Una tabula recta per registrare le password

Le password sono un grattacapo, come alcuni fatti recenti hanno dimostrato.

L’idea mia e di un collega è che ci dovrebbe essere una norma ISO secondo la quale tutte le password dovrebbero essere pippo. Ci sarebbero meno grattacapi, ma anche più problemi di sicurezza.

Le password devono essere sufficientemente lunghe, non devono essere le stesse per siti diversi, non ce le possiamo scrivere, non devono riferirsi ad eventi della nostra vita, non devono essere facilmente indovinabili se si conosce una parte di esse, devono contenere caratteri assortiti, non devono essere presenti in un dizionario… Tutte regole che conosciamo e non applichiamo perché i computer sono loro, non siamo noi!

John Graham-Cumming ha auto un’idea interessante: utilizzare una variante della tabula recta per registrare le password.

Si parte costruendo una tabula recta come quella riportata sopra. La tabella deve avere in ascissa e ordinata tutte le lettere dell’alfabeto e, opzionalmente, anche le dieci cifre. In ogni cella si mette un carattere casuale. Si può utilizzare uno dei tanti generatori di password disponibili in rete per avere una sequenza di caratteri abbastanza casuale. Attenzione ai caratteri con aspetto simile, come la lettera o e la cifra zero, la i maiuscola e la cifra uno, eccetera.

Una volta generata la tabella, si possono stampare alcune copie e magari salvarne un paio anche online.

Si procede quindi ad inventare un algoritmo per legare un sito ad una password. Un esempio semplice potrebbe essere: utilizzo le prime due lettere del nome del sito, trovo l’incrocio, procedo verso il basso per 12 caratteri e se arrivo in fondo ricomincio dall’alto nella medesima colonna.

Immaginiamo di voler creare la password di Google.

Il punto di partenza è l’incrocio tra la riga G e la colonna O, dove si trova il carattere a. Inizio da quella cella e scendo 11 volte: aqrAkdQzfCaa

Questa è la password ottenuta utilizzando una tabula recta e un algoritmo di codifica.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

5 pensieri riguardo “Una tabula recta per registrare le password”

  1. Carino, un po` scomodo perche` le password generate sono oggettivamente molto sicure ma difficili da copiare dalla tavola al PC.

    Inoltre potenzialmente se sono registrato su “mediashopping” e “mediaglobe” avrei la stessa password per i due siti. (il che non e` necessariamente una tragedia)

    Io personalmente uso un password manager (Password safe) sul cello, che tiene tutto quanto crittato con una ulteriore password che ovviamente mi ricordo a memoria. Trovo che sia sufficientemente sicuro, tutto sommato.

    E` interessante capire quanto sia sicuro il metodo della tabula recta nell’ipotesi in cui la tabula stessa cada in mano ai “cattivi”. Cioe`, possendendo la tabula e non l’algoritmo che uso per leggerla, quanto tempo ci vuole a capire quale sia l’algoritmo stesso? Secondo me poco, perche` non usero` algoritmi complicatissimi… o no?

    1. Attenzione che sono DUE gli algoritmi da individuare: quello di selezione delle lettere e quello del “cammino”.

      Inoltre la tabula recta e’ per evitare attacchi derivanti da furti di password generalizzate, non per proteggersi da attacchi mirati contro una singola persona.

      1. Il mio dubbio sugli algoritmi e` dettato dal fatto che moltissime persone sceglieranno un algoritmo molto semplice, il che riduce mostruosamente il numero di possibilita`.

        Per il resto, credo che dovremmo evitare di avere tutte le password uguali, e di avere keylogger nel pc. Fatto questo, una rubrica tenuta in cucina con le password scritte dentro andra` benissimo.

  2. Scusa Luigi, ma qui mi sa tanto di sega mentale.

    E’ vero, con la sicurezza non si schewrza, sono il primo a dirlo, ma se lo scopo dell’informatica è quello di semplificare e non complicare la vita, francamente, questo la complica… e di brutto.

    Sarò ottimista, ma seguendo una regola di Franco Vandelli, quando ero giovane e mi collegavo alle BBS con il commodore 64 e il modem a 300baud, ho imparato a scegliermi delle password.

    Gli unici siti “a rischio” sono quelli in cui i coglioni che li gestiscono mi forzano a cambiare la password ogni 30-60-90 giorni… risultato password meno (ma MOOOOLTO) meno sicura. Per questi me la faccio assegnare la loro ad ogni connessione, e me la faccio mandare via sms… tanto i soldi li spendono loro, mica io.

    Credo che se la gente iniziasse ad usare il cervello anche nella scelta e gestione della password…

Spazio per un commento