Scegliere la password giusta

L’Economist parla questa settimana del problema della scelta delle password per ogni account che apriamo sul web: scelta importante, visto il costante pericolo di attacchi hacker e furti di identità e dati importanti (come quelli delle carte di credito). Il problema è che spesso la password più facile da ricordare è anche la più facile da rubare. L’Economist prova a spiegare come scegliere una password che possa unire la facile memorizzazione alla difficoltà di essere scoperta.

Le password più facili da rubare per hacker e pirati informatici sono di diversi tipi. Per prima cosa quelle estremamente semplici o banali come “password”, “123456” o “abc123”, che sono insicure anche se si cambiano alcune lettere con numeri (come “e” con “3”, “i” con “1”): alcuni casi recenti, come il furto di migliaia di password dai database del sito pornografico Youporn, hanno mostrato che queste password semplicissime sono tra le più diffuse. Altra scelta ad alto rischio sono i nomi di partner, figli o personaggi famosi.

Come esempio estremo, l’Economist scrive addirittura che un suo vicedirettore, in passato, ha avuto per molti anni come password di un suo account la semplice lettera “z”. Tutte queste password sono insicure perché sono decisamente esposte ai cosiddetti “dictionary attack”, ossia i sistemi automatici che utilizzano gli hacker per generare un gran numero di potenziali password che si basano su sostituzioni simili o nomi di uno stesso campo semantico. Le cose sono rese ancora più facili per i pirati informatici perché molti siti non limitano il numero massimo di tentativi prima di far scattare blocchi e meccanismi di controllo più complessi.

Senza ricorrere a scanner di impronte digitali, secondo l’Economist ci sarebbero due soluzioni: una è quella di utilizzare password composte da parole che non hanno alcun legame tra loro ma che possano essere ricordate attraverso un’immagine da tenere in mente: in questo caso si può scegliere “corretto cavallo batteria graffetta”. Queste password, dette “passphrases“, sarebbero esponenzialmente più difficili da hackerare rispetto alle normali password. Il problema, come riporta uno studio dell’università di Cambridge che sarà pubblicato a maggio, è che molte persone usano passphrases composte da parole che hanno in ogni caso un collegamento, semantico o lessicale, e che dunque sono esposte ai “dictionary attack”. Tra l’altro, diversi sistemi informatici limitano la scelta di password lunghe, vanificando così l’uso delle passphrases.

Il secondo modo, proposto da Bruce Schneier, un esperto di sicurezza informatica, è quello di trasformare una frase che abbiamo in testa in una password, prendendo la prima lettera di ogni parola e modificando, quando possibile, una parola con numeri e simboli. Per esempio, “troppo cibo e vino ti faranno star male” diventa “tc&vtfsm”. Il rischio più grande, in questo caso, è quello di scegliere, come frase da accorciare in password, un proverbio o il titolo di un film o di una canzone, vanificando così tutte le precauzioni prese. L’ideale, dice Schneier, è scegliere una frase che non abbia risultati su Google (o almeno il meno possibile).

Joseph Bonneau dell’Università di Cambridge ha scoperto alcune cose interessanti analizzando 70 milioni di password, con la collaborazione di Yahoo!, per lo studio citato in precedenza. Innanzitutto, piuttosto sorprendentemente, le persone adulte scelgono in media password più sicure di giovani e adolescenti. Le password mediamente più sicure sono quelle in coreano o tedesco, quelle meno sicure sono in lingua indonesiana (anche se Bonneau non ha spiegato il perché). Inoltre, la maggioranza del suo campione non rende più sicura la password se glielo chiede il sito dove sta registrando il suo account; molti di quelli che hanno subìto attacchi informatici in passato non hanno reso a posteriori le loro password più sicure di quanto non abbiano fatto quelli che non hanno subito mai attacchi.

foto: Justin Sullivan/Getty Images