Lei: "Caro andiamo a prendere un caffè?";

Lui: "Ok ma usiamo la tua password!!!!".

Sembra assurdo ma al giorno d'oggi l'utilizzo delle password è così diffuso che il colloquio tra i due sembra una cosa normale. Le password sono indice di segretezza, di privacy e negli ultimi anni con l'avanzare di Internet e della tecnologia in generale la densità di password per persona è cresciuta tanto quanto il debito pubblico.

Non è un caso che tutti i giorni, per fare le cose più comuni, iniziamo a far lavorare il cervello perchè dobbiamo assolutamente ricodarci la pwd per accedere a questo o a quello soecifico servizio.

 

Oggi si usano password per:

1. prelevare soldi con il bancomat (il pin)
2. accendere il cellulare (pin)
3. accedere alla propria casella di posta elettronica (pwd)
4. accedere al proprio notebook o al proprio pc fisso (pwd)
5. usare il proprio conto corrente online (se tutto va bene ne usiamo tre)
6. accedere a fecbook o qualunque altre social comunity (pwd)
7. scrivere un messaggio in un forum (pwd)
8. usufruire di un qualunque altre servizio online (pwd)

Ne ho sicuramente dimenticate alcune e anche di importanti, ma il concetto mi sembra chiaramente espresso. Serve una password per tutto.

 

Un qualunque utente ne ha almeno tre ma mediamente se ne hanno una decina a persona.

Dopo questa premessa vorrei procedere con il vero scopo di questo articolo, ovvero individuare quali sono le caratteristiche che le password devono rispettare in modo da poter essere considerate sufficentemente sicure e cosa ancora più importante vorrei anche spiegare il perchè.

Partiamo dal presupposto che esistono numerosi software in grado di effettuare il recupero di una password. Alcuni tipi, i iù pericolosi, funzionano online e sono quelli che servono per individuare i vari codici della posta elettronica, di una determinata comunity o altro. Altri lavorono su file protetti da password: pensiamo ad esempio ad a quei programmini che servono per recuperare le pwd che cifrano un archivio di tipo zip.

Tali programmi servono ad evitare ad un male intenzionato di fare i vari milioni di tentativi a mano.

Infatti se qualcuno dovesse provare ad individuare una password penserebbe immediatamente a ciò che riguarda la sfera personale della sua vittma. La domanda nasce spontanea: figuriamoci se chi vuole impossessarsi della mia password mi conosc!!!! La risposta è banale. La stragrande maggioranza degli attacchi destinati ad individuare le password per tentativi avviene da parte di persone che si conoscono. I cracker quindi iniziaranno a provare con il nome della vittima, passando poi in rassegna i nomi del fidanzato/fidanzata, dei genitori dell'amico/amica del cuore, del cane, del gatto e così via. Se questi tentativi non andranno a buon fine colui che sta continuando l'attacco tenterà con le varie date a disposizione: nascita, morte, anniversari etc. etc. Il tentativo successivo sarà la squadra del cuore, l'attore preferito, il cantante tanto amato. Se ancora non è stata individuata si proverà con le combinazioni delle cose precedentemente individuate: carlo1978, jessy&simmy, inter2010 e così via.

Quindi a questo punto è chiaro: per evitare che persone che ci conoscono possano individuare le nostre credenziali dobbiamo fare in modo che queste non possano essere ricondotte alla nostra sfera personale.

 

Bene! Supponiamo che colui che vuole individuare le nostre password non ci conosca oppure, se ci conosce, non ha nessuna voglia di mettersi a fare tentativi. Per trovarle userà uno dei tanti software che si trovano in Internet. Questi software utilizzano due tipi di attacchi:

1. Gli attacchi da dizionario
2. Gli attacchi a forza bruta

Iniziamo ad analizzare i primi.

Possiamo affermare che l'uso dei dizionari risale alla preistoria. Ovviamente l'informatica ha permesso di creare dizionari digitali: es. file di testo che contengono le parole della lingua italiana + le parole della lingua inglese. Il ragionamento che c'è dietro i software che consentono attacchi di tipo dizionario è banale: scelgono le parole del file una ad una e le provano come probabili password. Questo tipo di attacco è tanto più efficace quanto più è vasto il dizionario. E' inoltre un attacco generalmente molto veloce!!! Se la password è individuabile con questo tipo di attacco in breve tempo il maleintenzionato avrà a disposizione l'accesso ai nostri segreti. E' semplice capire che per rendere la pwd non individuabile con questo tipo di attacco non bisogna usare parole di senso compiuto che possono essere presenti in un dizionario.

L'attacco di tipo forza bruta, dal nome un po' altisonante, non è altro che il ripetuto tentativo di individuare una password a partire dalla combinazione di un numero predefinito di caratteri. Per semplificare la cosa ipotizziamo che la password che volgiamo individuare sia la combinazione di una ventiquattro ore. Abbiamo a disposzioni tre selettori ognuno dei quali ci consente di determinare un numero da 0 a 9. Inizieremo con il numero 000 poi 001 poi 002  e cos' via fino a raggiungere il 999. Cioè abbiamo mille possibilità diverse. Infatti supponendo di avere a disposizione 10 caratteri e una lunghezza della password pari a 3, siamo in grado di determinare 10^3=1000 combinazioni diverse.
Fare eseguire un calcolo del genere ad un software sta a significare che in circa 1 secondo la nostra password è stata individuata. Il nostro scopo quindi diventa quello di fare aumentare il più possibile il numero n^k dove n è l'insieme dei caratteri che abbiamo a disposizione e k è la lunghezza della nostra password.

