Su Internet sono disponibili diversi strumenti che forniscono all’utente un’idea generale circa la complessità e quindi l’adeguatezza di una parola chiave. Eccoli nel dettaglio.
Qual è la migliore strategia per generare una password “praticamente inespugnabile”? Come spesso abbiamo ripetuto, l’approccio migliore consiste nel produrre una password contenenti una miscela di caratteri alfanumerici (lettere maiuscole, minuscoli e numeri) e possibilmente anche simboli o caratteri speciali (ad esempio “#”, “%” oppure “!”).
Ogni password, inoltre, una volta seguita l’indicazione di approntare una sequenza complessa di lettere e numeri, dovrebbe essere lunga almeno otto caratteri.
In parole povere, comunque, una password diviene tanto più sicuro quanto è maggiore il numero di caratteri che essa contiene e quanto più diversa è la loro tipologia.
Giusto per dare degli esempi, nello specchietto sotto riportato sono indicate le tempistiche che sono tipicamente necessarie per violare password di differenti tipologie e lunghezze.
| Lunghezza password (caratteri) | numeri | maiuscole o minuscole | mix di maiuscole e miuscole | numeri, lettere maiuscole e minuscole | numeri, maiuscole, minuscole e caratteri speciali |
| 3 | istantaneo | istantaneo | istantaneo | istantaneo | istantaneo |
| 4 | istantaneo | istantaneo | istantaneo | istantaneo | istantaneo |
| 5 | istantaneo | istantaneo | 4 sec | 9 sec | 1′ 15 |
| 6 | istantaneo | 3 sec | 3′ 15 | 9′ 30 | 2 ore |
| 7 | istantaneo | 1′ 15 | 3 ore | 10 ore | 8,5 giorni |
| 8 | 10 sec | 35′ | 6 giorni | 25+ giorni | 2 anni e 3 mesi |
Sul web sono disponibili alcuni strumenti che forniscono all’utente un’idea generale circa la complessità e quindi l’adeguatezza di una password.
Microsoft Online Safety
Il servizio Microsoft Online Safety consente di valutare le diverse tipologie di password introdotte dall’utente. La valutazione offerta dalla pagina web di Microsoft spazia da “debole” (weak) ad “ottima” (best). Si provi, ad esempio, a digitare le seguenti password nell’apposito campo:
- password 1: password
- password 2: wrE7p4gA
- password 3: kEbr5!A753?sW+
- password 4: tHap9eHEp*WRe2PEcr=f
- password 5: quC=e7ebeprUp2aWuG9s8ecHecaZ
UPDATE: il servizio è stato recentemente dismesso.
Microsoft fornisce indicazioni a questa pagina.
In alternativa potete consultare anche le indicazioni fornite da Comparitech.
How Secure Is My Password
Un altro servizio utile è How Secure Is My Password. In questo caso non viene mostrato alcun giudizio: attraverso un apposito algoritmo, invece, il servizio prova a stabilire il tempo necessario per risalire alla password indicata ponendo in essere un attacco di tipo “brute force“, ovvero per tentativi successivi fino a trovare la parole chiave giusta (al contrario del dictionary attack che si basa sull’impiegodi termini di uso comune).
Per la cronaca, la prima password di esempio che abbiamo indicato richiederebbe circa 252 giorni per essere recuperata con un attacco di tipo brute force. Ovviamente, essendo la parola password un termine di uso comune, un dictionary attack, eseguito preventivamente, avrebbe avuto immediatamente successo, senza alcuna attesa.
The Password Meter
Eccellente il servizio The Password Meter che, per ciascuna password specificata, effettua un’analisi alla ricerca del numero di caratteri utilizzati e delle diverse tipologie degli stessi: vengono quindi forniti consigli pratici per migliorare la “sicurezza” della password scelta.
La piccola icona di colore blu evidenzia che, per la corrispondente caratteristica, la password indicata supera i requisiti minimi di sicurezza. L’icona verde, invece, sta a significare che si sono rispettati gli standard minimali mentre le altre due – gialla e rossa – evidenziano che la parola chiave introdotta potrebbe essere recuperata a causa di alcune sue “debolezze”.
Conclusioni
I tre strumenti possono offrire valutazioni leggermente differenti per le varie password inserite.
Come regola generale, quando si sceglie una password, è sempre bene introdurre un numero di caratteri che si avvicina al numero massimo consentito e comunque non usare mai password più corte – ove possibile – di 16 caratteri, utilizzare sempre maiuscole e minuscole, introdurre almeno un carattere numerico ed un simbolo ed infine non usare mai termini che possono essere presenti in un qualunque dizionario.
Password complesse sono estremamente difficili da tenere a mente. Per memorizzarle in modo sicuro sul disco fisso, evitando che possano essere individuate da parte di terzi, una possibile soluzione è orientarsi su software quali KeePass, un vero e proprio “password manager” capace di conservare lunghe liste di password in un archivio unico che viene memorizzato sotto forma di file crittografato.
