calcola generalmente come:

E = log2 (RL)

dove:

  • R rappresenta il numero di simboli a disposizione;
  • L la lunghezza della password.

Senza complicare il calcolo considerando simboli non alfabetici o codifiche non ASCII (unicode, UTF-8, …), ammettiamo che si tratti di password solo numeriche. È evidente che nel caso di password uguale a 1234 avremo che R = 10 (i numeri/simboli da 0 a 9), mentre L = 4. E sarà pertanto

log2 (104) = 13.28

L’entropia in questo caso sarà bassa, poichè sarà necessario scandagliare tra un totale di 1000 possibilità o combinazioni e, in media, la statistica suggerisce che troveremo la nostra password più o meno a metà dei tentativi globali. Se il set di simboli si estendesse a lettere e numeri, banalmente, avremo che R = 10 + 26 = 36 e a questo punto

log2 (364) = 20.67

già qualcosa di meglio rispetto a prima, ma ancora bassina. Se incrementassimo la lunghezza, al contrario, agiremmo sull’operazione di potenza, per cui con password di lettere e numeri lunghe almeno 10 caratteri avremo che

log2 (3610) = 51.69

I calcoli in questione, per inciso, si possono fare rapidamente su WolframAlpha.com. Insomma, è importante che la password sia lunga & complessa, ma (matematicamente parlando, seguendo questo modello di calcolo leggermente semplificato) un po’ più lunga che complessa, potremmo scrivere. Ci torneremo tra un attimo :-)

Quali password non bisognerebbe mai usare

Le password da evitare, in generale, sono dei seguenti tipi:

  1. password troppo semplici o banali (soggette quindi a possibili attacchi brute force);
  2. password di lunghezza inferiore a 8 caratteri;
  3. password senza almeno un carattere non alfabetico come un ; o un .;
  4. password costituite da sole lettere;
  5. password costituite da soli numeri (la nostra data di nascita in formato numerico, è il caso di ricordarlo, non è una buona password)
  6. password il cui hash MD5 / SHA1 sia presente in chiaro su Google (ad esempio 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 e 5f4dcc3b5aa765d61d8327deb882cf99 corrispondono alla stringa password e basta una semplice ricerca a scoprirlo; in molti casi, sebbene la cosa non riguardi la maggioranza dei sistemi, la password di sistema è memorizzata in forma criptata nel database del sito. Se un hacker riuscisse a prelevare in qualche modo la stringa direttamente dal database, sfruttandone qualche falla specifica, potrebbe disporre delle credenziali di accesso al nostro sistema informatico cercando la stringa criptata su Google.
  7. password che siano in generale ricercabili su Google e presenti in “password lists” come quella che ho linkato.

Quali password è preferibile adottare

La scelta delle password dovrebbe in genere andare su frasi che siano lunghe almeno 8 caratteri, che presentino siano lettere maiuscole che minuscole, che presentino almeno un carattere non alfabetico ed almeno un numero. Un criterio utile per generare password è stato suggerito da xkcd, e consiste nel fare uso di password lunghe che siano collegabili facilmente, con qualche criterio semplice da memorizzare. L’esempio che riporta la vignetta è correct horse battery staple, una frase semplice da ricordare e senza caratteri strani, che possiede ben 44 bit di entropia a confronto di quanti ne possegga Tr0ub4dor&3 (solo 28 bit di entropia). Ecco perchè avevamo scritto, all’inizio,che la password doveva essere un po’ più lunga che complessa, nel senso che conta più la lunghezza (quindi una bella frase lunga e non ovvia) che l’uso di caratteri complicati che poi, nella pratica, su alcune tastiere possono dare problemi e via dicendo.

Generatori di password online

Nella pratica, poi, si possono sfruttare i numerosi generatori di password, i quali aiutano a generarla in modo sicuro, senza memorizzarla nel server in cui è stata generata ed in modo tale che possa essere idealmente solo “vostra”. In genere sono tool sicuri e non dovrebbero memorizzare la password generate da nessuna parte, anche se per essere davvero sicuro potreste verificare che funzionino anche offline dopo aver aperto la pagina e la generazione, soprattutto, dovrebbe avvenire senza scambio di dati col server (verificabile via console dei vari browser).

Ricordatevi pure di cambiare password periodicamente e, anzi, appuntatevi di farlo perchè è davvero importante. Nei sistemi moderni è possibile abilitare un secondo livello di protezione come l’autenticazione a due fattori, che consigliamo ad oggi, nel 2023, senza tentennamenti.



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
5/5 (2)

Ti sembra utile o interessante? Vota e fammelo sapere.

Come scegliere le password
url 14
Torna su