La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla.
Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta.
Bisogna chiarire subito che i sistemi attuali di attacco non si fanno più fregare dalle permutazioni simil-1337, quindi p@55w0rd ha la stessa forza di password.
L’attacco basato sulla forza bruta deve fare i conti con una progressione geometrica del numero di tentativi. Consideriamo l’insieme delle lettere dell’alfabeto internazionale minuscole e maiuscole (52), le cifre dei numeri arabi (10), e, per puro esercizio, 15 tra segni di interpunzione e simboli matematici: abbiamo un set di 77 caratteri.
Con una password di 8 caratteri (il minimo richiesto dalla legge per i dati personali) le combinazioni son 77^8, ovvero 1.235.736.291.547.681, circa 1,23 * 10^15
Ma se si incrementa del 50% il numero di caratteri e si va a 12, con lo stesso set le combinazioni sono 77^12, ovvero 43.439.888.521.963.583.647.921, circa 4,34 * 10^22, sette ordini di grandezza più del precedente. Con 1.000 tentativi al secondo, un computer impiegherebbe 4,34 * 10^19 secondi per beccare la password, ma se voi la cambiate ogni 6 mesi (pari a 1,57 * 10^7 secondi)…
Quindi una password tipo 87:kH=1a è molto meno sicura di vivvallapapppa ed è molto meno facile da memorizzare, come illustrato anche dalla strip di oggi di xkcd:
Rispondi a Massimo Luciani Annulla risposta