Infinite passwords

Data: 12 novembre 2014 Categoria: internettopoli

Ogni volta che ci registriamo ad un servizio dobbiamo "inventarci" una nuova password: email, forum, social network, commercio elettronico, ecc... Io ho stimato di avere più di 200 account con relative password e non potrei ricordarle tutte. Quindi ho deciso di usare password che non dovevo ricordare.

Molti si arrendono a questa complicazione e iniziano ad usare sempre la stessa password, creando un enorme falla di sicurezza personale. Indovinata o rubata la password di un solo account il malintenzionato potrà accedere a tutti i nostri account.

Qualcuno è tanto pazzo da scrivere le password in un semplice file di testo. Altri si affidano a servizi on-line consegnando di fatto tutti i dati a emeriti sconosciuti. Una soluzione già accettabile è usare un programma portachiavi come KeePass per Windows o KeePassX per Linux ma bisogna fare i conti con la portabilità dell'archivio su altre piattaforme e l'accessibilità quando non si è al proprio computer.

Negli anni ho usato purtroppo tutte queste soluzioni ma ho sempre pensato che i difetti le rendevano troppo pericolose o troppo onerose in manutenzione.

Algoritmo

Usando un algoritmo, ovvero una "procedura" mentale, possiamo generare infinite password, una diversa per ogni sito, senza aver bisogno di ricordarcele. Quando siamo su quel sito, ci basterà rifare lo stesso procedimento mentale che abbiamo usato quando l'abbiamo generata per la prima volta all'atto della registrazione.

L'importante è che l'algoritmo prenda in considerazione qualche particolarità del sito che stiamo visitando in modo da avere una password differente per ogni sito. Questo, unito ad una "chiave" sempre uguale, ci fornirà come risultato una password unica, discretamente lunga, non composta da parole comuni e, se siamo bravi, con un set di caratteri completo. Tutte caratteristiche di una password robusta.

Di seguito un paio di esempi di come si possa costruire un algoritmo generatore di password.

Esempio 1

Per questo esempio supponiamo che la nostra "chiave", che useremo sempre d'ora in poi per qualunque password da generare, sia Pippo365. Soddisfa il requisito di essere facile da ricordare perché è costituita dal nome di un personaggio dei fumetti (con l'iniziale maiusola) e dal numero di giorni in un anno. L'algoritmo prenderà in considerazione il nome del dominio del sito su cui facciamo login. Ovviamente dal dominio eliminiamo il dominio di primo livello, ovvero .it o .com altrimenti avremo sempre le stesse lettere finali, quindi per entrare in www.yahoo.com prenderemo come dominio il solo yahoo. L'algoritmo è in 3 passi:

  1. prime 2 lettere del dominio
  2. parola chiave
  3. ultime 2 lettere del dominio

Se devo registrarmi su yahoo avrò come password:

yaPippo365oo

La password è lunga 12 caratteri con maiusole, minuscole e numeri. Non è una parola comune né costituita da più parole comuni, rendendo quindi inutile l'attacco "a dizionario". La sua lunghezza e varietà di simboli la rende estremamente resistente all'attacco "a forza bruta".

Esempio 2:

Altro algoritmo la cui "chiave" è basata su versi o titoli di poesie, canzoni, filastrocche:

La donzelletta vien dalla campagna
In sul calar del sole

Anche questa chiave la ricordo facilmente perché è costituita dalle prime due strofe di una nota poesia. Prendo le iniziali delle parole, che saranno in 2 gruppi (2 strofe): Ldvdc e Iscds. I passi dell'algoritmo saranno:

  1. iniziali della prima strofa
  2. ultime 3 lettere del dominio
  3. iniziali della seconda strofa

Se, ad esempio, dobbiamo "generare" la password per Google, questa diventa:

Otterremo quindi:

LdvdcgleIscds

che è una password di ben 13 caratteri e che, a prima vista, sembra una stringa di caratteri assolutamente casuale.

Conclusioni

Inventarsi un algoritmo personale non è difficile, basta impostare una "chiave" facile da ricordare e una procedura per attaccarci parti del dominio.

Bisogna risparmiare neuroni! Invece di occupare la memoria (molto volatile, nel mio caso) per tentare di memorizzare decine di password, basterà ricordare solo un algoritmo e saremo a posto per sempre.