Quali sono le regole per le password e come seguirle in sicurezza?
Esistono molte linee guida e buone pratiche che possono aiutarti a creare una password migliore. Tuttavia, un gruppo di ricerca della Carnegie Mellon University, guidato dalla professoressa Lorrie Cranor, sta sfidando e ridefinendo alcuni di essi.
Il team della signora Cranor ha sviluppato un misuratore di sicurezza delle password, simile a quelli impiegati oggi da un gran numero di siti web. Tuttavia, Cranor sostiene che quelle attuali implementazioni hanno regole in atto ma non le applicano in modo significativo. Ad esempio, la lunghezza della password e una combinazione di lettere, numeri e simboli potrebbero essere un requisito. Tuttavia, una password come "$ chrys4nth3mum $" potrebbe selezionare tutte le caselle richieste su un correttore di password corrente ed essere ancora piuttosto debole.
Cosa fa il misuratore?
Il misuratore di Cranor è dotato di un algoritmo di suggerimenti che può offrire alternative alle password mentre gli utenti le digitano e tenta di insegnarle e aiutarli a capire perché semplicemente inserire un '1' alla fine di una parola normale che usi come password non è una buona cosa idea. Allo stesso modo, mescolare lettere maiuscole e maiuscole nella stessa stringa dovrebbe essere qualcosa di più che mettere in maiuscolo la prima lettera di una parola che usi nella password.
Il laboratorio di sicurezza dell'università, sotto la supervisione di Cranor, ha condotto test utilizzando un numero di partecipanti che hanno creato le proprie password utilizzando i suggerimenti forniti dal misuratore di sicurezza. Agli utenti è stata assegnata un'unica regola fissa: creare una password di almeno 10 caratteri. Da questo momento in poi, l'algoritmo del contatore ha iniziato a offrire suggerimenti dinamici per migliorare dinamicamente le password digitate.
Cosa puoi imparare dal misuratore?
Sebbene il misuratore sviluppato dal team di Cranor non sia stato ancora implementato in nessun servizio live, gli utenti regolari possono imparare molto da esso. È importante ricordare che usare una qualsiasi parola del dizionario normale come password e mettere semplicemente una lettera davanti e un simbolo sul retro della stringa non è una grande idea.
La forzatura bruta delle password si basa spesso su dizionari preimpostati e l'attuale potenza di calcolo consente a uno strumento di forza bruta di eseguire quantità assurdamente elevate di tentativi di forza bruta ogni secondo.
Inoltre, è importante intervallare simboli e numeri tra la stringa della password e non solo raggrupparli in un'estremità della stringa.
