Su questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.
La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela.
Il grande pubblico (insieme a qualche sedicente “esperto”) si è reso conto che il ragionamento non fosse proprio a prova di bomba nel modo forse più inaspettato:
(Credo che ogni geek conosca XKCD, per il lettore occasionale che non avesse sentito parlare del webcomic sul romanticismo, sul sarcasmo, sulla matematica e sul linguaggio, rimando alla relativa voce sulla Wikipedia prima di continuare la lettura).
Anche di questo fumetto si è discusso il lungo e in largo, probabilmente la lettura più veloce e completa è l’ottimo articolo su Explain XKCD.
In soldoni, il succo del discorso è che usare password basate su combinazioni di parole comuni rende sì più facile l’attacco in forza bruta basato su dizionari, ma contemporaneamente la lunghezza della combinazione rende il compito lungo e quindi assicura, in ultima analisi, una resistenza maggiore.
Una interessante analisi di questa premessa viene mostrata nel TED Talk intitolato What’s wrong with your pa$$w0rd?:
[ted id=2030]
La presentatrice annuncia a T+12:29
So what we found in this study was that, surprisingly, pass phrases were not actually all that good.People were not really better at remembering the pass phrases than these random passwords, and because the pass phrases are longer, they took longer to type and people made more errors while typing them in. So it’s not really a clear win for pass phrases. Sorry, all of you xkcd fans. On the other hand, we did find that pronounceable passwords worked surprisingly well, and so we actually are doing some more research to see if we can make that approach work even better.
sembra quindi che, secondo i loro studi, le passphrases non siano così semplici da ricordare e possano risultare difficili da digitare.
Tuttavia pare che il concetto alla base del fumetto non sia del tutto confutato: le persone potrebbero non ricordare, ma le passphrase sembrano (enfasi!) ragionevolmente sicure.
Di conseguenza, ho deciso nel mio piccolo di cominciare a usarle: internet abbonda di siti che ne generano, ma sembrava esserci una carenza di generatori con parole in italiano.
Per noi geek, anglofili, tecnofili, IT-ofili (e via dicendo) potrebbe non rappresentare un problema, per l’utente medio (giovane o vecchio che sia, ma questa è un’altra storia) invece sì.
Ho deciso quindi di utilizzare il mio tempo libero (non è un mito, esiste veramente: lo dice anche la Wikipedia) per sviluppare un progetto che servisse questo scopo. Non so quanto tempo avrò in futuro per continuare a svilupparlo, né se si rivelerà veramente utile, di conseguenza ho deciso fin a subito di donarlo alla comunità.
Il relativo sito passafrase.it è andato online lo scorso fine settimana, mentre il repository su GitHub esiste già da qualche tempo. Il progetto è lontano dall’essere completo, ma è già utilizzabile.
(Sì, siamo d’accordo, il nome è stupido e probabilmente sgrammaticato: è la prima cosa che mi è venuta in mente: il dominio era libero e nessun altro progetto sembra avere lo stesso nome. Inoltre meno canonico è, più notizia fa, Think different docet.)
Non sono sicuro che il progetto e i prodotti software che ne conseguono possano essere veramente utili, ma spero quantomeno di aver dato un contributo – anche piccolo – al dibattito sulla sicurezza e al miglioramento della consapevolezza non solo negli utenti, ma anche nei professionisti IT.
Se qualcuno volesse partecipare, vi rimando di nuovo al progetto su GitHub, mentre per chi intendesse scrivere qualcosa a proposito dell’iniziativa, suggerisco l’uso dello hashtag #PassaFrase sui vari siti di social networking.
Lascia un commento