Creazione password

Le password possono essere un metodo di autenticazione per garantire l’accesso protetto.

La prima caratteristica di una password è la segretezza, e cioè il fatto che non venga svelata ad altri soggetti. La divulgazione delle proprie password o la trascuratezza nella loro conservazione può causare gravi danni.

Nel tempo anche la password più sicura perde la sua segretezza. Per questo motivo è buona norma cambiarle con una certa frequenza.

Altra buona norma è quella di non memorizzare la password su supporti facilmente intercettabili da altre persone. Il miglior luogo in cui conservare una password è la propria memoria.

Per una corretta e sicura gestione delle proprie password si consiglia di rispettare le regole seguenti:

1. Le password sono assolutamente personali e non vanno mai comunicate ad altri;

2. Occorre cambiare immediatamente una password non appena si abbia alcun dubbio che sia diventata poco “sicura”;

3. Le password devono essere lunghe almeno 8 caratteri e devono utilizzare una combinazione di caratteri alfanumerici e simboli. Deve contenere almeno una lettera maiuscola, una lettera minuscola, un carattere speciale ed un numero;

4. Le password non devono essere memorizzate su alcun tipo di supporto cartaceo;

5. Le password devono essere sostituite periodicamente, a prescindere dall’esistenza di un sistema automatico di richiesta di aggiornamento password;

6. Evitare di digitare la propria password in presenza di altri soggetti che possano vederne la digitazione;

In alcuni casi, sono implementati meccanismi che consentono un numero limitato di tentativi errati di inserimento della password oltre ai quali il tentativo di accesso viene considerato un attacco al sistema e l’account viene bloccato per alcuni minuti. 

La password ideale deve essere complessa, senza alcun riferimento, ma facile da ricordare. Una possibile tecnica è usare sequenze di caratteri prive di senso evidente, ma con singoli caratteri che formano una frase facile da memorizzare (es.: “NIMzz5DICmm!”, Nel Mezzo Del Cammin, più il carattere 5 e il punto esclamativo). Decifrare una parola come questa può richiedere giorni.

Si sconsiglia di utilizzare come propria password:

1. Password predefinite (fornite dal sistema e destinate ad essere modificate);

2. Username o indirizzo email o qualunque parola riconducibile all’interessato;

3. Una qualunque parola presente nel dizionario di qualsiasi lingua;

4. Parole comuni anche se seguite da numeri o al contrario

5. Una sola combinazione di caratteri (solo lettere o numeri o caratteri speciali);

6. Date personali o di eventi storici;

7. Ripetizioni di sequenze di caratteri (es. abcabcabc) o parole (es ciaociao);

8. Parole derivate da righe della tastiera (qwerty,asdf,…);

9. Una password già impiegata in precedenza;

10. È sconsigliabile utilizzare anagrammi o combinazioni delle parole esistenti in qualsiasi lingua;

11. Sostituzioni di caratteri di tipi “Leet”. Il leet  è una forma codificata caratterizzata dall’uso di caratteri non alfabetici al posto delle normali lettere (scelte per la semplice somiglianza nel tratto) o piccoli cambi fonetici.

La forza di una password è specificata dal suo grado di entropia. L’entropia di una stringa binaria è data dal logaritmo in base 2 dell’effettiva lunghezza in bit. Attualmente il limite fisico riconosciuto è che non c’è abbastanza tempo utile a disposizione per la decrittazione di chiavi maggiori o uguali a 256 bit tramite un attacco di brute force.

Il numero minimo di bit di entropia necessari a rendere una password quantomeno inviolabile, dipende anche dal tipo di minaccia.

Tabella indicativa per il calcolo del tempo impiegato nella decrittazione (fonte Wikipedia).