No, le password complesse non sono facili da violare: che confusione!

In queste ore leggiamo, sulla stampa straniera come su quella nazionale, titoli roboanti con cui si sostiene la presunta inefficacia delle password complesse composte da caratteri alfanumerici e simboli.

Tutto è partito da un’intervista rilasciata da William “Bill” Burr al Wall Street Journal.

Bill Burr, adesso in pensione, quando nel 2003 era in forze presso il NIST (National Institute of Standards and Technology), agenzia governativa degli Stati Uniti che si occupa di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio, si occupò della stesura di un documento tecnico (NIST Special Publication 800-63) in cui venivano illustrate alcune linee guida per la creazione e la gestione di identità digitali.

Per gli “addetti ai lavori”, il contenuto dell'”appendice A” del documento co-redatto da Burr è chiarissima e prende in esame, nel dettaglio, la “forza” e il valore dell’entropia di una password.

Il problema è che buona parte degli utenti (compresi amministratori di rete e di sistema) non hanno in questi anni seguito attentamente le linee guida di Burr e, anzi, hanno frainteso gran parte degli aspetti più importanti.

Una password lunga e complessa contenente almeno 14 caratteri con lettere, numeri e simboli è ancor’oggi molto difficile da “indovinare” per un aggressore, con un attacco brute force, anche utilizzando moderni sistemi di calcolo distribuito usando una batteria di GPU di “ultimo grido” o alcuni tra i più famosi servizi cloud.

Come abbiamo spesso ricordato, ad esempio, P@55w0rd non è affatto una buona password perché vengono sì usati caratteri alfanumerici e simboli ma si tratta di uno schema noto che prevede la sostituzione di certe lettere con numeri o caratteri visualmente simili. Una password del genere, inoltre, è davvero troppo corta e può essere trovata in appena un minuto di lavoro.

I consigli che avevamo pubblicato nell’articolo Creare una password sicura: oggi ricorre il World Password Day restano quindi oggi assolutamente validi.

Burr non è certo “l’uomo che ci ha rovinato la vita“, come riportato da alcune testate. Sono semmai molti utenti a non aver ancora compreso il valore e l’importanza di una password complessa, scelta oculatamente. Per non parlare della sconsiderata abitudine di riutilizzare la stessa password su più servizi online.
Una password corta, seppur facente uso di lettere, numeri e simboli, non è affatto sicura: ma questo lo si sapeva già. Non è certo una novità ferragostana.

Burr non ha fatto alcun mea culpa ed è pericolosissimo scrivere – come sostenuto da alcune testate online – che le password lunghe e complesse sono inutili, con un’efficacia paragonabile a quelle semplici.

Semmai, diversi ricercatori di sicurezza hanno verificato che una passphrase ovvero una lunga frase magari accompagnata dalla presenza di qualche carattere speciale è molto efficace. Essa, infatti, è innanzi tutto facile da ricordare, ha un buon valore di entropia di base e non è ricavabile da un qualunque sistema brute force.