Home
Accesso / Registrazione
 di 

Sicurezza password: sono davvero utili le password complesse?

Sicurezza password e numero di caratteri

La sicurezza delle password è un tema piuttosto intricato e ha prodotto un ginepraio di affermazioni che servono solo a confondere gli utenti. Le compagnie che gestiscono la sicurezza dei sistemi e gli ‘IT people’ (quelli che ci capiscono), ci riferiscono costantemente di creare password complesse perché più sicure. Questo è però un consiglio sbagliato, perché è in effetti possibile creare delle parole chiave fruibili, facili da ricordare e caratterizzate da elevata sicurezza. Diamo un’occhiata a questo sconosciuto mondo delle password e rendiamoci conto di cosa le rende sicure in termini pratici.

Sicurezza password: come hackerarle

Partiamo subito con un dato di fatto: le password si possono forzare ed esistono 5 modi:

- Chiederla: sembrerà assurdo, ma chiedere una password è molto più semplice di quanto sembri, soprattutto in contesti lavorativi, con la scusa di dover eseguire operazioni urgenti ad esempio (ma c’è di peggio: ricordo che quando ho lavorato come supporto IT per un’azienda, gli utenti potevano ottenere una nuova password semplicemente comunicandomi il nome utente, non c’erano altre verifiche. Il nome utente poi era semplicissimo da ottenere: bastava accendere il PC e di default appariva la schermata con la richiesta della password e lo user name già inserito. L’unico ostacolo era il sesso abbinato al nome).

- Indovinarla: troppe persone usano il cognome, la data di nascita o entrambi come password, per cui tirare ad indovinare a volte paga.

- Forzarla: adesso si passa al livello successivo, quello degli hacker. L’attacco forzato ha la sua efficacia a seconda della sicurezza della password: una corta e semplice ovviamente viene scoperta prima (un hacker partirà dalla combinazione di lettere ‘aaa’, quindi è solo questione di tempo per arrivare a ‘paolo’ ad esempio) rispetto a quelle lunghe e complesse (Pao%/lo)ed è per questo che viene suggerita questa opzione. Erroneamente, poi vedremo perché.

- Tentarla: gli hacker operano anche a tentativi, cioè provano parole complete anziché combinazioni di lettere, quindi un’operazione leggermente più complessa.

- Trovarla nel dizionario: come per il precedente, questo concetto prevede vari tentativi, ma questa volta non casuali, visto che l’hacker utilizza tutti i vocaboli del dizionario.

Quando si considera sicura una password?

Non c’è protezione nei confronti delle prime due metodologie, mentre è possibile difendersi dagli altri attacchi. Un hacker di solito crea un programma che faccia i tentativi per lui, non se ne sta seduto davanti al PC a digitare centinaia di migliaia di parole alla ricerca disperata di una password. La misura della sicurezza deve allora riguardare il numero di tentativi che il sistema automatico può produrre ogni secondo (di solito si viaggia a non più di 100 sign-in per secondo). Una password composta di tre lettere in minuscolo, ad esempio, verrà scoperta in 3 minuti con la forzatura (le combinazioni possibili sono 26 alla terza, 17.576/100 = 176 secondi) o con i tentativi di parole e in 1 ora e 20 minuti con il metodo del dizionario. Una password, per essere considerata sicura, dovrebbe resistere almeno un mese agli attacchi, quindi questo significa che deve essere composta di un numero elevato di caratteri (infatti spesso se ne necessitano minimo 6); quindi, dove sta il problema? Una password lunga e complessa è difficile da ricordare e fastidiosa da scrivere: prendiamo ad esempio ‘j4fs<2’

come mostrato in figura necessita di 219 anni per essere hackerata: è sicurissima quindi, ma è semplice da dimenticare e difficile da digitare; bisognerebbe scriverla. Per questo motivo spesso poi si utilizzano sempre le stesse password di sicurezza, cosa che rende vano qualsiasi tentativo di difesa. Se invece si utilizzano parole che si ricordano, ma vengono divise da uno spazio (se disponibile) o da un trattino o se si usa la @ al posto della ‘a’, la sicurezza della password diventa piuttosto elevata ed inoltre è semplice da ricordare. Facciamo un esempio? ‘che-bella-giornata’ può essere hackerata in poco più di due mesi, ma non la si scorda di certo, al contrario di J4fs<2. Tra due mesi e 219 anni c’è una bella differenza, ma non è forse meglio cambiare la password di tanto in tanto ed avere assicurata comunque la sicurezza, piuttosto che tenersi a vita una sequenza che si dimentica se non la si usa per una settimana? Ho trovato questo articolo molto interessante e per questo ho deciso di condividerlo: voi cosa ne pensate? L’autore dell’articolo ha ricevuto molte critiche, anche da esponenti importanti della sicurezza come Steve Gibson, ma io ritengo che il suo ragionamento abbia una praticità di fondo da non trascurare, non credete?

