Quanto lunga dovrebbe essere la password perfetta? Stai facendo la domanda sbagliata
Qual è la lunghezza ideale per una password perfetta? Non stai ponendo la domanda giusta
Una password più lunga è più sicura. È solo buon senso, giusto? Aumentare la lunghezza di una password significa che ci sono più combinazioni disponibili. Ciò significa a sua volta che un attacco di forza bruta, in cui qualcuno utilizza un sistema automatizzato per provare ogni combinazione nel tentativo di violare il codice, richiederà più tempo.
Inoltre: I migliori gestori di password
Gli esperti di sicurezza concordano generalmente sul fatto che una password di otto caratteri sia troppo facile da violare con l’aiuto di hardware facilmente disponibile come la GPU in un PC da gioco. Utilizzando ad esempio un Nvidia RTX 4090, Hive Systems ha calcolato che ci vorrebbe meno di un’ora per provare tutte le possibili combinazioni di otto caratteri tra lettere (maiuscole e minuscole), numeri e simboli. Questo è il doppio della velocità di una scheda grafica mainstream di due anni fa, un altro esempio della Legge di Moore in azione.
Quindi, se otto caratteri sono troppo pochi, quanto lunga dovrebbe essere una password abbastanza sicura? Esiste un numero magico? Gli esperti di sicurezza non sono d’accordo sul numero esatto, come ho scoperto in una rassegna di raccomandazioni pubblicate da una vasta gamma di fonti. Ma hanno raggiunto un ampio consenso: almeno 12 caratteri, ma più è meglio. E forse una passphrase composta da quattro o più parole casuali è il migliore in assoluto.
Inoltre: Cosa sono i passkeys? Scopri la magia che cambia la vita di non avere password
- Il crollo di Pebble La chiusura di un amichevole sostituto di Twitter
- Le centrali solari nello spazio sono economicamente sostenibili, co...
- Attrarre talenti e abbattere i silos sono due delle sfide principal...
Tutti gli esperti intervistati sono concordi sul fatto che aumentare la lunghezza di una password sia molto più importante che aggiungere requisiti di complessità, come l’obbligo di utilizzare numeri, lettere e simboli. Ma ancora più importante è assicurarsi che la password sia veramente casuale. Aggiungi tutti questi elementi insieme e otterrai una misura chiamata entropia, che misura la difficoltà di indovinare una password.
Un attaccante che può fare ipotesi educated avrà facilmente la meglio su una password a bassa entropia basata sul nome del tuo cane e l’anno in cui sei nato; una password veramente casuale assegnata da un gestore di password è molto più difficile da violare.
Ma quanto lunga dovrebbe essere?
In un articolo sul sito dell’Infosec Institute, Daniel Brecht esamina “Password security: Complexity vs. length,” e sostiene che 12 caratteri siano un buon punto di partenza:
Le password di breve lunghezza sono relativamente facili da violare, quindi l’idea è crearne di più lunghe per una maggiore sicurezza e per renderle meno prevedibili. Quindi quale è la lunghezza desiderata o richiesta? Uno studio del 2010 dell’Istituto di Ricerca della Georgia Tech (GTRI) ha spiegato come una password casuale di 12 caratteri potesse soddisfare un requisito minimo di lunghezza per sconfiggere il cracking di codici e software, ha detto Joshua Davis, un ricercatore presso GTRI. Richard Boyd, un ricercatore senior presso GTRI, afferma: “Le password di otto caratteri non sono più sufficienti… e se si limitano i caratteri solo alle lettere dell’alfabeto, possono essere violate in pochi minuti.” In ogni caso, per essere dalla parte della sicurezza, dovrebbe essere adottata una lunghezza di password di 12 caratteri o più.
Gli sviluppatori di alcuni popolari gestori di password concordano in linea di principio. Nel Bitwarden Blog, ad esempio, la risposta è autorevole e punteggiata da un punto esclamativo reale: “Rendi la tua password di 14 a 16 caratteri o più!”
Questo non è solo un consiglio casuale. Il consiglio di Bitwarden deriva da una pubblicazione dell’Istituto Nazionale di Standard e Tecnologia (NIST), NIST SP 800-63B – Digital Identity Guidelines, che afferma: “Gli utenti dovrebbero essere incoraggiati a fare le proprie password della lunghezza che desiderano, entro ragione. Poiché la dimensione di una password criptata è indipendente dalla sua lunghezza, non vi è motivo di non consentire l’uso di password (o passphrase) lunghe se l’utente desidera.”
Inoltre: I migliori servizi VPN: testati ed esaminati dagli esperti
Nel frattempo, il concorrente 1Password ha una visione simile nel loro post sul blog, che afferma con sicurezza: “Così lunghe dovrebbero essere le tue password”: “La lunghezza predefinita delle password generate da 1Password è di 19 o 20 caratteri, a seconda della versione. Ma in realtà è eccessiva! Quando una password viene generata correttamente, 11-15 caratteri offriranno una protezione più che sufficiente per l’utente comune.”
Il team di NordPass affronta la questione con calcoli matematici, concludendo che “idealmente la password sicura dovrebbe essere lunga almeno 12 caratteri… Se vuoi essere davvero al sicuro nel futuro, 16 caratteri sono la lunghezza migliore e più realistica su cui puoi contare, ma più è meglio.”
In effetti, questo ampio consenso è arrivato anche a Windows, dove un articolo di supporto di Microsoft “Creazione e utilizzo di password sicure” include queste raccomandazioni di base per le password:
- Almeno 12 caratteri di lunghezza, ma meglio se 14 o più.
- Una combinazione di lettere maiuscole, lettere minuscole, numeri e simboli.
- Né una parola che si possa trovare in un dizionario, né il nome di una persona, personaggio, prodotto o organizzazione.
- Significativamente diversa dalle tue password precedenti.
Gli esperti concentrati sulla privacy di Proton (Creatori di Proton Mail) sostengono che una password composta da 15 caratteri generata casualmente da un gestore di password dovrebbe essere “fuori dalla portata delle capacità di calcolo moderne.”
Inoltre: Sicurezza di Windows: come proteggere i tuoi PC domestici e le piccole aziende
O forse non dovresti usare affatto una password, concludono: “Se vuoi creare una password sicura usando una serie di parole (una ‘frase di accesso’), la maggior parte delle società di sicurezza consiglia di utilizzare almeno quattro parole non comuni. Tuttavia, più persone passeranno alle frasi di accesso, più i pirati informatici diventeranno bravi nel craccarle.”
Forse non dovresti preoccuparti di quante lettere ci sono nella tua password. Forse la vera domanda è quante parole ci sono nella tua frase di accesso. Semplicemente, non utilizzare “correct horse battery staple.” È già stata scelta quella.
