L’FBI raccomanda di preferire le passphrase alla complessità della password

login screen
Le password più lunghe, anche costituite da parole o costrutti più semplici, sono migliori delle password brevi con caratteri speciali.

 

Da oltre un decennio, gli esperti di sicurezza hanno discusso su quale sia il modo migliore di scegliere le password per gli account online.

C’è chi sostiene che sia meglio la complessità della password aggiungendo numeri, lettere maiuscole e caratteri speciali, e poi c’è l’altro campo, che ritiene che la lunghezza della password sia direttamente proporzionale alla sicurezza.

Questa settimana, nella sua rubrica settimanale di consulenza tecnica nota come Tech Tuesday, l’ufficio dell’FBI di Portland si è schierato per le password più lunghe.

“Invece di usare una password breve e complessa che è difficile da ricordare, considera l’utilizzo di una passphrase più lunga”, ha detto l’FBI .

“Ciò comporta la combinazione di più parole in una lunga stringa di almeno 15 caratteri”, ha aggiunto. “La lunghezza extra di una passphrase rende più difficile il crack e allo stesso tempo è più facile da ricordare.”

LE PASSPHRASE SONO PIÙ DIFFICILI DA DECIFRARE

L’idea alla base del consiglio dell’FBI è che una password più lunga, anche se si basa su parole più semplici e senza caratteri speciali, richiederà più tempo per decifrare e richiederà più risorse di calcolo. Anche se gli hacker rubano la tua password crittografata da una società compromessa, non avranno la potenza di elaborazione e il tempo necessari per decifrare la password.

La ricerca accademica pubblicata nel 2015 supporta questo argomento, spiegando che “l’effetto di aumentare la lunghezza sminuisce l’effetto di estendere l’alfabeto [aggiungendo complessità]”.

Il consiglio dell’FBI si rifà ad un webcomic XKCD che ha reso ampiamente noto agli utenti di Internet il concetto di passphrase-over-password (vedi figura 1).

password strength
Figura 1

Oggi ci sono servizi web che ti aiuteranno a generare passphrase in stile XKCD.

Esistono anche librerie open source che gli sviluppatori possono utilizzare per aggiungere una funzione passphrase di generazione automatica nelle loro app.

Inoltre, le raccomandazioni sulle password NIST emesse nel 2017 hanno anche sollecitato i siti Web e i servizi Web a contenere campi password più lunghi fino a 64 caratteri per lo stesso motivo, per consentire agli utenti di scegliere passphrase anziché password brevi.

La stessa linea guida NIST ha anche raccomandato di utilizzare passphrase su password quando possibile, una raccomandazione raccolta anche in un suggerimento di sicurezza DHS pubblicato a novembre 2019, spingendo anche gli utenti a provare le passphrase.  (es: CorrettoCavalloBatteriaBasilare!)

 

CONDIVIDI QUESTO ARTICOLO