Come generare password sicure?
Cos'è una password e cosa la rende sicura?
Le password
Le password sono pezzi di informazione che convalidano l'accesso a uno spazio riservato. Il loro possesso e la loro conoscenza verificano l'autorizzazione a concedere l'accesso, negandolo a chi non le possiede o non le conosce. Attualmente, una password è composta da una sequenza di caratteri linguistici che insieme costituiscono l'informazione necessaria per convalidare un permesso.
Sicurezza di una password
Il livello di sicurezza di una password è stabilito dalla difficoltà per un agente che non conosce la password di determinarla con successo.
In uno spazio immaginario in cui non ci sono informazioni sulla fonte della password, la complessità statistica determina la sua sicurezza, mentre la lunghezza e la complessità linguistica sono direttamente proporzionali al suo livello di sicurezza.
Nel mondo reale, invece, la fonte può essere identificata e quindi la determinazione di una password diventa meno complessa se la fonte è parametrizzabile. Si tratta di determinare tutte le relazioni che possono innescare l'uso di schemi che danno luogo a preferenze, famiglie, colori, date importanti, oppure di ottenere con l'inganno direttamente dalla fonte l'insieme o gli elementi componenti che determinano la password.
Dalle osservazioni precedenti, si può dedurre che la sicurezza di una password è stabilita da: l'assenza di relazioni parametrizzabili con la fonte e l'estensione e la complessità linguistica della password. Queste considerazioni rendono il generatore di password uno strumento indispensabile per la produzione di informazioni sicure da utilizzare come password.
Considerazioni sull'uso di un generatore di password
Quando si genera una password con un generatore come PassGeni che utilizza almeno un alfabeto che comprende caratteri minuscoli, maiuscoli e numeri, bisogna tenere presente che per decifrarla con la forza bruta (provando tutte le combinazioni possibili) ci vorrà un certo tempo:
Lunghezza | PassGeni SENZA simboli | PassGeni CON simboli |
7 | 1 ora | 2+ giorni |
8 | 20+ ore | 70+ giorni |
9 | 100+ giorni | 15+ anni |
10 | 20+ anni | 1800+ anni |
11 | 1000+ anni | 200 mila anni |
12 | 100 mila anni | 10 milioni di anni |
Importante: Questi dati presuppongono la possibilità di testare successivamente e in parallelo diverse combinazioni su una fonte compromessa utilizzando la protezione hash MD5 (NON raccomandata e NON facente parte degli standard attuali). Non è valido associarli al tentativo diretto attraverso un'interfaccia utente fornita da un server web, in quanto quest'ultimo può limitare il numero di tentativi, aumentare il tempo tra una combinazione e l'altra o catalogare l'attacco e la sua origine al fine di adottare misure preventive. Questo è solo un mezzo illustrativo per ribadire l'importanza della complessità e della lunghezza di una password.
Lunghezza | Utilizzo del dispositivo | Utilizzo dell'intera capacità della rete Bitcoin |
Importante: Questi dati presuppongono un attacco di forza bruta che prevede la possibilità di provare successivamente e in parallelo più combinazioni su una fonte compromessa con protezione hash SHA-256. La rete Bitcoin ha la più grande capacità esistente al mondo per l'esecuzione di funzioni di hash con l'algoritmo SHA-256; l'utilizzo di una password di 20 caratteri generata da PassGeni richiederebbe alla rete Bitcoin più tempo della durata totale stimata della vita sul pianeta Terra.
Infine, se la generazione è una parte importante, anche la memorizzazione e il tempo di utilizzo sono punti critici che devono essere presi in considerazione per raggiungere un maggior grado di sicurezza informatica.