Contrordine, utenti di Internet, sulla password stiamo sbagliando tutto. E non mi riferisco a quelli che come password usano 1-2-3-4-5 o il proprio nome, o la data di nascita. Quelli sono dei pivelli, anche se errori così li abbiamo fatti tutti o quasi. Mi riferisco a quelli che si sentono bravi e che mascherano la password mescolando numeri e lettere, maiuscole e minuscoli, caratteri speciali e punteggiatura varia. Quelli che usano il 5 al posto della S, o il 3 al posto della E per fare due esempi banalissimi.
Lo fanno, o meglio lo facciamo, perché nel 2003 un esperto di sicurezza informatica del governo degli Stati Uniti, Bill Burr, che era stato programmatore di computer durante la guerra in Vietnam e che lavorava per il NIST, l’Istituto nazionale per gli standard tecnologici, pubblicò otto paginette sul tema della password perfetta (NIST Special Publication, 800-63, Appendix A).
Destinato ad agenzie federali, università e grandi aziende, il memo indicava due principi fondamentali. Il primo: cambiate la vostra password spesso e comunque con regolarità. Insomma se ancora oggi l’azienda per cui lavorate vi chiede di inventare una password nuova ogni tre mesi, non è colpa dell’azienda: la colpa è di Bill Burr. Il secondo principio era appunto di mascherare la vostra password preferita, cioé il nome scelto facile da ricordare, mascherarla sostituendo numeri e caratteri speciali ad alcune lettere.
Risultati nella lotta agli hacker? Modesti, va detto. Motivo per cui a giugno la nuova versione del documento, stavolta affidata a Paul Grassi, visto che Bill Burr ha 72 anni ed è pensionato, invece che procedere a un aggiustamento, lo ha stravolto (e il vecchio Burr ha fatto sapere di essere d'accordo). Non serve cambiare spesso la password, sostiene il nuovo memo, anzi, questo rende più difficile la vita di chi naviga, perché aumenta la possibilità di dimenticarla, sbagliarla più volte, vedersela azzerata e dover ricominciare daccapo il processo di autenticazione (forse dipende anche da questo se è stato calcolato che gli esseri umani ogni giorno sprecano, collettivamente, 1300 anni per inserire una password!).
Per chi vuole rubare la vostra identità digitale, invece, se cambiate un numero ogni tre mesi, non rendete certo più difficile il lavoro visto che il giochetto dei caratteri speciali al posto delle lettere lo conoscono tutti. La verità è che “ci abbiamo messo vent’anni di studi per avere delle password che gli umani fanno una grande fatica a ricordare, ma che i computer indovinano subito”. La frase è di Randall Munroe, un disegnatore di fumetti per nerd, che in uno studio ha calcolato che per indovinare una password composta da quattro parole a caso ci vogliono 550 anni; mentre una password con i caratteri speciali si cracca in tre giorni.
La password ideale è quindi una frase, o una successione di parole. Ma anche qui, senza esagerare. L’anno scorso un gruppo di hacker ha craccato il profilo Twitter e Pinterest di Mark Zuckerberg, il fondatore di Facebook. Così tutti hanno scoperto la password che usava. Dadada. Probabilmente le prime parole pronunciate dal figlio nato da poco.