La password ideale non chiede più caratteri speciali

AutenticazioneSicurezza
Trafugato più di un miliardo di password

Alcuni ricercatori sono intervenuti riscrivendo il documento di Bill Burr sulla costruzione delle password sostenendo che sono più sicure password con più parole rispetto alla singola parola con più caratteri speciali

Quante volte ci hanno detto che avremmo dovuto cambiare la nostra password di frequente e, soprattutto, modificarla usando caratteri alfanumerici o altri più strani. Oggi, queste soluzioni sembrerebbero superate, secondo una logica più lineare, ma secondo alcuni esperti, più difficile da intercettare da parte degli hacker.

Il perno di questa vicenda ruota attorno alla figura di Bill Burr, l’ingegnere che anni fa introdusse proprio  i concetti di caratteri speciali nelle password e che oggi ritorna sui suoi passi affermando che le persone fanno sì cambiamenti di password ma attuano minime modifiche rendendole facilmente attaccabili dagli hacker. Secondo la rivista Internazionale, che cita The Wall Street Journal, nel 2003 Burr, che allora lavorava presso il National institute of standards and technology (Nist), scrisse un documento in base al quale si invitavano le persone a proteggere i propri account informatici con password dotate di caratteri numeri, alfanumerici e strani. Quel che però non si era considerato è che le password così strutturate funzionavano poco.

Proprio lo stesso Burr confermò che i cambiamenti che venivano attivati erano minimi e quindi insufficienti a rendere una password davvero sicura. Secondariamente, Burr ha dichiarato di essere caduto in errore considerando le password dotate di almeno una lettera minuscola, una maiuscola, un numero e un carattere speciale. Si doveva fare qualcosa. Secondo Internazionale, a giugno scorso il documento è stato oggetto di una profonda revisione e, nel nuovo documento, “non si consiglia più di cambiare spesso le password o di usare caratteri speciali: più che aumentare la sicurezza, questi suggerimenti complicavano solo le cose agli utenti. Oggi le frasi lunghe e facili da ricordare sono considerate più sicure dei caratteri speciali”.

Secondo altri esperti della materia è più difficile indovinare una serie di quattro parole rispetto a una con caratteri speciali. Mentre per violare una password di quattro parole scritta senza separazioni ci vorrebbero 550 anni per violarla, una password contenente caratteri speciali potrebbe essere hackerata in soli tre giorni.

Nessun progresso sulle password: troppo banali

Un monito, quindi, di attualità, che deve far pensare alla luce di casi sempre più eclatanti di ‘attentati alla sicurezza informatica’. Negli ultimi anni, infatti, sono esplose le violazioni dei sistemi informatici. Basti pensare a LinkedIn e al furto di password aziendali che ha subito per capire l’ampiezza di un fenomeno che non sembrerebbe destinato a rallentarsi. Qualche tempo fa, proprio dalle pagine di Itespresso.it, Keeper Security denunciò un nuovo fenomeno di scarsa sicurezza da parte degli utenti. Le peggiori password del 2016 sono anche le più comuni, banali e prevedibili. Gli utenti sembrano ancora sprovveduti quando impostano password facili da indovinare.

Anche l’anno scorso 123456 è stata la più gettonata, fra le oltre 10 milioni di password rubate nei vari data breach (di LinkedIn, MySpace, Tumblr e Twitter, AdultFriendFinder e Yahoo), associate alle più svariate piattaforme online. Il podio è così composto: al primo posto la prevedibile 123456, seguita dalla sequenza banale, solo più ampia, 123456789 e da qwerty, le prime lettere della tastiera. La classifica viene stilata, pescando dal database di oltre 10 milioni di parole chiavi disponibili sul web, frutto di trafugamento di dati nel corso dell’anno, come la doppia eclatante violazione ai danni di Yahoo!. I ricercatori hanno così scoperto che il 17% dei cyber naviganti non demorde: l’inossidabile “123456” è ancora la numero uno per accedere a servizi online. La metà dei 10 milioni di password basate su parole appartiene ai primi 25 vocaboli più utilizzati. Da anni gli esperti consigliano misure precauzionali: basterebbe sceglierne di originali, intervallate ds lettere maiuscole e caratteri speciali, per evitare tante violazioni di dati. A stupire è 18atcskd2w, apparentemente complessa, si piazza al quindicesimo posto delle password più frequenti.

Nel 2003, Burr non aveva tutti i dati necessari per capire il fenomeno, ma oggi è stato necessario un ripristino e una rivoluzione del tema, attraverso la revisione del documento. Non resta che attendere, magari un altro decennio, per scoprire che queste regole dovranno essere riviste.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore