di Riccardo Meggiato

Stando a un recente studio, circa la metà degli utenti che usano un social network non cambiano la password del loro account per più di un anno. A dirla tutta, uno su cinque non l’ha mai cambiata da quando è iscritto, anche se sono passati anni, mentre uno su tre usa come password date di nascita, indirizzi, nomi di animali domestici e figli. Il problema è che non si ha la percezione della quantità dei danni che un criminale informatico può fare anche a un “semplice” utente, nel momento in cui usa il suo account per scopi fraudolenti. Per esempio, ci si potrebbe trovare al centro di un’indagine, spacciati per criminali, per il solo fatto che ci sono stati rubati dei dati sensibili. Come difendersi? Proprio pensando a una diversa password. Anzi, meglio: pensando a un modo diverso di intendere le password. E per farlo, non c’è niente di meglio della matematica.

Il discorso è molto semplice: per rintracciare la password di un utente, essenzialmente, si utilizzano tre tattiche. La prima è l’attacco di tipo “guessing”: si studia la vittima, se ne scoprono preferenze, gusti e abitudini, e si crea un elenco di parole che potrebbero descriverli. Poi si “spara” questa lista verso l’account dove intrufolarsi e magari basta questo. Ci sono poi gli attacchi di tipo “dizionario”: si prendono grossi file che contengono i dizionari di varie lingue, e possibili variazioni date dall’aggiunta di numeri e lettere casuali, e quindi si usa lo stesso procedimento visto poco fa, fino a indovinare la password corretta. Se anche questo tipo di attacco non va a buon fine si passa a quello di “forza bruta”: in soldoni, un algoritmo matematico genera combinazioni di lettere, simboli e numeri, fino a trovare quella giusta. Questo metodo porta a risultati certi, ma il problema è che generare password lunghe e complesse, quindi non derivate da parole o nomi reali, può portare via molto tempo. Mesi, anni, perfino secoli. Pensate che la password “prova” richiede da 0,000124 secondi a 3,43 ore per essere scoperta con questo metodo. Già cambiandola in “Prova2”, con una maiuscola e un numero, si passa da un minimo di 0,577 secondi a un massimo di 1,84 anni. Ecco perché quando si parla di sicurezza delle password si punta molto sulla loro lunghezza e sulla presenza di maiuscole, numeri e simboli. La professoressa Lorrie Faith Cranor, esperta di sicurezza presso la Carnegie Mellon University racconta: “Le persone fanno cose molto prevedibili, come mettere caratteri speciali solo all’inizio e alla fine, piuttosto che mescolarne alcuni verso la metà, o usare frasi e sequenze comuni, come “iloveyou” o sequenze dei tasti della tastiera. Inoltre, le persone spesso scelgono password troppo corte. Per una password sicura, vorrei vedere qualcosa lungo almeno 12 caratteri”.

Per scoprire un po’ meglio quanto è sicura una password, ricercatori come la Cranor utilizzano il concetto della “entropia”, che è un termine che magari alcuni di noi hanno conosciuto studiando fisica, ma che nel mondo dei computer stima quanto è imprevedibile una password, basandosi sul calcolo del tempo che impiegherebbe un criminale informatico per “indovinarla”. La lunghezza, quindi, come abbiamo visto, è un parametro di sicuro molto importante, ma non certo l’unico. Specie se si pensa che parecchi criminali informatici utilizzano fonti come social network e canali YouTube per creare dizionari sempre più completi. È quindi importante puntare soprattutto sull’unicità del codice. Se impieghiamo cinque minuti per inventarci una password, perché mai non dovrebbe impiegarne altrettanti un criminale informatico per indovinarla?  Ecco perché la password perfetta dovrebbe essere composta da caratteri assolutamente casuali, non ascrivibili a una parola ordinaria. Certo, si fa molta più fatica a impararla a memoria, ma una volta fatto avremo in mano uno dei più efficaci strumenti per proteggerci da attacchi indesiderati. A metà strada tra una password di senso compiuto, e quindi molto insicura, e una stringa di caratteri casuali, terribile da ricordare, ecco una soluzione valida per tutti: arricchire parole e nomi con maiuscole e numeri che abbiano un senso per noi. Per esempio, se il nostro gelato preferito è panna e cioccolato, la password perfetta potrebbe essere P@nn@&c10cc0l@t0. Impossibile da ricordare? Leggetela meglio, e vedrete che non è così.