Ma serve davvero complicare le password tanto che neanche noi ce le ricordiamo più?
In realtà, oggi, no. Password criptiche non necessariamente significano password più sicure.
Ho tentato di accedere via SPID ad un servizio online del sito del MIUR.
Dopo il login, essendo secondo lui passato troppo tempo da quando ho cambiato la password, mi ha obbligato a cambiarla.
La nuova password deve però soddisfare una serie di requisiti che mentre complicano (e di molto) la vita a me, a malapena scalfiscono coloro che sono interessati a sgamarla. Dunque, perché complicarci inutilmente l’anima?
Gli algoritmi e sistemi di brute-force attack non sono infatti molto sensibili a quanto criptica e complessa sia la password, quanto alla sua lunghezza e casualità della sequenza di caratteri o frase.
Ad esempio, per indovinare questa password:
J5be>p3#
ci vogliono 2 giorni di calcolo. Mentre per quest’altra:
cicca-tricca-pucca-bum!
ci vogliono dieci quintilioni di anni. Assai. Sono davvero tanti.
Quale delle due ricordereste meglio?
Potete voi stessi controllare quanto sia inattaccabile una password usando questo sito, oppure quest’altro.
D’altra parte, password robuste a nulla servono se i database e i sistemi dove vengono conservate non sono altrettanto robusti.
Dunque, un appello ai fornitori di servizi ad accesso riservato: smettetela di chiedere password criptiche, bensì password lunghe e casuali, ad alta entropia. E proteggete bene i server dove le conservate, ben criptate e blindate.
