Inventare password sicure

Alle riunioni di OpenInformatix, durante i miei seminari, ho illustrato spesso dei sistemi comodi per inventare password difficili da individuare e nello stesso tempo facili da ricordare.

Succede spesso, infatti, che più è difficile una password che inventiamo, più alta sarà la probabilità di dimenticarcela.

Le regole base, oramai conosciute ai più, ci invitano a creare password di almeno 8 caratteri di lunghezza, senza usare parole di senso compiuto, mescolando lettere a numeri e simboli e possibilmente i caratteri non tutti minuscoli, ma alcuni minuscoli ed alcuni maiuscoli.

Seguendo queste semplici quattro regolette possiamo considerarci abbastanza al sicuro dai generatori automatici, dei programmini che cercano automaticamente di indovinare la password. Essi, infatti, spesso si appoggiano ad un dizionario ed iniziano i tentativi dalle parole della lingua italiana.
Inutile dire che password del tipo proprio nome, nome della figlia, data di nascita sono assolutamente banali da indovinare. Io stesso proverei per primo con questi dati.

Inoltre cercate di evitare il più possibile i servizi che inviano la password in chiaro, senza criptografia. Potrebbe essere sniffata da chiunque (cioé intercettata durante la trasmissione al server che offre il servizio). I servizi web più avanzati, tipo home banking, ma anche alcune webmail offrono l'autenticazione con criptografia in SSL. Grazie alla criptografia, se qualcuno intercetterà la nostra password durante la trasmissione, non potrà comunque vederla.


Allora, da quanto detto finora diciamo che delle buone password, difficili da indovinare potrebbero essere:

J7.aj3HH
d3rT7MM,
AsD987QwE

Difficilmente il cracker di turno riuscirà a violare delle password così, ma l'altra faccia della medaglia mostra la difficoltà di ricordarla anche per noi. O ce le segnamo in un posto sicuro o nel giro di qualche minuto non riusciremmo più a ricordare che password abbiamo inventato.

Cerchiamo di semplificare per la nostra memoria. L'esempio che mostrerò è troppo banale per essere usato, ma lo utilizzerò per rendere l'idea della tecnica.
Il mio nome è Maurizio. E questa cosa qui dubito che me la dimenticherò mai ...
Prendo quindi la stringa del mio nome "Maurizio" ed inizio a sostituire ai seguenti caratteri i relativi numeri. La somiglianza nell'ortografia ci aiuterà a ricordarci le sostituzioni.

I - 1
E - 3
A - 4
S - 5
T - 7
O - 0 (zero)

Otterrò:

M4ur1z10

A questo punto alterno le lettere con maiuscole e minuscole:

M4uR1z10

Ho già ottenuto una password abbastanza robusta.

Ma torno a dire, partire dal mio nome di battesimo non mi dà molta sicurezza. Proviamo a trovare una sequenza di caratteri un po' più casuale, ma facile da ricordare.

Posso ad esempio prendere una canzone che mi piace particolarmente. Ad esempio prendo "Miramare" di Francesco De Gregori.
Le prime parole del testo sono: "Recuperarono le reti i pescatori, piene di spazzatura". Prendo ora le iniziali di queste prime otto parole:

rlrippds

Benissimo, nessuno penso che indovinerà mai questa sequenza. Ora gli applico l'algoritmo illustrato precedentemente:

RlR1pPd5

Ed ecco qui una bella password sicura e "non impossibile" da ricordare. Naturalmente è inutile che la proviate sui miei servizi internet, perché uso password diverse .


Come ultima, ma non meno importante cosa, invito a non sottovalutare il sistema di recupero della password tramite domande segrete. Molti servizi offrono la possibilità di recuperare le password dimenticate con domande segrete "troppo banali" del tipo lavoro del padre, cognome da nubile della madre e cose del genere. Se le usate, cercate almeno di confondere un po' le cose dato che chiunque potrebbe venire a sapere qual è il cognome da nubile di vostra madre. Io in genere imposto una domanda e dò una risposta che non c'entra nulla. Poi starà a me ricordarmi la risposta, ma per lo meno evito che qualcuno risalga alla mia password utilizzando questo "stupido" strumento di recupero.


Bibliografia e approfondimenti:
L'acchiappavirus - Paolo Attivissimo