Sul blog di 1Password è stata pubblicata una delle migliori guide su come scegliere la Master Password nel loro programma — e più in generale nei servizi simili, LastPass compreso. Non ho intenzione di tradurlo tutto, ma ci sono molti spunti interessanti.
Prima di tutto: non c’è bisogno di ricercare la perfezione. Una password del tipo “pXVYjRW mWTCNH:=]LLEEJXLG+gha98121£NQ£OILRAEJKNKJ£oYHCtguM,Wp YE6msKvZtP8w” è praticamente inattaccabile, ma è tanto potente quanto inutile. A che serve una password che non riusciamo a ricordare? O che, peggio, dobbiamo ricopiare ogni volta da un post-it? A niente. Bisogna invece riuscire a trovare un buon compromesso, che per quanto facilmente ricordabile non perda in potenza.
A differenza delle password nei vari siti internet, la master password di 1Password dovrebbe essere scelta una sola volta e mai cambiata. Il programma è praticamente inattaccabile — a differenza della stragrande maggioranza dei siti internet, perciò è bene puntare subito ad una sola ma complicata scelta.
Dal post:
La potenza di un metodo per creazione di password non sta tanto nella quantità di lettere, simboli e numeri utilizzati; ma nel numero di vie in cui potresti arrivare ad un risultato diverso con lo stesso metodo.
Ovvero: “diegopetrucci01011991” nonostante i suoi 21 caratteri è una password poco efficace, da sconsigliare perché è facile arrivarci.
Uno dei metodi più sicuri per “inventare” una password è utilizzare Diceware, un sistema inventato da Arnold Reinhold. Esso associa una parola ad ogni combinazione possibile del lancio di 5 dadi ottenendo ben 7776 possibili risultati. Facciamo finta che il dizionario sia disponibile anche in italiano e che in tre sequenze di lanci siano uscite le parole: “pellegrino”, “anaconda” e “affogato”. Ricordarle non è poi così difficile e hanno il piacevole effetto collaterale di aumentare a dismisura la difficoltà di indovinarle.
Colleghiamo queste tre parole casuali ad un esempio pratico. Io posseggo un gatto e un cane, rispettivamente Oba Oba (tutta la mia stima a chi coglie il riferimento) e Yago. Una password semplice potrebbe essere:
Amo Yago e Oba
Come migliorarla? Inseriamo una delle tre parole all’inizio della frase e le altre due alla fine:
Pellegrino amo Yago e Oba anaconda affogato
Riduciamone la lunghezza complessiva:
Pellegrino aYeO anaconda affogato
E, infine, sostituiamo a “e” il carattere “&”:
Pellegrino aY&O anaconda affogato
Questa password è facile da ricordare ma al contempo è praticamente impossibile, sia per un umano che per una macchina, indovinarla. Anche se in qualche modo il cracker viene a sapere che i miei due animali vi sono incorporati, è impossibile che arrivi a scoprirla.
L’invito, dunque, è: non usate i soliti metodi per creare le password; invece, ingegnatevi e usate criteri più casuali. Se capite l’inglese vi consiglio di leggere l’articolo originale, anche se più o meno dovrei aver detto tutto.