Qual è la password più sicura?

Qual è la password più sicura?

Robert McMillan racconta sul Wall Street Journal la storia di Bill Burr, l’ingegnere autore di “Pubblicazione speciale numero 800-63” che anni fa convinse gli addetti ai lavori ad utilizzare numeri, caratteri speciali, minuscole e maiuscole per creare una password sicura.

Il settimanale Internazionale ha ripreso l’articolo recentemente, dove si spiega che il documento scritto da Burr nel 2003 divenne una sorta di codice di Hammurabi delle password, un manuale di comportamento per agenzie federali, università e aziende alla ricerca di regole sulla sicurezza digitale.

Ad anni di distanza possiamo dire che i consigli non hanno funzionato. La maggior parte delle persone raramente cambia la password ogni 90 giorni e i cambiamenti minimi (ad esempio modifichiamo un numero o una lettera) non aiuta a proteggersi dagli hacker. Come fare allora?

Qual è la password più sicura?

Paul Grassi, consulente dell’Nsit (National Institute of standards and technology) che ha diretto un lavoro di revisione del documento di Burr, ha spiegato al quotidiano finanziario di New York:

Nel nuovo documento non si consiglia più di cambiare spesso password o di usare caratteri speciali: oggi le frasi lunghe e facili da ricordare sono considerate più sicure dei caratteri speciali. Inoltre, bisognerebbe cambiare password solo se si pensa che un account sia stato forzato.

Secondo gli esperti insomma è più difficile indovinare una serie di quattro parole che una parola composta da caratteri speciali. Randall Munroe, autore del fumetto online Xkcd, ha calcolato che ci vogliono 550 anni per violare una password “correct horse battery staple” (corretto cavallo batteria graffetta) scritta senza separazioni, mentre una password come Troub4dor&3, che segue le regole di Burr, può essere hackerata in tre giorni. Tuttavia ci sono dei “ma”: come fa notare Ira Winkler su CSO moltissimi account sono stati violati non a causa delle password prevedibili quanto per il phishing o il furto delle password.

In ogni caso i dati dicono che negli ultimi anni c’è stata un’esplosione di violazioni dei sistemi informatici, gli hacker hanno rubato centinaia di milioni di password di aziende come Linkedin e Gawke: e proprio questi casi hanno permesso ai ricercatori di studiare le password e farci capire che non siamo astuti come pensavamo.

Che ne dite, proviamo a cambiare password?