La giusta scelta della password

La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla.

Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta.

Bisogna chiarire subito che i sistemi attuali di attacco non si fanno più fregare dalle permutazioni simil-1337, quindi p@55w0rd ha la stessa forza di password.

L’attacco basato sulla forza bruta deve fare i conti con una progressione geometrica del numero di tentativi. Consideriamo l’insieme delle lettere dell’alfabeto internazionale minuscole e maiuscole (52), le cifre dei numeri arabi (10), e, per puro esercizio, 15 tra segni di interpunzione e simboli matematici: abbiamo un set di 77 caratteri.

Con una password di 8 caratteri (il minimo richiesto dalla legge per i dati personali) le combinazioni son 77^8, ovvero 1.235.736.291.547.681, circa 1,23 * 10^15

Ma se si incrementa del 50% il numero di caratteri e si va a 12, con lo stesso set le combinazioni sono 77^12, ovvero 43.439.888.521.963.583.647.921, circa 4,34 * 10^22, sette ordini di grandezza più del precedente. Con 1.000 tentativi al secondo, un computer impiegherebbe 4,34 * 10^19 secondi per beccare la password, ma se voi la cambiate ogni 6 mesi (pari a 1,57 * 10^7 secondi)…

Quindi una password tipo 87:kH=1a è molto meno sicura di vivvallapapppa ed è molto meno facile da memorizzare, come illustrato anche dalla strip di oggi di xkcd:

 

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

9 pensieri riguardo “La giusta scelta della password”

  1. Di sicuro una password breve e complicata è controproducente:
    – facile da indovinare (non sicura)
    – difficile da ricordare con frustrazione per l’utente, quindi, disservizio

    Ma l’utilizzo di dizionari non rende comunque anche una password composta di 4 parole di uso comune più indovinabile?

    parole di uso non comune o legate con caratteri (come “vivaallappappa” invece di “vivalapappa”) magari sono preferibili.

    Chiedo delucidazioni, grazie 🙂

    PS: nel caso io proporrei l’utilizzo dei dialetti nella creazione delle password. Qualcosa del tipo “tsipropriunpatacca” o “tschiattacapemazzat” sono ricordabilissime e direi ben sicure 😉

    1. Per quanto riguarda l’esempio di xkcd, credo anche io che l’utilizzo di parole in dizionario indebolisca una password, per quanto lunga. Anche se non so quanti attacchi con dizionario utilizzino 4 parole per password, in quanto il solo tentativo di attacco con dizionario richiederebbe un numero di tentativi pari al numero di parole nel dizionario elevato alla quarta potenza (senza tener conto delle permutaioni simil-l337). In questo caso la debolezza e’ data piu’ dalla facilita’ di indovinare la password se qualcuno conosce alcuni caratteri (per esempio spia l’utente che la digita).

      Concordo sull’uso di errori di ortografia deliberati come doppie mancanti o doppie aggiunte o di lingue non comuni (dialetti o similari) o di grafie italiane di lingue straniere comuni (sciop al posto di shop, danche al posto di danke, eccetera).

      Un’altra alternativa e’ usare parole in dizionario ma traslando le lettere usando, magari, il tasto a fianco sulla tastiera.

  2. Conosco dei silurati che usano dei pattern sulla tastiera, tipo “mossa del cavallo a partire dalla lettera che e` in terza posizione nel nome dell’host”, ma io preferisco di gran lunga gli animali immaginari, come la rospertola, o l’ ippogufo. In effetti pero` e` vero che dovrei combinare password piu` lunghe… ma comunque non riuscirei mai a ricordarle, per questo uso un password manager, altrimenti non ne esco comunque.

    1. IO uso i pattern sulla tastiera. Il modo migliore per ricordare non solo le password ma anche il codice bancomat e altro…

      Per i numeri e codici lunghi come carta di credito o codice fiscale invece uso la metrica e ricordo ad orecchio, essendo un musicista. Ma qui si sconfina nei metodi psicologici di memorizzazione delle informazioni 😉

      Sarò mica un silurato? B-0

  3. Io uso nomi di personaggi di romanzi / telefilm / film, anche con abbreviazioni tipo jimkirk (OK, questa è corta ma è giusto un esempio). In realtà se i nomi sono corti ne metto due insieme tipo spocksarek.

    1. Quando la Nord aveva pubblicato per la prima volta il ciclo del Paratwa di Christopher Hinz, quei romanzi sono stati per qualche anno una fonte copiosa di ispirazione per le password.
      Ora non ho piu’ in giro alcuna password ispirata a quel ciclo, quindi e’ inutile fare delle prove :->

Spazio per un commento