C’è un nuovo modo – e molto, molto più semplice – di creare password solide
Di Todd C. Frankel e Andrea Peterson
In genere si tende a odiarle, le password, quel guazzabuglio insensato di lettere, numeri e caratteri speciali apparentemente indispensabili per la sicurezza digitale. Ma altrettanto impossibili da ricordare. Ecco perché ogni pagina di login presenta l’ancora di salvezza «Hai dimenticato la password?», a incarnare un sentimento di rabbia e frustrazione.
Ora emerge un nuovo standard per le password, sostenuto da sempre più imprese e agenzie governative – per il sollievo degli utenti di tutto il mondo. Le password non vanno più cambiate così spesso, né devono essere formate da una stringa incomprensibile di caratteri speciali. Si tende ora a una minore complessità in favore di una maggiore lunghezza.
Le password che un tempo somigliavano a W@5hPo5t!, ora sono più o meno così: ilmiogattoleggegarfieldsulwashingtonpost. Queste password più lunghe, note come passphrase e con un numero di caratteri compreso tra i 16 e i 64, sono una via di fuga dal doloroso processo di creazione di codici che solo un crittografo potrebbe apprezzare.
Una serie di studi della Carnegie Mellon University ha confermato che le passphrase sono altrettanto valide per la sicurezza online delle tradizionali password, perché i programmi di hackeraggio vengono confusi tanto dalla lunghezza quanto dalla casualità. Per un computer, in sostanza, poesie o semplici frasi sono difficili da craccare. E, cosa ancora più, importante, sono più difficili da dimenticare per l’utente medio.
«Di sicuro se ne vedono di più» ha detto Michelle Mazurek, una delle ricercatrici della Carnegie Mellon, che ora lavora all’Università del Maryland. «A fronte di un livello di sicurezza simile, le passphrase sono più apprezzate».
Un segno tangibile di questo cambiamento è venuto quest’anno dall’agenzia federale che sovrintende la politica informatica governativa statunitense. Il National Institute for Standards and Technology ha pubblicato un insieme di raccomandazioni che punta a una revisione delle password, incoraggiando l’uso di passphrase e l’abbandono della pratica di riaggiornamento ogni 60-90 giorni.
«Le passphrase sono più complicate da craccare e aggirare, e più semplici da ricordare» ha detto Paul Grassi, consulente dell’NIST.
Per unanime ammissione, si è finalmente stabilito che le pratiche di cambio password attuali sono una tortura.
Oggi le password sono «completamente inutilizzabili» ha detto Grassi. «Gli utenti se le dimenticano, e finiscono per scriverle o usarle in modo costante, e questo è un problema».
L’appello per ottenere password più semplici è andato rafforzandosi di pari passo con l’aumento della quantità di tempo trascorsa online e della necessità di avere codici per il lavoro, per la scuola, ma anche per fare acquisti, giocare, ottenere dati sanitari e trovare ricette. I sondaggi indicano che l’utente medio dispone di 19-25 password diverse. […]
Joe Hall, tecnologo capo del think tank Center for Democracy and Technology, ha notato che nei più di 800 portali con relativi login a cui accede (e sa di essere un’eccezione con tutti questi account) le regole di accesso si sono fatte più semplici: sempre più siti permettono di inserire password di minimo 16 caratteri e pochi chiedono modifiche regolari alla password.
«Fa parte di una nuova tendenza che punta a rendere le cose più semplici per gli utenti» dice Hall.
Come molti esperti di computer, Hall è stato un fan delle passphrase per anni.
«Dico alla gente di pensare a una frase scioccante, imprevedibile, anche insensata» dice.
Un esempio: «La sferica volpe marrone saltò nel Bundestag russo.»
Un suo amico ama usare le sue personali idiosincrasie come password, come ad esempio i malapropismi linguistici.
Ovviamente, la maggior parte degli esperti dice che le password di qualsiasi tipo sono ormai superate. Molti spingono per la verifica con due fattori, in cui gli utenti devono dimostrare la propria identità inserendo un codice inviato al loro indirizzo mail o numero di telefono. Questo standard viene adottato più spesso delle passphrase.
Nel frattempo, gli esperti mettono in guardia dell’uso di brani famosi tratti da canzoni o poesie come codice di accesso. Quindi addio Beyoncé o Wallace Stevens. Gli hacker, infatti, possono scaricare librerie di informazioni per cercare frasi comuni. Mazurek suggerisce di inserire la passphrase in una barra di ricerca di Google e vedere se il motore di ricerca è in grado di auto-completarla: se ci riesce, è una frase comune.
Rich Shay, un altro ricercatore della Carnegie Mellon, ha detto che gli studi sono nati dall’esperienza nel campus: le password per le email scolastiche dovevano essere di 8 caratteri e includere una lettera maiuscola, una minuscola, un carattere speciale e un numero. È stato allora che i ricercatori hanno pensato che ci dovesse essere un modo migliore.
Eppure, gli studi hanno mostrato che anche con le passphrase, un pizzico di complessità – un numero, un carattere speciale – aiuta.
«Nessuno ha la bacchetta magica» ha detto Shay, ora al MIT. «La password perfetta non esiste».
Ma questo lo sapevamo già.
Todd C. Frankel e Andrea Peterson, «There’s a new way to make strong passwords, and it’s way easier», The Washington Post, 11 agosto 2016
Ninety-nine News 