Ti sei spaventata/o leggendo il titolo di questo articolo?
Spero di no… 😉
In questo articolo ti parlerò di un argomento importantissimo, ma troppo spesso sottovalutato: la password di accesso alla bacheca. In realtà questo testo era nato per essere inviato via mail agli iscritti alla mia lista, come approfondimento sulla sicurezza, ma dato che era divenuto molto lungo (e probabilmente se lo avessi ricevuto via mail non lo avresti letto tutto), ho deciso di farlo diventare un articolo del blog.
Se hai letto la mia guida gratuita “I 10 gravi errori che riducono la sicurezza di WordPress” (se non lo hai ancora fatto vai su questa pagina e rimedia immediatamente all’errore :D), ricorderai che nel punto (6), ti indico come uno tra i gravi errori quello di “usare una password debole” e ti riporto alcuni suggerimenti per creare una password robusta ai tentativi di attacco da parte di pirati informatici: deve essere complessa (un mix di lettere maiuscole, minuscole, numeri e caratteri speciali), lunga (almeno 10-15 caratteri) e unica (non devi usare la stessa password su più servizi).
E’ molto importante la robustezza della password, in particolar modo se il tuo è un account di amministratore di WordPress, in quanto se un malintenzionato riuscisse a scoprirla avrebbe accesso completo a tutte le funzionalità del tuo sito web. Ma in generale tutti gli account, anche quelli non di amministrazione, devono essere protetti usando password “forti”.
Quale difetto ha questa tecnica? La password così creata è difficile da memorizzare e la gente tende a scriverle su un foglietto di carta o, ancora peggio, su file di testo, magari anche online, vanificando l’incremento di sicurezza dato dall’utilizzo di una password lunga e complessa.
Allora come puoi fare per avere una password sicura e contemporaneamente facile da memorizzare?
Prima di parlarti del metodo, ti introduco brevemente un concetto della teoria dell’informazione derivato dalla fisica: l’entropia.
Se hai fatto studi scientifici, probabilmente hai già sentito parlare di entropia in fisica e in chimica.
Non mi addentro nella (difficile) teoria sull’argomento, dicendoti che, in soldoni, l’entropia di una password è la quantità di informazione che contiene, misurata in bit.
Più è alto il suo valore, quindi più informazione è contenuta nella password, più è difficile indovinarla. Puoi immaginare l’entropia come una misura di quanto è “casuale” una stringa di caratteri.
Per calcolare l’entropia di una password bisogna moltiplicare la sua lunghezza per l’entropia del singolo carattere, valore che aumenta man mano che si ingrandisce il set di caratteri utilizzato, perché diventa più difficile prevedere i caratteri usati per comporre la stringa.
Per esempio:
- password solo numerica (es. un PIN): 3,3 bit/carattere
- password di sole lettere minuscole: 4,7 bit/carattere
- password di lettere minuscole e maiuscole: 5,7 bit/carattere
- password di lettere minuscole e maiuscole e numeri: 6 bit/carattere
- password di lettere minuscole e maiuscole, numeri e caratteri speciali: 6,5 bit/carattere
Come puoi vedere, man mano che le parole usate diventano più complicate (con l’aggiunta anche di numeri e simboli speciali), le password diventano più sicure ma anche molto più difficili da tenere a mente.
Facendo un breve calcolo, puoi verificare tu stessa/o che una password di 8 caratteri solo numerici (che purtroppo alcuni servizi online ti obbligano a scegliere… giuro!) è sicura tanto quanto una password di 4 caratteri complicata, quindi NON E’ SICURA per niente! Una password del genere potrebbe essere violata con un semplice smartphone nel giro di alcuni secondi!
E allora come si può fare?
Un modo per aumentare considerevolmente l’entropia è quello di mantenere un insieme di caratteri semplice (lettere minuscole o al più maiuscole), ma aumentando la lunghezza della password.
Se per esempio scegliessi una password formata da una sequenza di parole di senso compiuto (in italiano, inglese, o qualunque altra lingua), avrebbe un valore di entropia elevatissimo:
correct horse battery staple: 25 caratteri X 4,7 bit/carattere = 117,5 bit
Anche usando un potentissimo calcolatore, o una rete di essi, occorrerebbero molti anni per riuscire a violare una password di questo genere, che quindi è considerata molto sicura.
Dato che gli spazi generalmente non sono accettati all’interno della stringa di una password, si possono anche scrivere con la notazione “a gobbe di cammello” usando la lettera maiuscola ad ogni inizio di parola, così:
CorrectHorseBatteryStaple
Più le parole sono scollegate le une dalle altre (per esempio scegliendole a caso da un dizionario) più è difficile riuscire ad indovinarle, anche con le tecniche dette di “dictionary attack”, in cui vengono combinate tra loro parole o espressioni di uso comune.
Con un po’ di pratica, potrai iniziare anche tu a crearti le tue passphrase per l’accesso ai servizi online, visualizzandoti delle immagini o delle scenette per facilitarti la memorizzazione, come mostrato anche in questa divertente vignetta (in inglese) tratta dal sito xkcd.com, che riassume quanto ti ho spiegato in questo articolo (e forse ancora meglio):
E ora tocca a te: tu che tecnica usi per creare le tue password (se ce la puoi dire)? Ti è mai capitato che qualche malintenzionato riuscisse ad accedere a qualche tuo servizio violandoti la password? Scrivimi nei commenti qui sotto…