Password. Alzi la mano chi non le odia. In particolare, chi non odia la propria password. Sappiamo che sono un male inevitabile, ma crearne di sicure è un vero delirio. Usa lettere maiuscole e minuscole. Usa i numeri. Usa i simboli. Non usare parole del dizionario. Non usare frasi di senso compiuto e bla, bla, bla.

E così ci si ritrova con password del tipo M@5t3Rp@$$w0rd1967.

E come si fa a ricordare una password simile?

E se invece ti dicessi che laguna alza abisso donato odioso vaso vedovo rappresenta una password ben più sicura di M@5t3Rp@$$w0rd1967?

Questo tipo di password è detto passphrase e non è altro che una sequenza casuale di parole comuni. Risulta molto più facile da ricordare rispetto alle "password convenzionali" e non è certo necessario essere Edward Snowden per crearne una, persino un undicenne riesce a farlo.

Bastano pochi minuti e dei dadi...

Come creare una passphrase

Creare una passphrase è semplice. L'importante è non scegliere in autonomia le parole. Il cervello umano infatti è notoriamente poco abile nel creare una vera casualità. Amiamo troppo gli schemi e tutte le nostre parole hanno un significato, il che rende indubbiamente difficile generare passphrase veramente casuali.

Meglio allora affidarsi a Diceware, un metodo per la generazione di passphrase sviluppato da una persona decisamente più geniale di me: Arnold Reinhold. Il metodo prevede l'impiego di un semplice elenco di 7.776 parole, ciascuna delle quali corrisponde a un numero di 5 cifre ottenibile lanciando un dado.

È molto più semplice di quanto non appaia. Ti faccio vedere come si fa:

  1. Scarica l'elenco di parole Diceware in italiano. Può essere aperto da qualsiasi editor di testo.
  2. Lancia un dado cinque volte, oppure lancia cinque dadi una volta sola, e segna i numeri in ordine.
  3. Trova la parola corrispondente al numero uscito e scrivila.
  4. Ripeti l'operazione fino a ottenere 6 o 7 parole.

Tutto qui.

Così, se ad esempio lanci il dado cinque volte e ottieni il numero 34462, passando in rassegna l'elenco troverai:

34456   latrai
34461   latri
34462   latro
34463   lattai
34464   latte
34465   lauree
34466   lava
34511   lavabi

troverai la parola lattai.

Ripeti il procedimento fino a selezionare almeno sei parole.

Aggiungi liberamente simboli, maiuscole o numeri a tuo piacimento. Questo aumenterà la complessità della passphrase, senza contare che la maggior parte dei servizi con pretese di sicurezza richiede che la password contenga simboli speciali.

Fai tuttavia attenzione a non ritrovarti in queste due, seppur rare, situazioni:

  • Sono uscite parole talmente corte che la tua passphrase contiene meno di 17 caratteri.
  • Hai ottenuto un qualche tipo di frase di senso compiuto.

In entrambi i casi, ripeti da capo l'intera procedura.

Ricorda che, con questo metodo, sono i dadi a decidere la passphrase casuale che uscirà. Quindi non falsificare i risultati perché ritieni che due parole suonino meglio di altre insieme o rischieresti di creare degli schemi.

Esistono diversi elenchi di parole in inglese tra cui puoi scegliere e in molte altre lingue e mescolare gli elenchi è un ottimo modo per creare passphrase ancora più sicure.

Annota la passphrase ottenuta su un foglio di carta fino a quando non sarai sicuro di averla memorizzata. Dovresti assimilarla dopo qualche volta che la utilizzi. Se hai difficoltà a farlo, puoi creare delle storie per fare in modo di ricordarla più facilmente.

Ad esempio: La laguna alza l'abisso donato da un odioso vaso disse il vedovo.

Questo è il trucco utilizzato dai campioni di memoria. Una volta che avrai memorizzato la tua passphrase, distruggi il foglio su cui l'hai scritta.

È possibile automatizzare il metodo dei dadi?

Sì. In realtà, esistono moltissimi generatori di passphrase Diceware come quello che trovi qui.

Tuttavia, tieni presente che sebbene i generatori come questo siano comunque molto sicuri, i computer non sono mai perfettamente casuali nella loro logica, pertanto non saranno mai altrettanto sicuri quanto lanciare i dadi fisicamente per ottenere la passphrase.

Posso utilizzare questa passphrase dappertutto?

No, questo non va assolutamente fatto.

Ripetere password o passphrase per servizi diversi è una delle cose peggiori che puoi fare per la tua sicurezza. Basta infatti che un account venga violato perché vengano violati anche tutti gli altri.

