L’usabilità di una password

Thomas Baekdal in un posto dello scorso anno, affronta l’argomento password in un ottimo articolo intitolato: “The Usability of Passwords” (L’usabilità delle password).

Costantemente ci viene consigliato di utilizzare una password complessa, possibilmente composta da caratteri alfabetici e alfanumerici per avere un livello di sicurezza alto dei nostri dati riservati. Non sempre questa è una verità, infatti l’autore ci dimostra che utilizzare una password “usabile” ci garantisce un livello di sicurezza migliore di una password complicatissima.

L’hacking di una password può essere effettuato in 5 maniere:

• Chiedere ad amici o parenti: sorprendentemente questa risulta essere la maniera più semplice per ottenere una password. In effetti se ci fate caso la maggior parte delle persone utilizza una password che non è una password. Spesso le nostre password vengono confidate ad amici, parenti, colleghi, facendo perdere la loro efficacia. A me personalmente è successo di effettuare una consulenza all’interno di una grossa azienda dove i pc principali contenenti i dati più sensibili venivano utilizzati quotidianamente anche per la normale navigazione dei dipendenti e le password di accesso erano tranquillamente scritti su un post-it attaccato sul monitor del pc. Ora dov’è la sicurezza in questo caso? Gli errori compiuti erano talmente tanti che sono rimasto stupito di come possa un’azienda di tali dimensioni essere cosi superficiale.
• Indovinare: altro errore grossolano che si compie è utilizzare date di nascita personale o di persone care, targa dell’auto, o quant altro è possibile recuperare conoscendo un minimo la persona.
• Attacco Brute Force
• Attacco attraverso parole comuni: molte persone utilizzano parole di senso compiuto e molto utilizzate nella giornata come password onde evitare di dimenticare la parola chiave.
• Attacco attraverso un dizionario: stesso funzionamento precedente con la variante che l’hacker utilizza un dizionario dati per recuperare la password.

Solitamente un hacker non si mette davanti al pc a provare finchè la password non è corretta. Più facilmente utilizza uno script già fatto che provvede a testare le parole chiave finchè non raggiunge il risultato sperato. Ad esempio la password “sun” per essere scoperta, ha bisogno di:

• Brute-force: 3 minuti
• Common Word: 3 minuti
• Dictionary: 1h 20 minuti

Ovviamente si tratta di una password insicura, quale dovrebbe essere quindi il tempo minimo che garantisca una sicurezza alta di una password?

• 1 minuto: sicuramente la scelta meno oppurtuna
• 10 minuti: ancora troppo rischioso
• 1 ora: non ci siamo ancora, è un tempo accettabile per un hacker
• 1 giorno: stiamo procedendo verso la giusta strada anche se probabilmente un hacker ha messo in conto di dedicare qualche giorno se quello che gli interessa ha valore alto
• 1 mese: in questo caso vuol dire che veramente l’utente è malintenzionato altrimenti avrebbe già desistito da molto
• 1 anno: da questo punto in poi si incomincia a parlare di rischio teorico più che pratico quindi qualunque scelta a partire da ora è sicuramente efficace per un uso quotidiano

Ora che abbiamo definito le basi possiamo incominciare a tracciare un percorso per la scelta di una password usabile e sicura.

Il test che segue è stato effettuato supponendo che vengano effettuate 100 richieste di password al secondo utilizzando uno degli ultimi tre metodi sopra elencati.

Il primo esempio è stato effettuato con una stringa di 6 caratteri comuni:

Notiamo quindi che “J4fS<2″ è sicura per tutta la vita ma…a che prezzo? Come possiamo ricordare tale password senza segnarla da qualche parte e quindi infrangere uno dei primi due metodi di hacking pocanzi elencati? Dobbiamo procedere quindi per un’altra strada.

Usando frasi di senso compiuto invece, notiamo che il livello di sicurezza si alza rendendo più semplice l’usabilità della password.

Se invece usassimo parole non comuni abbinate tra di loro vediamo che il livello aumenta in maniera esponenziale:

Non ci troviamo più davanti a password complesse, ma a password semplici da ricordare e che ci offrono un livella di sicurezza ineguagliabile!

Dall’articolo quindi possiamo dedurre che, per avere una password semplice da ricordare ma sicura, non serve utilizzare caratteri alfanumerici e simboli strani, bensì ci è sufficiente utilizzare una password di 3 o più parole di senso compiuto.

Via | baekdal

Like this post? Share It! :)