Internet password: semplice e sicura

Perché un blog che analizza sociologicamente la rete dovrebbe occuparsi di Internet password? Per numerosi motivi, innanzitutto la password è la chiave d’accesso al nostro ego in rete, ci permette di entrare nei social, di essere virtualmente noi stessi. In seconda istanza la password è parte di un complesso percorso di rivisitazione del nostro linguaggio, conseguenza del frenetico utilizzo di chat istantanee e social networks.

Questa ubiquità ha però un prezzo: qualcuno può appropriarsi delle nostre password. Entrare nei nostri spazi virtuali.

Ma c’è un fatto ancora più originale: Le regole che tutti noi seguiamo per la costruzione della password sono conseguenza di una strana storia, di un passaparola a livello globale che ora vi andremo a raccontare.

Tutto inizia nel lontano 2003, il signor William E. Burr realizza e pubblica un documento per il NIST denominato “Electronic Authentication Guideline – Recommendations of the National Institute of Standards and Technology – Information Security“.
C’è già un primo colpo di scena, non è il documento di per sé ad attirare l’attenzione dei tecnici più esperti ma l’appendice A “Estimating Password Entropy and Strength”, poche pagine e qualche tabella.
Spesso sono i piccoli dettagli a fare la storia.

Quanto scritto si basa sul concetto di entropia, maggiore è l’entropia più sarà difficile indovinare la nostra password.

Per spiegare i calcoli numerici che sostengono tale concetto abbiamo deciso,in estrema semplicità, di non affidarci alla statistica e al calcolo combinatorio ma a (nostri) banali esempi.

1. Il signor Burr afferma che se le nostre password utilizzano un numero maggiore di caratteri la possibilità di indovinarle è minore. Corretto. Ad esempio attualmente il lotto, lotteria italiana per eccellenza, propone numeri da 1 a 90, se improvvisamente i numeri da indovinare fossero compresi tra 1 e 900 le nostre possibilità di vincita sarebbero molto minori. Da qui la necessità di non utilizzare nelle nostre password solo i caratteri base del nostro alfabeto ma anche caratteri speciali, maiuscole e numeri.

2. La seconda considerazione, presente nell’appendice, è l’evidenza per cui password più lunghe sono più difficili da indovinare. Tornando al nostro esempio è molto più facile fare un ambo, indovinare due numeri, rispetto ad una cinquina, quindi cinque numeri.
Sostanzialmente una password di dieci caratteri è molto più sicura di una di cinque caratteri. Una password di quindici più sicura di una di dieci e cosi via…

3. il terzo è un suggerimento. Utilizzare il dizionario in modo da evitare l’uso delle parole più comuni ed inoltre evitare di inserire lo username nella password. Non serve in questo caso la lotteria per capire che questi suggerimenti sono estremamente corretti.

L’appendice di Burr è diventato virale, è stato preso come riferimento in tutto il mondo. Un vademecum, anzi molto di più una “Bibbia” delle password.

Pochi giorni fa, quasi quindici anni dopo il signor Burr è tornato all’onore delle cronache con un’intervista. Molti quotidiani on line e blog hanno, frettolosamente, annunciato il pentimento di Burr che, a dir di tutti, con il suo appendice ci ha rovinato la vita costringendoci a ricordare password complicatissime.

Tutta colpa di William E. Burr? Assolutamente no.

La realtà, se si analizza con attenzione il documento, ed anche la recente intervista, è ben diversa. Non è il signor Burr a sbagliare, né a scusarsi, piuttosto sono tutti gli altri ad avere interpretato in modo eccessivo quanto indicato.
Non è scritto da nessuna parte che le password devono essere complicate, illeggibili e difficilissime da ricordare. Queste regole complesse, solo parzialmente vere, si sono diffuse in Internet alla velocità del vento. Ed hanno convinto semplici utenti ed esperti di settore. Miracolo del passa parola in rete, un primo clamoroso esempio di fake news.

Tutti noi abbiamo fatto nostro l’assioma: “più la password è difficile da ricordare meno riusciranno a rubarmela”. Assioma per niente vero. Complesso da scrivere e da ricordare non vuol dire più sicuro.

Facciamo qualche esempio.
Il signor Mario Rossi deve decidere la sua password di Facebook. Può utilizzare la complicatissima password “1fHqO_5r” e sentirsi sicuro. Questa password utilizza il set di caratteri esteso ed è di otto caratteri.
Kaspersky offre un servizio per intuire la complessità di una password, ci dice che questa password può essere indovinata da un supercomputer in 31 secondi. Password molto sicura, impresa non impossibile.

internet password complicata

Se invece al signor Mario Rossi piace mangiare le patate e adora passare i week end al mare e sorseggiare un margarita la password potrebbe essere “patate,mare_weekend_MARGARITA“. Anche questa password usa lo stesso set di caratteri esteso, ma è più sicura. Un maggior numero di caratteri implica un numero più elevato di combinazioni, quindi più casi, di cui solo uno valido. Sicura e semplice da ricordare.  Vediamo cosa ne pensa Kaspersky (servizio da non utilizzare con le vostre password originali!!!).

internet password semplice

Lo stesso supercomputer, in questo secondo caso, necessita di sei secoli. Quindi password lunghe con pochi caratteri speciali, semplici e facili da ricordare, sono molto più sicure di password complesse ma più corte. Si tratta di un’evidenza statistica e matematica. Non di un’opinione.

Ovvio che in base agli stessi principi:

  • La password “1fHqO_5r” è molto più sicura di “mario” o “qwerty” o “12345678” o “password”.
  • il signor Rossi non deve ideare lunghe password basandosi su ovvi schemi predefiniti. La password “Mario_Rossi_Facebook” è pessima, facilmente intuibile. Da evitare anche schemi con luoghi o date di nascita, nomi dei figli. Informazioni facilmente alla portata di tutti.
  • Il signor Rossi non deve inviare la password tramite whatsApp o peggio salvarla nella rubrica telefonica del proprio smartphone.
  • Il signor Rossi non deve utilizzare la stessa password in diversi social o servizi online.
  • Il signor Rossi non deve digitare la sua password su esplicita richiesta in email o in pagine web o in servizi a lui sconosciuti. Mai accettare caramelle da uno sconosciuto.
  • Il signor Rossi non deve memorizzare nel proprio browser le sue password.

Il signor Burr non ci ha complicato la vita, ce la siamo complicata da soli. Quanto descritto dimostra la potenza della rete, ma anche come nel ventunesimo secolo si possono diffondere con facilità luoghi comuni.

L’assioma “complicato = tecnologicamente valido = sicuro”, proprio della rivoluzione industriale e delle società primarie è oggi completamente obsoleto.

La rete si basa su meccanismi semplici, di usabilità, relazione, comunicazione, grafica. Meccanismi ben diversi da quelli di una cassaforte, della serratura a codice di una valigia, di un recinto di filo spinato.

In sintesi: usate password lunghe ma semplici, che seguono schemi di pensiero facili da ricordare ma non intuibili da altri. E non condividetele in nessuna occasione.

Il futuro?

Tutto sta per cambiare, ancora una volta. Le password saranno sostituite da elementi personali, distintivi, unici. In primis l’impronta digitale, servizio già disponibile sui nostri dispositivi mobili. La nostra impronta digitale, numericamente, in termini di byte, è di gran lunga più ricca di informazioni, quindi più originale e affidabile delle password che digitiamo oggi.  E, prima di tutto, è più semplice da digitare, e non è necessario memorizzarla.

Internet è il luogo, virtuale, dove vivono le “cose semplici”.

Mondoduepuntozero