Fastweb

Come creare password sicure con il diceware

WebAuthn Web & Digital #password #sicurezza WebAuthn approvato come standard, in futuro si navigherà senza password Un nuovo certificato di autenticazione potrebbe presto evitare l'utilizzo delle password per accedere ai nostri account
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Come creare password sicure con il diceware FASTWEB S.p.A.
Dadi
Web & Digital
Sono sufficienti un dado e una lista di parole brevi per ideare password complesse da indovinare ma facili da ricordare

La ribalta internazionale è arrivata grazie a Mira Modi, ragazzina undicenne di New York che cura un servizio di "assistenza" via posta (cartacea, non elettronica) al costo di appena due dollari. Per Modi è più che altro un gioco, ma grazie ai suoi dadi aiuta decine e decine di utenti in tutto il mondo a creare una password sicura e inattaccabile. O, per meglio dire, una passphrase sicura e inattaccabile grazie al diceware (da dice, dadi in inglese)

Che cos'è il diceware

Con la sua iniziativa – creare passphrase "manualmente" e inviarle via posta cartacea – Mira Mondi ha dato nuovo lustro al diceware, tecnica ideata nel 1995 da Arnold Reinhold che consente di creare passphrase (un insieme di parole che formano una breve frase non necessariamente di senso compiuto) sicure con le quali proteggere i propri account sul web o la rete Wi-Fi di casa.

 

Diceware

 

Il diceware è utilizzato per creare chiavi di crittografia difficili da "craccare" ed è basato sul principio della selezione casuale di elementi all'interno di una lista data (come, ad esempio, una lista di parole). Questa selezione permette di dare vita a passphrase facili da ricordare e resistenti ad attacchi di qualunque genere, hashcat incluso.

Come funziona il diceware

Per creare una chiave di crittografia con il diceware è necessario avere sottomano un dado da gioco (quelli a sei facce utilizzati, ad esempio, nel Gioco dell'oca o Monopoli) e un elenco di parole creato appositamente (qui è possibile consultare e scaricarne uno in inglese, ma è disponibile online anche la lista di parole Diceware in italiano, curata da Tarin Gamberini).

 

Un estratto della lista italiana per il diceware

 

In una lista per il diceware le parole sono precedute da un codice numerico di cinque cifre (tutte comprese tra 1 e 6) che le identifica univocamente. Tirando il dado per cinque volte si comporrà il codice di uno dei termini presenti nell'elenco diceware: per comporre la password "inattaccabile" è sufficiente ripetere questa operazione tante volte quante sono le parole necessarie a realizzare la propria frase segreta. Sta all'utente scegliere il numero di parole costituenti la passphrase personale: se si vuole una chiave di crittografia composta da cinque parole si dovrà tirare il dado per 25 volte (cinque volte a parola per cinque parole), mentre una password di sette parole richiede 35 lanci (cinque lanci a parola per sette termini da selezionare nella lista).

 

Dadi

 

Per facilitare i compiti mnemonici degli utenti, la lista di parole diceware è composta da termini brevi (media di 4,2 caratteri per parola, lunghezza massima sei caratteri) o da abbreviazioni e sigle. In questo modo ricordare la password sicura del router Wi-Fi sarà molto più semplice.

L'entropia delle password

A garantire l'inviolabilità quasi assoluta delle password scelte tramite diceware ci pensa l'entropia. Questo termine indica la misura dell'incertezza o della casualità di un sistema. In questo ambito, l'entropia serve a predire quanto sarà difficile per un hacker riuscire a indovinare una password anche conoscendo la tecnica utilizzata per scegliere o costruire la password stessa. Per scegliere una password sicura, dunque, sarà necessario adottare un metodo ad alta entropia, così da aumentare il grado di "incertezza" e "casualità" del sistema.

 

Diceware

 

Nel caso del diceware, l'entropia è di 12,9 bit per ogni parola di cui si compone la password. Per una passphrase di cinque parole l'entropia è di 64,5 bit (5*12,9), mentre per passphrase di otto parole l'entropia è di 103,2 bit (8*12,9) e così via. Con un vocabolario di 7.776 termini (tanti quelli inclusi nella lista delle parole diceware), è possibile creare 1,3*10^33 (13 seguito da 32 zeri) password differenti. Se, come sostiene Edward Snowden, i sistemi più avanzati sono in grado di predire fino a un trilione di password al secondo (un trilione equivale a 1.000 miliardi o 10 seguito da 11 zeri), vuol dire che un sistema protetto da un passphrase di otto parole saranno necessari circa 212 miliardi di anni prima di riuscire a indovinare la password. Secondo alcune valutazioni sull'evoluzione e gli sviluppi dell'informatica, una password composta da 8 parole dovrebbe essere inviolabile almeno fino al 2050.

Gli utilizzi delle passphrase e di diceware

Rispetto alle normali password, il metodo diceware è molto più sicuro e permette di alzare un muro invalicabile (o quasi) attorno alla nostra rete domestica e ai nostri profili personali. Non solo: le passphrase trovano applicazione in moltissimi altri campi legati al  mondo della crittografia e della sicurezza informatica.

Con il diceware, ad esempio, possono essere create password per PGP (Pretty good privacy), programma di crittografia che permette di proteggere i propri messaggi di posta elettronica e scambi di comunicazioni via Internet, oppure per programmi di crittazione dei dischi come PGPdisk ed Apple's FileVault. Con diceware, infine, si possono creare password da utilizzare come risposta alle domande di sicurezza per il recupero degli account.

Copyright © CULTUR-E

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #sicurezza informatica #password #crittografia

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.