Le password possono essere un metodo di autenticazione per garantire l’accesso protetto.
La prima caratteristica di una password è la segretezza, e cioè il fatto che non venga svelata ad altri soggetti. La divulgazione delle proprie password o la trascuratezza nella loro conservazione può causare gravi danni.
Nel tempo anche la password più sicura perde la sua segretezza. Per questo motivo è buona norma cambiarle con una certa frequenza.
Altra buona norma è quella di non memorizzare la password su supporti facilmente intercettabili da altre persone. Il miglior luogo in cui conservare una password è la propria memoria.
Per una corretta e sicura gestione delle proprie password si consiglia di rispettare le regole seguenti:
Le password sono assolutamente personali e non vanno mai comunicate ad altri;
Occorre cambiare immediatamente una password non appena si abbia alcun dubbio che sia diventata poco “sicura”;
Le password devono essere lunghe almeno 8 caratteri e devono utilizzare una combinazione di caratteri alfanumerici e simboli. Deve contenere almeno una lettera maiuscola, una lettera minuscola, un carattere speciale ed un numero;
Le password non devono essere memorizzate su alcun tipo di supporto cartaceo;
Le password devono essere sostituite periodicamente, a prescindere dall’esistenza di un sistema automatico di richiesta di aggiornamento password;
Evitare di digitare la propria password in presenza di altri soggetti che possano vederne la digitazione;
In alcuni casi, sono implementati meccanismi che consentono un numero limitato di tentativi errati di inserimento della password oltre ai quali il tentativo di accesso viene considerato un attacco al sistema e l’account viene bloccato per alcuni minuti.
La password ideale deve essere complessa, senza alcun riferimento, ma facile da ricordare. Una possibile tecnica è usare sequenze di caratteri prive di senso evidente, ma con singoli caratteri che formano una frase facile da memorizzare (es.: “NIMzz5DICmm!”, Nel Mezzo Del Cammin, più il carattere 5 e il punto esclamativo). Decifrare una parola come questa può richiedere giorni.
Si sconsiglia di utilizzare come propria password:
Password predefinite (fornite dal sistema e destinate ad essere modificate);
Username o indirizzo email o qualunque parola riconducibile all’interessato;
Una qualunque parola presente nel dizionario di qualsiasi lingua;
Parole comuni anche se seguite da numeri o al contrario
Una sola combinazione di caratteri (solo lettere o numeri o caratteri speciali);
Date personali o di eventi storici;
Ripetizioni di sequenze di caratteri (es. abcabcabc) o parole (es ciaociao);
Parole derivate da righe della tastiera (qwerty,asdf,…);
Una password già impiegata in precedenza;
È sconsigliabile utilizzare anagrammi o combinazioni delle parole esistenti in qualsiasi lingua;
Sostituzioni di caratteri di tipi “Leet”. Il leet è una forma codificata caratterizzata dall’uso di caratteri non alfabetici al posto delle normali lettere (scelte per la semplice somiglianza nel tratto) o piccoli cambi fonetici.
La forza di una password è specificata dal suo grado di entropia. L’entropia di una stringa binaria è data dal logaritmo in base 2 dell’effettiva lunghezza in bit. Attualmente il limite fisico riconosciuto è che non c’è abbastanza tempo utile a disposizione per la decrittazione di chiavi maggiori o uguali a 256 bit tramite un attacco di brute force.
Il numero minimo di bit di entropia necessari a rendere una password quantomeno inviolabile, dipende anche dal tipo di minaccia.
Tabella indicativa per il calcolo del tempo impiegato nella decrittazione (fonte Wikipedia).
Lunghezza della password | Maiuscolo | Minuscolo e cifre | Maiuscolo e minuscolo | Tutto ASCII |
| <= 4 | immediato | immediato | immediato | 2 minuti |
| 5 | immediato | 2 minuti | 12 minuti | 4 ore |
| 6 | 10 minuti | 72 minuti | 10 ore | 18 giorni |
| 7 | 4 ore | 43 ore | 23 giorni | 4 anni |
| 8 | 4 giorni | 65 giorni | 3 anni | 463 anni |
| 9 | 4 mesi | 6 anni | 178 anni | 444530 anni |
