Come scegliere una password?
Ormai quasi tutti i siti web ci hanno abituato a usare password complesse, che contengano almeno un numero, una lettera, un segno di interpunzione, un simbolo, il nome di un filosofo greco e un’emoji, per la sicurezza del nostro account.
Le banche ci chiedono di cambiare periodicamente i nostri dati di accesso, Windows Server ci ricorda che la nostra password è scaduta, poco ci manca che gli smartphone inizino a costringerci a cambiare il PIN della SIM.
Ma è davvero utile avere password così complesse? Servono davvero a proteggerci, o sono un boomerang che invece rischia di mettere in pericolo la sicurezza del nostro account?
Le password complicate sono un problema
Credo che quest’immagine chiarisca subito il perchè:
Più è complicata la password, più avremo difficoltà a ricordarla e saremo costretti ad annotarla da qualche parte. In questo modo il livello di sicurezza dell’account si trasferisce dalla password al luogo dove la conserviamo. Cioè il post-it attaccato al monitor, con username e password in bella vista. A questo punto tanto vale non avere password, visto che chiunque più leggerla, copiarla, usarla.
Molti, per evitare questo problema – e quando il sistema lo consente – usano password molto semplici; la password più usata al mondo (fonte: ANSA) è 123456, seguita subito dopo da password e via complicando ma non più di tanto: in diciassettesima posizione c’è 123123 e in quarantatreesima ferrari.
Poiché Livecode, tra le varie attività, ha anche quella di gestione sistemi, posso assicurarvi che quanto detto sopra è perfettamente aderente alla realtà: nel nostro lavoro dobbiamo continuamente ricordare agli utenti di utilizzare password più complicate per evitare che l’account venga violato. Un altro metodo comune è quello di avere username e password identici: peggio che andar di notte.
Quindi? Password semplice o complessa?
Come al solito, in medio stat virtus. Lasciando stare i sistemi che ci impongono determinate tipologie di password, quando abbiamo libertà di scelta è preferibile utilizzare una password semplice da memorizzare per noi (e no, il nome del cane non è adatto, si presta a Social Engineering) e difficile da individuare per un computer (o più probabilmente una botnet) che stia provando a violare l’account.
C’è questa simpatica vignetta di XKCD (link: https://xkcd.com/936/) che spiega perché le password complesse sono un problema, e suggerisce un modo per scegliere la propria password:
Riepilogando, una password che a noi sembra complicata, come C4rr0zz4$1, per un elaboratore di media capacità è un problema risolvibile in 3 giorni. Una password per noi semplice, come MaIlCaffèMiPiaceMacchiato, per un elaboratore risulta essere un compito che richiede più di 500 anni per essere portato a termine.
Quindi, se il sistema ce lo consente, è preferibile utilizzare delle password lunghe ma che per noi siano semplici da ricordare, piuttosto che usare una password apparentemente complicata ma che ci costringa a scrivercela sul post-it!