Password complesse? Meglio le frasi, secondo l'FBI

Password complesse? Meglio le frasi, secondo l'FBI

L'FBI diffonde un comunicato in cui afferma che è meglio utilizzare frasi come password, piuttosto che password corte e complesse. Una questione di facilità di memorizzazione, ma anche di maggiore difficoltà nel craccare password lunghe

di pubblicata il , alle 18:21 nel canale Security
 

Il dibattito prosegue da qualche tempo nel mondo della sicurezza: è meglio utilizzare password corte ma complesse oppure password lunghe ma relativamente semplici? L'FBI si è schierata con questa seconda scuola di pensiero e raccomanda ufficialmente di utilizzare password composte da più parole (passphrase in inglese) anziché password brevi con numeri, maiuscole e simboli speciali.

Quale password scegliere? L'FBI raccomanda password semplici ma lunghe

Bisogna arrendersi all'evidenza dei fatti: password generate casualmente come 4&;{ohnFQr/U*H"3 sono impossibili da ricordare. Meno difficili in senso assoluto sono password come 4mpl1f1catore!2, ma resta la difficoltà di ricodarsi quale carattere era stato usato in quale posizione. Sta di fatto che UnaParolaChiaveLungaAPiacere ha un livello di entropia superiore a quello della password generata casualmente (93,51 bit contro 92,34 bit, secondo KeePassXC) ed è infinitamente più facile da ricordare.

Proprio la facilità di ricordare le passphrase, unita a un livello di sicurezza elevato, ha spinto l'FBI a consigliare ufficialmente l'adozione di password più lunghe al posto di altre più brevi ma più complesse. L'indicazione, mutuata dal NIST (National Institute for Standards and Technology), è quella di usare password di 15 caratteri o più senza particolari requisiti relativamente a maiuscole, numeri o caratteri speciali. L'elenco completo delle raccomandazioni è disponibile a questo indirizzo.

Ciò rientra perfettamente nel discorso di una maggiore semplificazione delle misure di sicurezza per facilitare il lavoro delle persone all'interno delle organizzazioni. È una tematica di cui si discute da diverso tempo ma che è ormai al centro dell'attenzione e parte di un più ampio discorso di revisione degli approcci alla sicurezza. Ne abbiamo parlato al TEISS London 2020.

Utilizzare password più lunghe ma facili da ricordare può aumentare significativamente la sicurezza all'interno delle aziende e su dispositivi e servizi personali. Come ricorda XKCD, "per vent'anni abbiamo insegnato con successo a tutti a utilizzare password che sono difficili da ricordare per gli umani ma facili da indovinare per i computer". È tempo di cambiare rotta.

49 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Yramrag25 Febbraio 2020, 18:51 #1
Hiei360025 Febbraio 2020, 18:51 #2
Adesso prendo l'intero testo di questo articolo e lo uso come password
zappy25 Febbraio 2020, 18:54 #3
Originariamente inviato da: Yramrag


quel sito è stato oggetto di data breach...
frank808525 Febbraio 2020, 19:05 #4
certo che se la gente si basa su questo consiglio siamo fot anche piu di quanto già lo siamo ora

puntualmente poi vanno a scegliere dati anagrafici o cose ricavabili semplicemente conoscendo la persona quindi ben che vada non mi serve neanche il dizionario

a peggiorare la gravità dell'articolo è questa parte:
sicurezza all'interno delle aziende


se per i server gli admin di turno si affidassero a questo veramente possiamo quasi spararci.

forse non è una coincidenza che FBI voglia diffondere queste falsità, dopotutto sono loro che godrebbero dall'inserimento di backdoor negli algo di crittografia
Piedone111325 Febbraio 2020, 19:34 #5
Originariamente inviato da: frank8085
certo che se la gente si basa su questo consiglio siamo fot anche piu di quanto già lo siamo ora

puntualmente poi vanno a scegliere dati anagrafici o cose ricavabili semplicemente conoscendo la persona quindi ben che vada non mi serve neanche il dizionario

a peggiorare la gravità dell'articolo è questa parte:

se per i server gli admin di turno si affidassero a questo veramente possiamo quasi spararci.

forse non è una coincidenza che FBI voglia diffondere queste falsità, dopotutto sono loro che godrebbero dall'inserimento di backdoor negli algo di crittografia


Frasi di senso compiuto come:
mi_piace_ricordare_la_mia_password
è molto più solida di ttr54tfg@vattelapesca
semplicemente perchè ha più dati.
Superata una certa lunghezza della password usare o meno caratteri speciali è ininfluente dato che per ora o scovano qualche bug nel sistema ( e quindi puoi usare qualsiasi password che è ininfluente), oppure dovranno rifarsi al brute force scansionando tutti i caratteri possibili.
Io da parte mia consiglio:
@(data importante nel formato numer-lettere-numero)(nome di un caro con iniziale maiuscola)(scadenza password num-lett-num)
Pe:
@13Novembre2020Pasquale31Aprile2020
Abbastanza lunga, presenza di caratteri speciali ( anche più di uno volendo per poter dividere i vari campi: @13Novembre020!Pasquale£31Aprile2020) , numeri, maiuscole minuscole e promemoria per cambiarla
massi4791125 Febbraio 2020, 19:49 #6
C'è da dire che moltissimi servizi ove il livello di sicurezza deve essere elevato (banche, spid ecc.) limitano la lunghezza delle password a 16 caratteri. Permettessero almeno 24 caratteri, in modo da compensare la semplicità delle parole...(ma dove sono finiti i cari, vecchi attacchi basati sul dizionario?)

Comunque keepass e passa la paura.
Erotavlas_turbo25 Febbraio 2020, 21:41 #7
I suggerimenti presenti nell'articolo sono corretti, tuttavia la scelta di una password robusta non mette al riparo da attacchi e fughe di dati di database dove le password sono salvate in chiaro senza hash.
La soluzione è di utilizzare, quando disponibile, l'autenticazione a due fattori 2FA in cui il secondo fattore non è SMS (insicuro attacco SS7), ma un autenticatore open source: andOTP (android), authenticator (iOS) e authenticator estensione (firefox, brave, chrome, etc.) link.
Infine, vista l'impossibilità di ricordare N password ad elevata entropia, meglio utilizzare un gestore di password open source come bitwarden o lockwise link.
essegi25 Febbraio 2020, 21:50 #8
a me vien da scrivere una frase che comincia per W e finisce per a ... ripetendola più volte perché è di 7 lettere...
ma forse la sceglieranno in molti...
jepessen26 Febbraio 2020, 09:13 #9
Quando devo creare delle password da ricordare a mente utilizzo principalmente due metodi.

Il primo e' quello della passphrase, ovvero prendo due/tre parole normali e le separo da caratteri speciali, prima e dopo, ad esempio

@telefono@casa@

Quando devo fare password corte, per qualsiasi motivo (tipo programmi del ca@@o che limitano la lunghezza delle password), prendo una frase di senso compiuto, oppure una rima di una canzone, e prendo la prima lettera di ogni parola, mettendo caratteri speciali prima e dopo (o quando finisce la riga nel caso delle canzoni), tipo

@qrdldc@ (quel ramo del lago di como)

Quando posso invece uso KeePass per gestire le password, che me le crea e me le gestisce tranquillamente, e devo solamente ricordare la master, che ovviamente e' robusta (e' del secondo tipo, con una frase piu' lunga).
YellowT26 Febbraio 2020, 09:17 #10
Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^