Giocare la password ai dadi

Assume that your adversary is capable of a trillion guesses per second.
Edward Snowden a Laura Poitras, maggio 2013

Cinque dadiCome difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata?

Un modo efficace è rispolverare cinque cari vecchi dadi da gioco.

Ci sono molti giochi in scatola che contengono già cinque dadi, come ad esempio Yahtzee, ma si possono acquistare anche alcuni d6 nei negozi specializzati in giochi di ruolo o giochi da tavolo. Meglio ancora se i cubi sono in materiale trasparente, per evidenziare la regolarità e, quindi, l’equiprobabilità. Volendo proprio esagerare, si possono acquistare dadi garantiti Casino grade. Meglio evitare software di generazione numeri casuali, a meno che non si sia assolutamente certi della fonte dell’entropia.

Una volta procurati i cinque d6, di utilizzano le tabelle di Diceware per generare le password, è disponibile anche la tabella in italiano. Nulla vieta di mischiare le tabelle per avere un maggior numero di combinazioni.

Ad ogni tiro di 5 dadi si ricerca la combinazione nella tabella e si trascrive la parola ottenuta.

Ad esempio la fotografia di questo articolo riporta la sequenza 41624 che nella tabella italiana è “ng”, in quella inglese “mate”, in quella spagnola “in”, eccetera.

Questa operazione va ripetuta per un po’ di volte, almeno cinque.

Cinque parole scelte fra 7776 possibili della tabella inglese equivalgono a 77765, ovvero a 2,84 moltiplicato 1019.

Si possono alternare due tabelle come quella inglese e quella italiana e aggiungere altra entropia come una sequenza nota di separatori tra le parole.

La complessità di una password del genere è analoga a quella di una password più corta con un mix di cifre, lettere maiuscole e minuscole e caratteri non alfabetici e ha il vantaggio di essere più facile da ricordare.

L’unico problema è che una password del genere non è adatta in contesti in cui c’è la possibilità di essere osservati mentre si digitano le credenziali.

Questo potrebbe essere anche un buon metodo per generare password casuali da assegnare agli utenti nuovi o quando viene richiesto il reset di una password.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Giocare la password ai dadi”

  1. Non per dire, ma con quella potenza di calcolo (10 alla 12) al peggio servono 4.3 mesi per trovare la password.
    Tempi che comunque si riducono con l’aumento della potenza di calcolo.Se è vera la legge che ogni due anni le prestazioni raddoppiano anche queste super password non valgono molto.Se poi ci mettete bug, overflow ,backdoor e system admin che se vendono banane fanno un favore all’umanita capite che siamo messi male.
    Per quel che può valere credo che la cosa migliore sia avere tempi di attesa obbligati tra una password e l’altra.
    Massimo rispetto per tutti.

    1. Dipende dall’algoritmo con cui e’ salvata la password e dipende dal possesso del database delle password.
      Se il database delle password e’ sul computer che deve fare l’attacco allora puo’ darsi che sia cosi’, ma se devi fare un bruteforcing su un computer remoto l’attaccante passa tutto il suo tempo ad aspettare i tempi della rete.
      E no, non e’ detto che l’amministratore del sistema remoto se ne accorga.

  2. In ogni caso gli attacchi brute force sono solitamente sequenziali e ordinati a partire dalla lettera A.
    Meglio che la password inizi per Z…

Spazio per un commento