Se siete fedeli lettori di Zeus News, probabilmente sapete da tempo che, quando si sceglie una password, è importante fare in modo che essa sia robusta.

Quando si parla di password robuste, generalmente s'intende che detta password non deve essere composta soltanto da lettere minuscole, ma alternare maiuscole e minuscole, inserire numeri e aggiungere caratteri speciali. Fin qui, sono informazioni ben note.

Quello che forse non sapete è che queste linee guida sono state formalizzate nel 2003 da Bill Burr, a suo tempo dirigente dello statunitense National Institute for Standards and Technology, e che oggi il settantaduenne Burr si dice pentito di quanto consigliava 14 anni fa.

Articoli suggeriti:

iNsecurity: una storia di phishing, altruismo e buona volontà

Windows 11, Microsoft rimuove nove opzioni da Esplora File

Apple, Google e Microsoft svelano il sistema che eliminerà le password

Gli account Microsoft perdono le password

In un'intervista al Wall Street Journal, Burr ha confessato di essersi reso conto di come quelle indicazioni, unite alla proverbiale pigrizia degli utenti, abbiano finito con il consigliare la generazione di password insicure.

Non si tratta dei tanto abusati 123 o password, ma di parole che sembrano sicure e invece non lo sono.

Tutti - o quasi - per inserire numeri e caratteri speciali nelle loro password si affidano sempre alle medesime sostituzioni: la a diventa una @ o un 4, la e un 3, la o uno 0, e spesso alla fine c'è un ! o un ?.

Leggi anche:

Il cyberattacco attraverso la macchinetta del caffè

Le IP Cam con password incorporata e che non si può cambiare

La perdita dei dati è causata dall'atteggiamento degli utenti

Facebook compra le password dagli hacker del deep web

In questo modo le sostituzioni sono diventate prevedibili, ed è come se non ci fossero: ormai ogni algoritmo di decriptazione è scritto tenendo conto di queste radicate abitudini, come già nel 2011 segnalava Randall Munroe, l'autore di xkcd, in una vignetta.

«Dopo vent'anni di sforzi» - scriveva Munroe, in quella che è una sintesi perfetta delle odierne confessioni di Burr - «siamo riusciti a insegnare a tutti a usare password che gli umani fanno fatica a ricordare e i computer indovinano facilmente».

Un altro punto su cui Burr si tormenta è l'invito a modificare la password ogni 90 giorni (o anche più spesso), invito fatto rapidamente proprio da governi, istituzioni, banche, aziende e via di seguito.

Una tale frequenza ha spinto gli utenti, che necessitano di ricordare la loro password, ad adottare password facilmente memorizzabili e quindi anche indovinabili.

In realtà, il sistema a suo tempo ideato da Burr non era sbagliato nella concezione, ma ha finito con l'essere usato in maniera errata.

«Alla fine» - commenta Burr - «era forse troppo complicato e molti non l'hanno capito bene. La verità è che eravamo fuori strada».

Così, il Nist ha pubblicato dei nuovi standard, elaborati dal consulente Paul Grassi, il quale ha deciso di ripartire da zero.

Grassi, però, ritiene che Burr sia troppo duro con sé stesso: «Ha scritto un documento che è durato 10 o 15 anni. Spero di riuscire a far durarare il mio documento altrettanto».

Le nuove linee guida fanno piazza pulita dell'invito a cambiare spesso la password, proprio perché i cambi frequenti hanno dimostrato di essere causa di pessime conseguenze sulla sicurezza.

Inoltre non consigliano più di mescolare in maniera casuale caratteri diversi (maiuscole, minuscole, simboli, numeri), sempre per lo stesso motivo.

Invece è più utile usare password composte da diverse parole di uso comune ma slegate tra loro quanto al significato, in modo da avere una password lunga, difficile da indovinare per un algoritmo, ma comunque facilmente memorizzabile. Proprio come consiglia Munroe nella vignetta che abbiamo citato.

Un ulteriore consiglio è verificare che la password che si sta per scegliere non sia in una lista di password compromesse, o usate di frequente: ciò mette al sicuro dagli attacchi basati su dizionario.