Le regole per scegliere delle password migliori

Sul blog di 1Password è stata pubblicata una delle migliori guide su come scegliere la Master Password nel loro programma — e più in generale nei servizi simili, LastPass compreso. Non ho intenzione di tradurlo tutto, ma ci sono molti spunti interessanti.

Schermata 2011 06 26 a 20 04 55

Prima di tutto: non c’è bisogno di ricercare la perfezione. Una password del tipo “pXVYjRW mWTCNH:=]LLEEJXLG+gha98121£NQ£OILRAEJKNKJ£oYHCtguM,Wp YE6msKvZtP8w” è praticamente inattaccabile, ma è tanto potente quanto inutile. A che serve una password che non riusciamo a ricordare? O che, peggio, dobbiamo ricopiare ogni volta da un post-it? A niente. Bisogna invece riuscire a trovare un buon compromesso, che per quanto facilmente ricordabile non perda in potenza.

A differenza delle password nei vari siti internet, la master password di 1Password dovrebbe essere scelta una sola volta e mai cambiata. Il programma è praticamente inattaccabile — a differenza della stragrande maggioranza dei siti internet, perciò è bene puntare subito ad una sola ma complicata scelta.

Dal post:

La potenza di un metodo per creazione di password non sta tanto nella quantità di lettere, simboli e numeri utilizzati; ma nel numero di vie in cui potresti arrivare ad un risultato diverso con lo stesso metodo.

Ovvero: “diegopetrucci01011991” nonostante i suoi 21 caratteri è una password poco efficace, da sconsigliare perché è facile arrivarci.

Uno dei metodi più sicuri per “inventare” una password è utilizzare Diceware, un sistema inventato da Arnold Reinhold. Esso associa una parola ad ogni combinazione possibile del lancio di 5 dadi ottenendo ben 7776 possibili risultati. Facciamo finta che il dizionario sia disponibile anche in italiano e che in tre sequenze di lanci siano uscite le parole: “pellegrino”, “anaconda” e “affogato”. Ricordarle non è poi così difficile e hanno il piacevole effetto collaterale di aumentare a dismisura la difficoltà di indovinarle.

Colleghiamo queste tre parole casuali ad un esempio pratico. Io posseggo un gatto e un cane, rispettivamente Oba Oba (tutta la mia stima a chi coglie il riferimento) e Yago. Una password semplice potrebbe essere:

Amo Yago e Oba

Come migliorarla? Inseriamo una delle tre parole all’inizio della frase e le altre due alla fine:

Pellegrino amo Yago e Oba anaconda affogato

Riduciamone la lunghezza complessiva:

Pellegrino aYeO anaconda affogato

E, infine, sostituiamo a “e” il carattere “&”:

Pellegrino aY&O anaconda affogato

Questa password è facile da ricordare ma al contempo è praticamente impossibile, sia per un umano che per una macchina, indovinarla. Anche se in qualche modo il cracker viene a sapere che i miei due animali vi sono incorporati, è impossibile che arrivi a scoprirla.

L’invito, dunque, è: non usate i soliti metodi per creare le password; invece, ingegnatevi e usate criteri più casuali. Se capite l’inglese vi consiglio di leggere l’articolo originale, anche se più o meno dovrei aver detto tutto.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.