L’uso delle password risale ai primi anni sessanta, quando cominciarono a prendere piede le prime macchine multiutente; fino ad allora la protezione dei sistemi era assicurata da mezzi fisici quali porte, porte blindate ed altro ancora.
I sistemi di protezione che sfruttano le password hanno subito un considerevole sviluppo nell’ultimo decennio anche se molte persone, non addette ai lavori, le considerano strumenti superati.
È necessario considerare che gli hash di password semplici possono essere decifrati in una manciata di secondi impiegando alcune banali nozioni di base.
Esistono infatti alcuni software capaci di decrittare centinaia di tipi di hash usando milioni di parole chiave utilizzate ed estratte da processi pregressi di violazione di dati.
Si parla infatti dei c.d. “vocabolari”, strumenti facilmente reperibili sul web e capaci di abilitare un attaccante, anche non molto esperto, a forzare un sistema protetto da parole chiave.
Risulta quindi decisivo impiegare in ogni sistema, dal più complesso al più semplice, una policy password efficiente ed efficace. Infatti, si consideri che:
- 8 caratteri tutti in minuscolo corrispondenti a 26 combinazioni elevato alla ottava, permettono di produrre una password estremamente elementare quindi violabile in meno di 2 minuti;
- 8 caratteri, in minuscolo e maiuscole, corrispondono a 52 combinazioni elevato alla ottava, anche in questo caso non proprio quello che si può definire “la protezione ideale”. ll tempo per la violabilità del sistema si attesta in meno di 6 ore;
- 8 caratteri in minuscolo, maiuscole e numeri corrispondono a 62 combinazioni elevato alla ottava. Il tempo che si potrebbe impiegare per violare una password di tal fatta è di circa 24 ore;
- Una frase segreta composta da 10 caratteri maiuscole, minuscolo, numeri e simboli corrisponde a 94 combinazioni elevato alla decima. Questa ultima password può essere violata in circa 600 anni.
Ovviamente le password lunghe e complesse, per quanto necessarie, restano limitate nella loro efficacia se la crittografica del back-end è debole.
Una buona prassi connessa all’operato degli amministratori di sistema impone la creazione di password il più possibile complesse; infatti una tecnica utile per la creazione della chiave di accesso potrebbe essere quella di estrapolare frasi contenute in un libro, in una rivista o l’uso di un’espressione che risiede nei nostri ricordi, opportunamente arricchita da numeri e caratteri speciali.
In effetti, il ricovero della password non alberga solo nella mente umana, esiste un’altra minaccia che spesso viene sottovalutata: i web browser. Questi memorizzano le password codificate in una modalità facilmente espugnabile e ciò attenta alla sicurezza delle informazioni e rappresenta un alto rischio per i nostri diritti e le nostre libertà, ma di questo parleremo in una delle prossime riflessioni sull’importante tema delle misure di protezione e del loro corretto utilizzo.
Avvocato Massimiliano Parla, esperto in cyber law (www.mmpartners.legal)