L'ideale sarebbe utilizzare una passphrase come master password per un gestore di password, il quale potrà quindi creare password lunghe casuali, diverse per ciascun account, tenendo traccia di tutte per conto tuo. Ormai esistono moltissimi gestori di password gratuiti o con prezzi contenuti, per cui non c'è davvero alcun motivo per non provarne uno.

Se non vuoi utilizzare un gestore di password, dovresti eseguire altri due passaggi:

  1. Crea una passphrase per i tuoi account più importanti e aggiungi quindi dei modificatori
    Possono essere semplici forme abbreviate oppure il nome completo del servizio specifico. Utilizzando l'esempio riportato sopra, potresti ottenere:
    G@G1 laguna alza abisso donato odioso vaso vedovo
    Oppure
    laguna alza abisso donato odioso vaso vedovo Facebook1@
  2. Crea una seconda passphrase per tutti gli account usa e getta
    Ma anche gestire due passphrase può essere una seccatura, per cui il nostro consiglio è di utilizzare un gestore di password.

Non occorre fare altro. A questo punto possiedi una delle password più sicure possibili. Vai tranquillo e divertiti sul Web…

… se invece vuoi saperne di più sulle passphrase e del perché sono in grado di migliorare la sicurezza, continua a leggere.

Perché le password comuni risultano deludenti

Tutti i consigli tradizionali in merito alle password non sono sbagliati in realtà. Tuttavia, senza entrare troppo nel tecnico, una password sicura presenta due requisiti essenziali:

  • Deve essere lunga, molto lunga. Il minimo dovrebbe essere 17 caratteri. Per stare sicuri anche per il futuro, è meglio creare password di oltre 20 caratteri.
  • Deve essere casuale: Gli hacker sono bravissimi nel riconoscere gli schemi e nel realizzare strumenti in grado di individuarli.

Tutto qui.

Aggiungere minuscole e maiuscole, simboli strani e numeri dovrebbe aiutare a rendere più sicure anche le password più brevi estendendo il numero di combinazioni possibili ben oltre quelle ottenibili con le 26 lettere dell'alfabeto. Ma si può sempre compensare con la lunghezza.

L'altro problema con tutti questi simboli aggiunti è che noi umani non siamo bravi con la casualità e siamo ancora meno bravi a ricordarla, per cui tendiamo inevitabilmente a creare degli schemi. Non ci possiamo fare niente, siamo fatti così.

Per tornare al mio esempio originale, M@$t3Rp@$$w0rd1967 può sembrare una password sicura e molti controllori di password come questo vi diranno la stessa cosa. Ma non avrebbe nessuna possibilità contro gli hacker di oggi, in quanto si tratta di una password con una struttura molto semplice, ovvero due parole + una data.

Non solo sono due parole molto comuni ("master" e "password"), ma vanno spesso a braccetto. Inoltre, le sostituzioni fatte sono prevedibili e facili da individuare: A al posto di @, S al posto di $ e così via. E quando le persone aggiungono dei numeri alle password, tendono a farlo alla fine e a utilizzare un PIN o una data, solitamente quella di nascita.

Gli hacker conoscono tutti questi trucchi e sono i primi che mettono alla prova. Inoltre utilizzano dei computer a tale scopo, mentre noi abbiamo difficoltà a ricordare quale lettera abbiamo scritto maiuscola e dove abbiamo aggiunto la @.

Perché le passphrase aiutano a creare password migliori

Nonostante la lunghezza, le passphrase sono molto più facili da ricordare in quanto non contengono combinazioni strane di maiuscole e minuscole, aggiunte varie o scambi di simboli, bensì solo normali parole.

Vignetta divertente sulle password - XKCD


Ehi, ti ho sentito. Hai appena detto che non dovremmo utilizzare parole di senso compiuto.

Beh, sì e no.

Si raccomanda di non utilizzare parole di senso compiuto perché le parole sono schemi per definizione e gli schemi riducono la casualità che un hacker deve infrangere quando cerca di violare la tua password.

Come se non bastasse, le parole tendono a essere usate all'interno di frasi che seguono leggi logiche, cioè altri schemi. Detti popolari, modi di dire, frasi di canzoni, nomi e così via sono i tipi di schemi peggiori, in quanto sono i primi che vengono messi alla prova.

Se la tua passphrase è Nel mezzo del cammin di nostra vita mi ritrovai per una selva oscura è molto meglio se continui a utilizzare la tua vecchia password.

Le passphrase risultano efficaci in quanto si tratta di un buon compromesso: se da un lato usano schemi che le rendono facili da ricordare, dall'altro compensano con la difficoltà della lunghezza. Il segreto è che la scelta delle parole deve essere totalmente casuale. Da cui l'idea di utilizzare i dadi.

AVG AntiVirus FREE Download GRATUITO