Quante volte ti sei scordato una password che avevi impostato?
Te lo dico io: TANTE.
E se la risposta non è questa, probabilmente è perché utilizzi password banali o sempre uguali: due pratiche che rendono molto insicuro l’accesso ai tuoi account su internet.
Dopo anni di esperienza nel cracking delle password, ho maturato un’idea semplice ma efficace per scegliere delle password semplici da ricordare per un essere umano ma complicatissime da indovinare per un cracker; il tutto senza utilizzare caratteri strani, troppe condizioni quali lettere maiuscole e minuscole, almeno un segno di punteggiatura, almeno un numero, e così via.
Come?
Una frase di qualche parola, a vostra scelta, che puoi indovinare solo tu.
Esempi:
misonosposatoil12agosto
miofiglioènatoadicembre
abitoal3°pianoscalaA
lapizzaèilmiopiattopreferito
Troppo semplice? No, veramente, FUNZIONA!
Ps. ricordati di non mettere la stessa password in tutti i siti, altrimenti, se per caso te la scoprono una volta, sei nei guai 🙁
PPs. ovviamente la frase non deve essere troppo corta, altrimenti la password non risulterà veramente sicura.
Ti consiglio questo interessante articolo che fa una stima del tempo necessario a “craccare” la password a seconda della potenza di calcolo disponibile in un certo anno, tanto per darti un’idea più precisa di ciò di cui stiamo parlando.
Il 14 agosto 2017 il Corriere ed altre testate hanno riportato la notizia che le linee guida pubblicate nel 2003 del famoso NIST, Istituto Nazionale di Standard e Tecnologia del governo statunitense, sono sbagliate! A dichiararlo è lo stesso autore Bill Burr… e guarda caso le nuove linee guida consigliano ESATTAMENTE quello che ho scritto in questo articolo nel 2011, inoltre evidenziano come l’abitudine o la forzatura a cambiare la password frequentemente sia una pratica ormai sconsigliata in quanto gli utenti la modificano leggermente non rendendola, di fatto, più sicura di prima.
Nuovo documento del NIST titolato “Digital Identity Guidelines” in cui si legge:
- Allow at least 64 characters in length to support the use of passphrases. Encourage users to make memorized secrets as lengthy as they want, using any characters they like (including spaces), thus aiding memorization.
- Do not impose other composition rules (e.g. mixtures of different character types) on memorized secrets.
- Do not require that memorized secrets be changed arbitrarily (e.g., periodically) unless there is a user request or evidence of authenticator compromise.
Quelli di XKCD ce l’avevano spiegato anche con questa vignetta per hacker in erba:
Che facciamo noi in Italia? Le cose all’italiana ma è ovvio! Nel nostro fantastico “Codice in materia di protezione dei dati personali” pubblicato inizialmente nel 2003 come D.lgs 196 e aggiornato a settembre 2015, il Garante della Privacy legifera, nell’Allegato B. “Disciplinare tecnico in materia di misure minime di sicurezza” al punto 5 esattamente questo: “La parola chiave, … omissis … è modificata da quest’ultimo (NDR ovvero l’incaricato) al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.”.
E quindi le aziende e la PA si adeguano, purtroppo, a questa legge retrograda. La legge però si applica agli “incaricati” ovvero dal Codice, art. 4 lettera h:
“incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
Quindi in pratica solo dipendenti e consulenti… ma siti noti e zelanti come l’Agenzia delle Entrate o altri siti istituzionali hanno ben pensato di estendere queste best practice anche ai cittadini e di aggiungerci anche un PIN, che, per fortuna, almeno quello non scade!
Complicarsi la vita inutilmente sembra proprio una consuetudine italiana.
Segnalo infine un articolo interessante che analizza le password più comuni che vengono comunemente indovinate dai malintenzionati.