 

 

Scrivi un commento all'articolo esprimendo la tua opinione sul tema, chiedendo eventuali spiegazioni e/o approfondimenti e contribuendo allo sviluppo dell'argomento proposto. Verranno accettati solo commenti a tema con l'argomento dell'articolo stesso. Commenti NON a tema dovranno essere necessariamente inseriti nel Forum creando un "nuovo argomento di discussione". Per commentare devi accedere al Blog
ritratto di lucagiuliodori

Bè si effettivamente è un

Bè si effettivamente è un consiglio utile anche perchè ricordarsi una password come "j4fs<2", seppur corta, è comunque difficile soprattutto per chi la usa poco.
Facendo una ricerca su internet ho trovato un programmino, simile a quello che è stato usato nell'articolo e che a fronte della seguente password "0123456789abCD" facile da ricordare, mi restituisce il 100% della sicurezza. Vorrei confrontarlo con il software che è stato usato nell'articolo (mi puoi passare il link?!) ma questi risultati sono la conferma di quanto detto: non serve utilizzare una password "strana" per essere sicuri.

Purtroppo l'utilizzo della stessa password per tutte le registrazioni credo sia una "malattia" un po' di tutti, ma anche qua credo che si possa risolvere formulando una password partendo da una stringa base, come quella precedente "0123456789abCD", per poi aggiungere altri caratteri che magari ricordano l'utilizzo di quella password.

ritratto di ddepaoli3

Il problema del ricordarsi la

Il problema del ricordarsi la password può essere un vero problema in effetti. Un metodo però che concilia password complessa/sicura con una facile memorizzazione potrebbe essere un metodo che partendo da due parole basi e dal nome del sito e giocando con queste parole si arrivi ad una password sicura. Per esempio partendo da casa e auto potremo scrivere: aCuAtSoA. Alternando quindi le lettere di ogni parola, una maiuscola ed una minuscolo. A questa si aggiunge un numero che puo essere il numero di lettere del nome del sito: per esempio "emcelettronica" ha 14 caratteri. Oppure si prende come numero il numero di posizione della prima lettera. Nel caso precedente "e" è al 5 posto.
Per aggiungere caratteri speciali basterà utilizzare un numero (magari l'anno di nascita) ed utilizzare i caratteri speciali corrispondenti a quel numero. per esempio per 87 i caratteri saranno " (/ ". ovviamento questo accorgimento vale se la tastiera è italiana, altrimenti i caratteri non corrisponderanno più.
In definitiva: aCuAtSoA14(/ sarà la nuova password.
Quello dato da me è semplicemente una alternativa. Uno può utilizzare un "gioco" che preferisce. Molto utile a mio parere quello di utilizzare il nome del sito per fare in modo che la password cambi ad ogni iscrizione. Su facebook al posto del 14 ci sarà 8 per esempio.
Qualcuno potrebbe dirmi che tanto vale impararsi una nuova password. Personalmente trovo piu semplice trovare un metodo cosi, magari simpatico, e ricordarsi quello piuttosto che ricordarsi "j4fs<2".
Metodi simili al mio magari ci faranno perdere del tempo per scrivere la password ma partendo da due parole facilmente memorizzabile, dal proprio anno di nascita e contando le lettere del sito si arriva ad una password molto più sicura di "che bella giornata" ma molto piu memorizzabile di j4fs<2

ritratto di Edi82

Ciao luca, purtroppo il nome

Ciao luca,

purtroppo il nome del software non è citato, ho anche scrittonei commenti per chiderelo ma non ho ancora ricevuto risposta. Appena ce l'ho ti faccio sapere,a nche se credo che i risultati di questi programmi siano più o meno gli stessi.

ciao

 

 

Login   
 Twitter Facebook LinkedIn Youtube Google RSS

Chi è online

Ci sono attualmente 1 utente e 47 visitatori collegati.

Utenti online

Ultimi Commenti