Quanto dovrebbe essere lunga la tua password?

È stato solo negli ultimi anni, quando tutto si è spostato online, che la gente ha iniziato a prestare attenzione alla sicurezza delle password. Da oltre un decennio gli esperti cercano di convincere le persone a impegnarsi di più in questo senso, e le poche grandi violazioni di dati hanno, si spera, fatto cambiare idea a tutti noi.

Purtroppo, la maggior parte delle persone pensa che una stringa di 6-8 caratteri alfanumerici sia sufficiente, ma la realtà è che creazione di una password complessa è molto più complicato. Inoltre, i requisiti che i siti web impongono per la creazione delle password danno un falso senso di sicurezza.

La lunghezza è importante

Sebbene molte persone pensino che la complessità sia importante quando si parla di password, la verità è che in realtà non è così importante come la lunghezza stessa (ergo la domanda di questo post del blog).

Uno dei modi più comuni in cui le password vengono violate è attraverso una tecnica chiamata "brute-forcing" (forza bruta). Il modo migliore per descriverla è pensare a un lucchetto a 3 cifre e immaginare di provare ad aprirlo senza il codice vero e proprio. Probabilmente finirai per provare ogni possibile combinazione come 001, 002, 003, ecc. Beh, la forza bruta funziona esattamente allo stesso modo, con la differenza che i malintenzionati possono utilizzare la potenza di elaborazione dei computer per svolgere il lavoro al posto loro.

Questo è il motivo per cui la complessità non è importante quanto la lunghezza, poiché la lunghezza aggiunge un ulteriore livello di grandezza al tentativo di forzare le password.

Per una password media di 8 caratteri, ci sono circa 221 trilioni di combinazioni possibili, che possono sembrare molte a prima vista, ma bisogna rendersi conto che alcuni computer possono "indovinare" 10 miliardi di combinazioni al secondo con alcuni botnet sofisticati. Quindi, in realtà, si tratta solo di poche ore di brute-forcing per forzare una password media.

Detto questo, quindi quanto dovrebbe essere lunga la tua password? L'ideale è che abbia un minimo di 12 caratteri. Con 12, si hanno poco più di tre sestilioni di combinazioni possibili (è un tre con 21 zeri davanti).

Per decifrare una password di 12 caratteri ci vorrebbero facilmente diverse centinaia di anni con la tecnologia odierna, anche se questa sta certamente migliorando a rotta di collo e il tempo necessario per decifrare una password di 12 caratteri diminuisce di giorno in giorno.

Se davvero vuoi essere a prova di futuro, 16 caratteri sono davvero la lunghezza migliore e più realistica su cui probabilmente potrai fare affidamento, ma di più è ancora meglio. Con 16 caratteri, in pratica, non sarai più di questo mondo da migliaia, se non centinaia di migliaia di anni, prima che la password venga decifrata.

PassPhrase

D'accordo, siamo onesti: la maggior parte degli esseri umani non ha la capacità di memorizzare password di 16 caratteri, soprattutto di 16 caratteri unici per ogni sito che utilizza, ma esiste un'alternativa.

Probabilmente avrai già sentito parlare delle passphrase: si tratta essenzialmente di un insieme di parole scelte in modo semicasuale che sono più facili da ricordare. Ad esempio, "I funghi gialli raccolgono polvere" o "il matto è meglio che sia andato a pranzo" o un'altra combinazione. Nel primo esempio hai una bella password lunga 34 caratteri, e nel secondo esempio hai una password altrettanto buona di 41 caratteri.

Utilizzare le passphrase è nel complesso più facile e rende la vita meno difficile. Naturalmente, la domanda ora diventa: "Quanto deve essere lunga la mia passphrase?" e sarai felice di sapere che di solito si consiglia un minimo di quattro parole. Se puoi utilizzare più parole, tanto meglio, e in generale cerca di scegliere qualcosa che sia facile da ricordare per te.

Detto questo, c'è un problema con le passphrase: la maggior parte dei siti non consente password di quella lunghezza. Per fortuna, alcuni siti stanno iniziando a essere più indulgenti e, si spera, entro i prossimi 5 anni o giù di lì vedremo le password più lunghe diventare più comuni.

Le cose più strane

Un aspetto che spesso viene messo in evidenza nella lunghezza delle password è la complessità e, naturalmente, l'uso di simboli e altri caratteri strani.

Sebbene abbia detto che la lunghezza è meglio, ciò non significa che la complessità non sia importante. Detto questo, ci sono alcuni errori che le persone commettono e che le espongono alla possibilità che le loro password vengano decifrate:

  • Utilizzare lo stesso carattere due volte e/o di seguito. Questo può essere problematico perché è una pratica comune e quindi i programmi di brute-forcing sono stati progettati per questo comportamento. Particolarmente grave è qualcosa come "!!!!!!". o "1223334444".

  • Inserirli secondo uno schema specifico, come ad esempio un qualsiasi altro carattere, poiché anche questo è un obiettivo a cui questi programmi sono programmati.

  • Sostituire le lettere con simboli come 3 per e, o 1 per l, o cose del genere. Questa è anche una pratica abbastanza comune che i programmi di cracking prendono in considerazione.

  • Non proteggere gli account dei social media come se si trattasse di conti bancari. Dico sul serio. Basta ricavare un po' di informazioni dai tuoi social media per fare social engineering e il gioco è fatto.

  • Inoltre, fai attenzione a non utilizzare una delle password più diffuse.

In generale, si vuole evitare di rendere evidente la collocazione dei caratteri, motivo per cui la maggior parte delle password create attraverso i generatori tende ad apparire come una stringa di caratteri senza schemi. È la password più sicura che si possa usare, ma di certo rende più difficile tenere sotto controllo le password.

Non utilizzare le stesse password per tutto

Ora arriviamo al problema più grande di tutti: non importa quanto sia complessa o lunga la tua password: se la usi per diversi servizi, tanto vale non usarla affatto! (Ok, questa è un po' un'esagerazione, ma spero tu capisca il mio punto di vista).

Cosa fare, quindi? Beh, a quel punto la cosa migliore è procurarsi un gestore di password di qualità. Non solo ti consente di memorizzare password lunghe, ma anche di creare una password univoca per ogni sito, e senza dovertene ricordare. Basta creare una password estremamente efficace per il tuo gestore di password e avrai due livelli di protezione, il che è davvero fantastico. Se hai bisogno di un piccolo aiuto nella scelta del gestore di password giusto per te, ecco una recensione dei migliori gestori di password.

Non preoccuparti!

La cosa più importante da ricordare a questo punto è di non spaventarsi, né farsi prendere da un attacco d'ansia. Un sito web o un servizio nella media non permetterà ingressi con la forza bruta nel tuo account e l'unico modo in cui qualcuno potrebbe tentare questo tipo di attacco è se si verifica una violazione massiccia dei dati, il che è raro.

Anche nel caso in cui si dovesse effettivamente verificare una violazione dei dati, ci vorrebbe molto tempo per decifrare la tua password: a quel punto la violazione sarebbe stata resa pubblica e avresti avuto il tempo di cambiare la tua password.

Una buona condotta in materia di password è importante a prescindere e non va ignorata, ma non è il caso di farsi prendere dal panico perché si ha una password di 11 caratteri invece di 12.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.