Sicurezza password: sono davvero utili le password complesse?

Sicurezza password e numero di caratteri

La sicurezza delle password è un tema piuttosto intricato e ha prodotto un ginepraio di affermazioni che servono solo a confondere gli utenti. Le compagnie che gestiscono la sicurezza dei sistemi e gli ‘IT people’ (quelli che ci capiscono), ci riferiscono costantemente di creare password complesse perché più sicure. Questo è però un consiglio sbagliato, perché è in effetti possibile creare delle parole chiave fruibili, facili da ricordare e caratterizzate da elevata sicurezza. Diamo un’occhiata a questo sconosciuto mondo delle password e rendiamoci conto di cosa le rende sicure in termini pratici.

Sicurezza password: come hackerarle

Partiamo subito con un dato di fatto: le password si possono forzare ed esistono 5 modi:

- Chiederla: sembrerà assurdo, ma chiedere una password è molto più semplice di quanto sembri, soprattutto in contesti lavorativi, con la scusa di dover eseguire operazioni urgenti ad esempio (ma c’è di peggio: ricordo che quando ho lavorato come supporto IT per un’azienda, gli utenti potevano ottenere una nuova password semplicemente comunicandomi il nome utente, non c’erano altre verifiche. Il nome utente poi era semplicissimo da ottenere: bastava accendere il PC e di default appariva la schermata con la richiesta della password e lo user name già inserito. L’unico ostacolo era il sesso abbinato al nome).

- Indovinarla: troppe persone usano il cognome, la data di nascita o entrambi come password, per cui tirare ad indovinare a volte paga.

- Forzarla: adesso si passa al livello successivo, quello degli hacker. L’attacco forzato ha la sua efficacia a seconda della sicurezza della password: una corta e semplice ovviamente viene scoperta prima (un hacker partirà dalla combinazione di lettere ‘aaa’, quindi è solo questione di tempo per arrivare a ‘paolo’ ad esempio) rispetto a quelle lunghe e complesse (Pao%/lo)ed è per questo che viene suggerita questa opzione. Erroneamente, poi vedremo perché.

- Tentarla: gli hacker operano anche a tentativi, cioè provano parole complete anziché combinazioni di lettere, quindi un’operazione leggermente più complessa.

- Trovarla nel dizionario: come per il precedente, questo concetto prevede vari tentativi, ma questa volta non casuali, visto che l’hacker utilizza tutti i vocaboli del dizionario.

Quando si considera sicura una password?

Non c’è protezione nei confronti delle prime due metodologie, mentre è possibile difendersi dagli altri attacchi. Un hacker di solito crea un programma che faccia i tentativi per lui, non se ne sta seduto davanti al PC a digitare centinaia di migliaia di parole alla ricerca disperata di una password. La misura della sicurezza deve allora riguardare il numero di tentativi che il sistema automatico può produrre ogni secondo (di solito si viaggia a non più di 100 sign-in per secondo). Una password composta di tre lettere in minuscolo, ad esempio, verrà scoperta in 3 minuti con la forzatura (le combinazioni possibili sono 26 alla terza, 17.576/100 = 176 secondi) o con i tentativi di parole e in 1 ora e 20 minuti con il metodo del dizionario. Una password, per essere considerata sicura, dovrebbe resistere almeno un mese agli attacchi, quindi questo significa che deve essere composta di un numero elevato di caratteri (infatti spesso se ne necessitano minimo 6); quindi, dove sta il problema? Una password lunga e complessa è difficile da ricordare e fastidiosa da scrivere: prendiamo ad esempio ‘j4fs<2’

come mostrato in figura necessita di 219 anni per essere hackerata: è sicurissima quindi, ma è semplice da dimenticare e difficile da digitare; bisognerebbe scriverla. Per questo motivo spesso poi si utilizzano sempre le stesse password di sicurezza, cosa che rende vano qualsiasi tentativo di difesa. Se invece si utilizzano parole che si ricordano, ma vengono divise da uno spazio (se disponibile) o da un trattino o se si usa la @ al posto della ‘a’, la sicurezza della password diventa piuttosto elevata ed inoltre è semplice da ricordare. Facciamo un esempio? ‘che-bella-giornata’ può essere hackerata in poco più di due mesi, ma non la si scorda di certo, al contrario di J4fs<2. Tra due mesi e 219 anni c’è una bella differenza, ma non è forse meglio cambiare la password di tanto in tanto ed avere assicurata comunque la sicurezza, piuttosto che tenersi a vita una sequenza che si dimentica se non la si usa per una settimana? Ho trovato questo articolo molto interessante e per questo ho deciso di condividerlo: voi cosa ne pensate? L’autore dell’articolo ha ricevuto molte critiche, anche da esponenti importanti della sicurezza come Steve Gibson, ma io ritengo che il suo ragionamento abbia una praticità di fondo da non trascurare, non credete?

2 Comments

  1. lucagiuliodori 11 luglio 2011
  2. Edi82 Edi82 18 luglio 2011

Leave a Reply