Assume that your adversary is capable of a trillion guesses per second.
Edward Snowden a Laura Poitras, maggio 2013
Come difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata?
Un modo efficace è rispolverare cinque cari vecchi dadi da gioco.
Ci sono molti giochi in scatola che contengono già cinque dadi, come ad esempio Yahtzee, ma si possono acquistare anche alcuni d6 nei negozi specializzati in giochi di ruolo o giochi da tavolo. Meglio ancora se i cubi sono in materiale trasparente, per evidenziare la regolarità e, quindi, l’equiprobabilità. Volendo proprio esagerare, si possono acquistare dadi garantiti Casino grade. Meglio evitare software di generazione numeri casuali, a meno che non si sia assolutamente certi della fonte dell’entropia.
Una volta procurati i cinque d6, di utilizzano le tabelle di Diceware per generare le password, è disponibile anche la tabella in italiano. Nulla vieta di mischiare le tabelle per avere un maggior numero di combinazioni.
Ad ogni tiro di 5 dadi si ricerca la combinazione nella tabella e si trascrive la parola ottenuta.
Ad esempio la fotografia di questo articolo riporta la sequenza 41624 che nella tabella italiana è “ng”, in quella inglese “mate”, in quella spagnola “in”, eccetera.
Questa operazione va ripetuta per un po’ di volte, almeno cinque.
Cinque parole scelte fra 7776 possibili della tabella inglese equivalgono a 77765, ovvero a 2,84 moltiplicato 1019.
Si possono alternare due tabelle come quella inglese e quella italiana e aggiungere altra entropia come una sequenza nota di separatori tra le parole.
La complessità di una password del genere è analoga a quella di una password più corta con un mix di cifre, lettere maiuscole e minuscole e caratteri non alfabetici e ha il vantaggio di essere più facile da ricordare.
L’unico problema è che una password del genere non è adatta in contesti in cui c’è la possibilità di essere osservati mentre si digitano le credenziali.
Questo potrebbe essere anche un buon metodo per generare password casuali da assegnare agli utenti nuovi o quando viene richiesto il reset di una password.
Lascia un commento