di ENZO DONZELLI
Perché è necessario avere password complicate?
Perché nonostante ciò devono essere cambiate frequentemente?
Proverò a rispondere a queste domande nel modo più semplice possibile. Il termine password indica generalmente una parola segreta (word) che permette di accedere (pass) a dati riservati e/o protetti. A differenza del PIN (personal identification number), composto generalmente solo da numeri (come il pin del bancomat o quello della scheda sim del cellulare), una password è formata da numeri, lettere e, sempre più spesso, anche da caratteri speciali (?,!,+,*,# ecc…).
Il solo e unico scopo del PIN è, quindi, verificare se siamo autorizzati o meno a fruire di un servizio o di un apparato; la password, invece, insieme all’username, costituisce le credenziali di accesso (account) per autenticarci nel mondo informatico tramite una procedura detta di login.
L’account serve ad associare la nostra identità reale ad una digitale, che servirà a farci riconoscere per accedere a dati riservati (come può capitare nel caso di un social network o una casella di posta elettronica).
Dato l’aumento esponenziale della potenza di calcolo degli elaboratori elettronici negli anni, i moderni PC impiegherebbero poche ore per provare tutte le combinazioni di lettere che formano una password di 5 o 6 caratteri (attacco di forza bruta). Oggi, una password è ritenuta sufficientemente sicura solo se la sua lunghezza è di almeno 10 o 12 caratteri e utilizza lettere maiuscole e minuscole, numeri e simboli speciali. Aumentando la lunghezza e la complessità, aumentano anche le possibili combinazioni e con esse il tempo necessario per effettuare un attacco di forza bruta (potrebbero servire mesi o addirittura anni).
Scelgo una password perché scade o comunque è consigliabile cambiarla dopo poco tempo?
Per rispondere a questa domanda, bisogna tenere a mente che le certezze non esistono. Così come non ve ne sono di assolute nella vita quotidiana, non esistono certezze e sicurezza quando navighiamo nel web: per quante precauzioni prendiamo, possiamo sempre essere vittime di fortuiti incidenti. Questa insicurezza di base che dobbiamo accettare e con cui è necessario imparare a convivere, costringe a cambiare periodicamente le nostre password.
Entrando più nel dettaglio, dobbiamo capire che è solo questione di tempo: la nostra password per quanto lunga e complessa può essere stata compromessa da un attacco mirato, intercettata durante la navigazione web o anche spiata da qualcuno mentre la digitavamo sulla tastiera.
L’unico modo per azzerare il tempo necessario ad una nuova compromissione è, quindi, modificare la password!
Come scegliere una buona password
Finora abbiamo ipotizzato di scegliere una password complicata (10–12 caratteri alfanumerici) che dovrebbe essere sempre diversa per ogni sito o servizio cui accediamo. Ma in realtà per non impazzire, scegliamo quelle più semplici possibili, utilizzando la stessa password per tutti i nostri accessi.
È risaputo ormai che le più usate sono il proprio nome, il nome del partner, il nome di un figlio o una figlia, del proprio animale domestico, la propria data di nascita o quella dei propri cari, ma spesso la password più gettonata è proprio… la stessa parola “password”. È bene, quindi, evitare questo genere di password e optare invece per una qualsiasi altra parola che ricordiamo, non immediatamente riconducibile al nostro mondo, al fine di non facilitare i potenziali attacchi di hacker, valutabili in termini di efficacia e rapidità.
Nuove soluzioni
Tuttavia, poiché l’uso di svariate password, anche molto complesse e diverse tra loro, complica notevolmente la vita, si stanno diffondendo nuove forme di autenticazione informatica. Ultimamente molti dispositivi utilizzano autenticazioni basate su dati biometrici (impronta digitale, iride, riconoscimento facciale, ecc…) oppure password temporanee, generate automaticamente da appositi dispositivi o semplicemente inviate sul cellulare (note come OTP – One Time Password). Negli ultimi anni anche la pubblica amministrazione si è posta il problema, infatti, per l’accesso ai siti governativi è stato proposto lo SPID – Sistema Pubblico di Identità Digitale (per approfondimenti: https://www.spid.gov.it/
Per concludere, cito il seguente aforisma di Chris Pirillo (CEO di LockerGnome, Inc., rete di blog, forum Web, mailing list e comunità online): La password è come la biancheria intima: non permetti a nessuno di vederla, devi cambiarla molto spesso e non devi condividerla con gli estranei.
[…] in forma elettronica utilizzati come metodo di identificazione informatica”. Quindi, anche le credenziali di accesso, come nome utente e password o il “pin”, riconducono all’autore che ha richiesto […]
Comments are closed.