• TECH

Come creare una password complessa senza dimenticarla

Da qualche tempo a questa parte siamo abituati leggere articoli di esperti o pseudo tali, che enunciano quali siano state le password più utilizzate dell’anno scorso (nel 2018 abbiamo avuto in prima posizione “123456“e “password” in seconda). Questi pezzi avrebbero lo scopo di suggerire all’utente medio di utilizzare una o più password meno ovvie e di conseguenza più resistente ad attacchi definiti in gergo di “forza bruta”; cioè quei tipi di attacchi compiuti da uno o più computer che, in una sorta di cooperazione, tenta tutte le possibili combinazioni di password per poterne indovinare una specifica. Nel caso ci riesca si dice che sia riuscito a “rompere una password”.

La maggior parte delle persone saprà quanto sia opportuno creare una password da almeno otto caratteri, in cui sia presente almeno un carattere maiuscolo, uno minuscolo e una cifra. Ad essere pignoli sarebbe preferibile inserire un carattere speciale al posto della cifra. In sostanza la scelta non dovrebbe mai corrispondere ad una parola presente nel dizionario. La complessità di queste password dovrebbe essere sempre bilanciata con la nostra memoria: perché se è vero che deve essere complessa, nello stesso tempo non deve essere dimenticata. Specie per quella chiavi utilizzate in ambito lavorativo, in cui il protocollo prevederebbe di cambiarle ogni 90 giorni. Purtroppo la fantasia nello scegliere una di queste imprevedibili combinazioni è messa in discussione dal fatto che sul mercato esistano computer sempre più economici e potenti. Alcuni di questi sono appunto utilizzati in maniera dedicata alla rottura delle password. Sarà facile immaginare tra qualche anno che anche le password più elaborate potranno essere scoperte dopo appena qualche minuto dalla loro creazione. Per questa ragione, negli ultimi anni, aziende come Google stanno lavorando all’abolizione delle password, perché considerate appartenenti a sistemi di autenticazione obsoleti e non sicuri.

Finché questi sistemi non saranno alla portata di tutti, sarebbe bene cominciare ad adottare qualche semplice trucco per memorizzare password complesse. Un semplice trucco potrebbe essere quello di costruire una parola d’ordine complessa a partire da una frase ed utilizzare, per la sua composizione, solo la prima lettera di ogni parola. Questo semplice trucco si rivela spesso molto efficacie e semplice da usare. Ad esempio, al posto di memorizzare una serie di caratteri alfanumerici casuali, si potrebbe memorizzare qualcosa del tipo: “Ad agosto vado in vacanza per due settimane“, che verrebbe trasformato nella password: “AavivX2s” o, ancora meglio, “La domenica è il settimo giorno: quello del riposo“: “Ldèi7g:qdr“, che includerebbe anche i caratteri speciali menzionati prima. Sebbene queste non siano totalmente inattaccabili, almeno per quest’anno possiamo finalmente cambiare la nostra vecchia “123456“.

Tags

Mauro Verderosa

Esperto di sicurezza informatica e certificato CISSP. Specializzato nel controllo degli accessi e nell'Identity and Access Management (IAM). CEO dell'azienda di sicurezza svizzera PSYND, dell'associazione Swiss-CyberSecurity e della conferenza Zero-Day. Lavora ogni giorno per alcune delle più importanti istituzioni svizzere ed europee nella definizione di strategie di sicurezza.

Articoli correlati