In questi tempi di vita online più che mai ci ritroviamo a dover installare nuove applicazioni, partecipare a nuovi progetti in rete, creare nuovi abbonamenti a portali di musica o giochi o libri per i momenti di relax, iscrivere i figli a nuove piattaforme scolastiche. E ogni volta si ripropone il problema di creare un utente, con nome e, ahimè, password.
Che strategia avete per questo compito? Siete fra quelli che usano sempre la stessa password per tutti i siti, ché già è complicato ricordarne una figuriamoci decine?
Questa è una pessima idea, lo capiamo bene, per farlo in sicurezza dovremmo avere la garanzia che tutti i siti per cui usiamo la stessa password abbiano lo stesso livello di protezione. Ne basta uno, un anello debole nella catena, e la password che abbiamo usato per il giochino online può essere usata come grimaldello per aprire il nostro conto corrente.
Molti siti ora ci aiutano a valutare la password che scegliamo, di volta in volta avvisandoci quando non è forte abbastanza.
Ma come si calcola la “forza” di una password?
Senza voler entrare in calcoli tecnici, la forza di una password si misura in quanto “tempo” può essere indovinata da un programma automatico, dove tempo è in realtà non tanto tempo effettivo, ma una stima che tiene conto di quanti tentativi il programma automatico dovrebbe fare per indovinarla se procedesse per “forza bruta”, come si dice in gergo, elencando tutte le possibili combinazioni di caratteri, e per stime più sofisticate, considerando altri fattori, tipo la probabilità che parola appartenga al vocabolario di una lingua nota (parole reali sono più facili da indovinare di combinazioni casuali di caratteri), se la combinazione di caratteri ha un significato (una data è più facile da indovinare che una combinazione di lettere e numeri a caso) e magari conoscenza di informazioni sull’utente (tipo variazioni sul nome, cognome e data di nascita, un altro classico).
Come è fatta una password “forte”?
Vediamo qualche esempio. Una combinazione di sei lettere consecutive è il classico esempio di password debolissima, tipo “abcdef“, parola che si stima sia possibile indovinare praticamente istantaneamente. Eppure, è una delle combinazioni più usate, e anzi nella classifica delle password più usate in assoluto, “123456” si è classificata al primo posto ogni singolo anno dal 2013 ad oggi.
Possiamo nei sei caratteri usare sia lettere sia numeri: “abcde1” riuscirebbe a resistere 54 millisecondi ad un possibile tentativo di hacking.
Se nei sei caratteri aggiungiamo simboli speciali, tipo la punteggiatura, abbiamo un piccolo salto di qualità, ad esempio “abcd1!” resisterebbe 0.4 secondi prima di essere indovinata. Meglio, ma ancora troppo poco.
Se invece allunghiamo la parola, e arriviamo a dieci caratteri, anche una combinazione di lettere consecutive diventa più forte, ad esempio “abcdefghij” è una password che un programma indovinerebbe in circa un’ora.
Mentre dieci caratteri con combinazioni fatte di numeri e simboli speciali migliorano in modo sostanziale la situazione, tipo “T3ds%&x!56” verrebbe indovinata in 6 anni!
Quindi, il segreto è: più lunga la password, meglio è. Scoperta dell’acqua calda, direte voi, ma il problema è che le password lunghe e illeggibili non ce le ricordiamo, e se non ce le ricordiamo le scriviamo, e se le scriviamo… beh, diamo vita facilissima agli hackers.
Password sicure e facili da ricordare
E allora, ecco il trucco per inventare password forti che non non si dimenticano facilmente: scriviamo una frase. Bastano tre parole. Tre parole a caso, ma non necessariamente.
Tipo: la password “TreParoleCasuali” verrebbe indovinata da un programma automatico in… Tre. Miliardi. Di. Anni! Si, avete letto bene!
Quindi, sbizzarriamoci: tre parole che pensiamo di ricordare bene, per esempio una frase collegata al sito o applicazione per cui stiamo creando la password stessa.
Per un sito letterario? “LaDivinaCommedia“. Forza: 2 miliardi di anni.
Per Facebook? “OdioFacciaLibro“. Forza: 44 milioni di anni.
Per la piattaforma scolastica? “EvvivaLaScuola“. Forza: 837 mila anni.
Ancora insoddisfatti? Scriviamo in “Leet“, il linguaggio internettiano che sostituisce le lettere con numeri graficamente simili (bonus #oralosai), e usiamo uno zero al posto di qualche “o”, un quattro per le “a”, un tre per le “e” o le “B” maiuscole, l’uno per la “i” o la elle minuscola, eccetera (e infatti, dovrei scrivere “1337” non Leet), ed ecco che:
“LaDivinaCommedi4” diventa indovinabile in 38 miliardi di anni
“0dioFacciaLibr0” in 609 milioni di anni
“Evv1vaLaScuola” in 10 milioni di anni.
Carino vero?
E se volete giocare a fare una stima (parziale, ma indicativa) della forza della vostra password, provate qui: howsecureismypassword.net