La questione è semplice ma procediamo per gradi. Iniziamo con l'aumentare il nostro insieme di caratteri a disposizione. potremmo usare le lettere dell'alfabeto inglese che sono 26, le cifre che sono 10, alcuni caratteri speciali supponiamo una decina. Potremmo poi utilizzare le lettere maiuscole e quelle minuscole. In questo modo avremo a disposizione 52 lettere invece di 26. Quindi 52 + 10 + 10 = 72 caratteri.

Ora passiamo alla lunghezza delle password.

3 caratteri -> 72^3=                  373.248 combinazioni possibili

4 caratteri -> 72^4=              26.873.856 combinazioni posiibili

5 caratteri -> 72^5=          1.934.917.632 combinazioni posiibili

6 caratteri -> 72^6=       139.314.069.504 combinazioni posiibili

7 caratteri -> 72^7=   10.030.613.004.288 combinazioni posiibili

8 caratteri -> 72^8= 722.204.136.308.736 combinazioni posiibili

 

Cerchiamo di capire le tempistiche necessarie ad individuare la password.

L'individuazione di una password ricavata da 72 simboli e lunga 7 caratteri con un'attacco di tipo bruteforce e con la tecnologia attualmente disponibile è di circa 1 settimana.

Passando ad una lunghezza di 8 caratteri il tempo cresce a circa un paio di anni.

E' però bene non fare riferimento al tempo di computazione totale perchè è probabile che la password venga individuata prima di aver tentato tutte le combinazioni possibili.

E' stato stimato quindi un tempo medio di individuazione di una password lunga 8 cartatteri, individuati in un insieme piuttosto vasto, pari a 3 mesi.

Cambiando la pwd con una frequenza di circa 3 mesi, se nella nostra password lunga almeno 8 caratteri è contenuta almeno una lettera minuscola, una maiuscola, un numero e un carattere speciale siamo quindi certi di avere enormemente ridotto la possibiltà che questa venga individuata con un attacco di tipo forza bruta.

Per quanto abbiomo detto fin ora una buona (complessa) password deve rispettare i seguenti requisiti:

1. Non deve essere ricondotta alla nostra sfera personale: date, nomi, termini che usiamo frequentemente nel linguaggio parlato.
2. Non deve essere di senso compiuto ma deve essere priva di significato.
3. Deve essere composta da lettere maiuscole, lettere minuscole, numeri e caratteri speciali.
4. Deve avere una lunghezza maggiore o uguale a 8 caratteri.
5. Deve essere sostituita ogni 90 giorni.
   

Metabolizzati i primi 5 punti ora cerchiamo di approfondire ancora un po' l'argomento. Supponiamo infatti che pur avendo rispettato tutte le regole qualcuno sia riuscito ad individuare la pwd del nostro account gmail. Bhe la prima idea è quella di entrare e leggere la nostra corrispondenza elettronica. La seconda è:"Quasi quasi la provo anche su altri servizi". E così potrebbe essere facile scoprire anche quella di hotmail, di facebook, di twitter, di meetic, di libero, di yahoo, di skype, del conto corrente e di molto altro ancora. Dunque il primo consiglio è:

Usare password diverse per ogni account.

Certi di aver rispettato tutti e 5 i punti fondamentali e anche il primo consiglio, ci si pone un problema: "Come faccio a ricordare le mie dieci password a memoria?". Facile le scrivo su un foglio. ORRORE. Il foglio può essere smarrito, letto dal vicino, perduto o altro. Quindi:

Non bisogna assolutamente scrivere le password. Bisogna ricordarle a memoria.

Il problema persiste: "Come faccio a ricordarle?". Proviamo ad esempio a seguire il seguente suggerimento. Immaginiamo una frasce che conosciamo bene:"Quel ramo del lago di Como che volge a mezzoggiorno". Una password complessa derivante da questa frase potrebbe essere"QrdldCc,a12". In questo caso sono state usate due lettere maisucole per il nome proprio e per l'inizio della frase, è stata usata una "," per assonanza onomatopeica con "volge" ed è stato sostituito a "mezzoggiorno" il numero 12, per il resto sono semplicemente state usate le prime lettere delle parole. Oppure pensiamo ad una frase più semplice "roma è bella". Una password complessa derivante da questa frase potrebbe essere "R0ma:E':Be11a". In questo caso gli spazi sono stati sostituiti dai ":" l'accento è diventato un apostrofo, alcune lettere sono diventate numeri per somiglianza "o"->"0", "l"->"1" e la prima lettera di ogni parola è stata scritta in maiuscolo. In questo modo possiamo dare spazio alla fantasia sperimentando un modo semplice ed efficace per ricordare tutte le nostre password.

Utilizzando questi preziosi consigli la probabilità di essere vittime di frodi informatiche, di furto di dati e di intromissione nella vita personale è molto, molto bassa.

I consigli per le password sono riassunti in questo articolo.