Le password sono state usate per migliaia di anni come mezzo per identificarci con gli altri e, in tempi più recenti, con i computer. È un concetto semplice: un’informazione condivisa, tenuta segreta tra individui e usata per “provare” l’identità.

Le password in un contesto IT sono emerse negli anni ’60 con i computer mainframe – grandi computer gestiti centralmente con “terminali” remoti per l’accesso degli utenti. Ora sono usate per tutto, dal PIN che inseriamo in un bancomat, all’accesso ai nostri computer e a vari siti web.

Ma perché abbiamo bisogno di “provare” la nostra identità ai sistemi a cui accediamo? E perché le password sono così difficili da azzeccare?

Cosa fa una buona password?

Fino a tempi relativamente recenti, una buona password poteva essere una parola o una frase di appena sei-otto caratteri. Ma ora abbiamo linee guida sulla lunghezza minima. Questo è dovuto all'”entropia”.

Quando si parla di password, l’entropia è la misura della prevedibilità. La matematica che c’è dietro non è complessa, ma esaminiamola con una misura ancora più semplice: il numero di password possibili, a volte indicato come “spazio delle password”.

Se una password di un carattere contiene solo una lettera minuscola, ci sono solo 26 password possibili (“a” a “z”). Includendo lettere maiuscole, aumentiamo il nostro spazio di password a 52 potenziali password.

Lo spazio delle password continua ad espandersi man mano che si aumenta la lunghezza e si aggiungono altri tipi di caratteri.

Guardando le cifre di cui sopra, è facile capire perché siamo incoraggiati a usare password lunghe con lettere maiuscole e minuscole, numeri e simboli. Più complessa è la password, più tentativi sono necessari per indovinarla.

Tuttavia, il problema di dipendere dalla complessità delle password è che i computer sono molto efficienti nel ripetere i compiti – incluso indovinare le password.

L’anno scorso, è stato stabilito un record per un computer che ha cercato di generare ogni password concepibile. Ha raggiunto un tasso più veloce di 100.000.000.000 di indovinelli al secondo.

Sfruttando questa potenza di calcolo, i criminali informatici possono entrare nei sistemi bombardandoli con il maggior numero possibile di combinazioni di password, in un processo chiamato attacchi di forza bruta.

E con la tecnologia basata sul cloud, indovinare una password di otto caratteri può essere ottenuto in soli 12 minuti e costa solo 25 dollari.

Inoltre, poiché le password sono quasi sempre utilizzate per dare accesso a dati sensibili o sistemi importanti, questo motiva i criminali informatici a cercarle attivamente. Questo spinge anche un lucrativo mercato online che vende password, alcune delle quali sono accompagnate da indirizzi e-mail e/o nomi utente.

Come vengono memorizzate le password sui siti web?

Le password dei siti web vengono solitamente memorizzate in modo protetto utilizzando un algoritmo matematico chiamato hashing. Una password in hash è irriconoscibile e non può essere ritrasformata in password (un processo irreversibile).

Quando provi a fare il login, la password che inserisci viene sottoposta a un hash con lo stesso processo e confrontata con la versione memorizzata sul sito. Questo processo viene ripetuto ogni volta che si effettua il login.

Per esempio, alla password “Pa$$w0rd” viene dato il valore “02726d40f378e716981c4321d60ba3a325ed6a4c” quando viene calcolato utilizzando l’algoritmo di hashing SHA1. Provate voi stessi.

Quando ci si trova di fronte a un file pieno di password hash, si può usare un attacco di forza bruta, provando ogni combinazione di caratteri per una serie di lunghezze di password. Questa è diventata una pratica così comune che ci sono siti web che elencano le password più comuni insieme al loro valore hash (calcolato). Puoi semplicemente cercare l’hash per rivelare la password corrispondente.

Il furto e la vendita di liste di password è ormai così comune, che un sito web dedicato – haveibeenpwned.com – è disponibile per aiutare gli utenti a controllare se i loro account sono “in libertà”. Questo è cresciuto fino ad includere più di 10 miliardi di dettagli di account.

Se il vostro indirizzo email è elencato su questo sito dovreste assolutamente cambiare la password rilevata, così come su qualsiasi altro sito per il quale usate le stesse credenziali.

Maggior complessità è la soluzione?

Si potrebbe pensare che con così tante violazioni di password che si verificano ogni giorno, avremmo migliorato le nostre pratiche di selezione delle password. Sfortunatamente, il sondaggio annuale sulle password SplashData dell’anno scorso ha mostrato pochi cambiamenti in cinque anni.

Con l’aumento delle capacità informatiche, la soluzione sembrerebbe essere una maggiore complessità. Ma come esseri umani, non siamo abili a (né motivati a) ricordare password altamente complesse.

Abbiamo anche superato il punto in cui usiamo solo due o tre sistemi che richiedono una password. Ora è comune accedere a numerosi siti, ognuno dei quali richiede una password (spesso di lunghezza e complessità variabile). Un recente sondaggio suggerisce che ci sono, in media, 70-80 password per persona.

La buona notizia è che ci sono strumenti per affrontare questi problemi. La maggior parte dei computer ora supporta la memorizzazione delle password nel sistema operativo o nel browser web, di solito con l’opzione di condividere le informazioni memorizzate su più dispositivi.

Gli esempi includono iCloud Keychain di Apple e la possibilità di salvare le password in Internet Explorer, Chrome e Firefox (anche se meno affidabile).

I gestori di password come KeePassXC possono aiutare gli utenti a generare password lunghe e complesse e conservarle in un luogo sicuro per quando sono necessarie.

Anche se questa posizione deve essere protetta (di solito con una lunga “master password”), l’uso di un gestore di password consente di avere una password unica e complessa per ogni sito web che si visita.

Questo non impedirà che una password venga rubata da un sito web vulnerabile. Ma se viene rubata, non dovrete preoccuparvi di cambiare la stessa password su tutti gli altri siti.

Ci sono naturalmente delle vulnerabilità anche in queste soluzioni, ma forse questa è una storia per un altro giorno.