Bill Burr, l’uomo che nel 2003 scrisse una guida per creare combinazioni sicure adottata poi per più di un decennio da agenzie federali e università, oggi dice: “Ho sbagliato tutto”. Meglio una frase lunga che un insieme di carattere speciali come punteggiatura o numeri
Secondo un ricercatore della Microsoft, Cormac Herley, l’umanità in un solo giorno trascorre l’equivalente di 1.300 anni digitando le proprie password. Peccato che, almeno dal 2003, potrebbe averle scelte male. A dirlo al Wall Street Journal è Bill Burr, l’uomo che 14 anni fa scrisse NIST Special Publication 800-63. Appendix A, una guida per creare password sicure che è diventata poi il riferimento di agenzie federali, università e aziende: “Ho sbagliato tutto”, dice oggi il 72enne, ex manager del National Institute of Standards and Technology in pensione.
Le frasi al posto dei caratteri speciali
Le regole suggerite da Burr 14 anni fa sono quelle che tutti conosciamo: cambiare spesso la password, usare caratteri speciali, maiuscole, numeri. Tuttavia oggi i consigli del NIST, che ha riscritto la pubblicazione 800-63, sono di usare frasi lunghe ma facili da ricordare e di cambiare la password solo quando c’è il sospetto che ci sia stata rubata. Come spiega Burr, è vero che molte persone si ricordano di cambiare i codici ogni 90 giorni, se non che li aggiornano da Pa55word!1 a Pa55word!2, ovvero apportano dei cambiamenti talmente minimi che risultano poi inutili.
550 anni per hackerare una frase
Secondo gli esperti, una frase composta da quattro parole è molto più difficile da hackerare rispetto a un insieme di caratteri particolari. Un esperimento degno di nota è quello del programmatore e fumettista Randall Munroe che ha calcolato che per indovinare la password “correct horse battery staple”, scritta come una sola parola, ci vorrebbero 550 anni. Di contro, il codice Tr0ub4dor&3 potrebbe essere violato in tre giorni.
Burr: “Non ho potuto avere riscontri reali”
Il problema principale di Burr, come spiega lui stesso, è stato che nel 2003 non gli fu permesso di basarsi su password reali. Provò ad avanzare la richiesta agli amministratori del NIST ma ricevette un secco rifiuto motivato da questioni di privacy: “Erano inorriditi dal solo fatto che l’avessi chiesto”, racconta Burr.
Il vestito di Lorrie Faith Cranor
Negli ultimi anni i grandi furti di milioni di password, come quelli a Yahoo! nel 2016, a MySpace nel 2013 e a LinkedIn nel 2012, hanno permesso ai ricercatori di capire meglio come i codici che usiamo resistono agli attacchi hacker: la conclusione a cui sono arrivati è che molto spesso pensiamo che le nostre passwod siano geniali, ma non lo sono perché tendiamo a gravitare sempre intorno alle stesse combinazioni. A dimostrarlo è stata Lorrie Faith Cranor, docente alla Carnegie Mellon University, che ha creato un vestito sul quale ha fatto stampare le 500 combinazioni più usate e lo ha indossato al un summit sulla cybersecurity alla Stanford University: “Tantissime persone mi guardavano e dicevano ‘Oh, meglio che vada a cambiare la password’”.