Quando proteggi un sistema o i tuoi account online, impostare una password forte è la cosa più importante che puoi fare. Ma cosa è più sicuro: una password di caratteri apparentemente casuali o una passphrase composta da diverse parole non correlate?
Questo articolo spiega quale dovresti usare e quando. Per cominciare, però, vediamo cosa significa passphrase.
- Cosa significa passphrase?
- Il problema della memoria
- Aggiungere casualità
- Passphrase vs. password: quale dovresti usare?
Cosa significa passphrase?
Quando ti identifichi per accedere a un account online o a un file, di solito utilizzi una password di qualche tipo. Potresti anche scegliere di usare una passphrase. Una passphrase è una sequenza di quattro o più parole, con ogni parola della frase di almeno quattro lettere. Gli spazi non sono necessari, quindi puoi avere una passphrase che sembra tavolo sedia libro candela o tavolosedialibrocandela.
Nella funzione, le passphrase sono uguali alle password, ma si differenziano in modi importanti. La prima e più evidente differenza è la lunghezza. Mentre le password dovrebbero essere lunghe almeno 15 caratteri, le passphrase, per loro natura, saranno di solito lunghe almeno 20 caratteri.
Questo rappresenta un vantaggio enorme. L’entropia della password — la misura della difficoltà di una password — aumenta con la lunghezza. Anche se più lunga non significa necessariamente più sicura, cosa di cui parleremo più avanti, usare una passphrase è un modo semplice per rendere una password più forte senza troppi problemi.
Nonostante siano più lunghe, tuttavia, le passphrase sono molto più facili da ricordare. Ad esempio, la passphrase tavolo sedia libro candela menzionata prima è un semplice strumento mnemonico, un modo per richiamare la memoria. Ti siedi al tavolo su una sedia leggendo un libro alla luce di una candela. Anche se è molto più lunga della password media, è molto più facile da ricordare.
Il problema della memoria
Le passphrase risolvono un grande svantaggio delle password, che sono difficili da ricordare se sono anche minimamente sicure. Mentre una parola breve (come il nome del tuo animale domestico e l’anno di nascita) può essere facile da memorizzare, è anche estremamente facile da violare attraverso attacchi dizionario(nuova finestra), dove il software dell’attaccante “indovina” la tua password eseguendo combinazioni note di parole.
Per risolvere questo problema devi aggiungere caratteri speciali alle password, motivo per cui le piattaforme online spesso ti chiedono di inserire numeri e caratteri speciali quando crei il tuo account. Aggiungendo numeri, lettere maiuscole e caratteri speciali, stai deviando gli attacchi dizionario, e quanto più rendi una password apparentemente casuale, tanto più sarà difficile indovinarla.
Ad esempio, se decidi di usare la parola aardvark come password, dovresti renderla più difficile da indovinare aggiungendo numeri, magari sostituendo le A con il numero quattro, quindi 44rdv4rk. Per aggiungere un po’ di casualità, potresti decidere di non modificare la prima A e magari renderla maiuscola, per buona misura, trasformandola in A4rdv4rk. Poi, aggiungi alcuni simboli per renderla davvero strana, così finisci con #A4rdv@rk!
Questo sembra tutto bene e aggiunge una bella casualità alla parola, ma hai appena trasformato il problema in uno di memoria, non di sicurezza. Se ti iscrivi ora, dimentichi quell’account e poi provi ad accedere un mese o due dopo, avrai difficoltà a ricordare quali lettere hai sostituito e come. (Scrivere le password su un quaderno di solito non è una buona idea per molti motivi.)
Mentre il tuo cervello probabilmente ricorda “aardvark” senza problemi, tutto il resto è troppo casuale per essere ricordato correttamente. Inoltre, poiché non dovresti mai riutilizzare le password, questa è solo una delle decine che dovrai ricordare.
Questa tensione tra sicurezza e memoria è stata riassunta al meglio dal fumettista Randall Munroe, autore del fumetto a tema scientifico XKCD(nuova finestra):
Sembra chiaro, quindi, che le passphrase sono migliori delle password. Tuttavia, questo argomento si basa fortemente sulla memoria umana come premessa. Vediamo cosa succede se togliamo questo fattore dall’equazione.
Aggiungere casualità
Le passphrase sono più facili da ricordare e, in virtù di essere più lunghe (cioè, avere più entropia), sono più sicure delle password corte. Tuttavia, questa non è tutta la storia. Come abbiamo discusso, il punto debole è la memoria umana; cosa succederebbe se la sostituissimo con la memoria di un computer?
Entra in gioco i gestori di password, programmi che memorizzano le password per te e le compilano automaticamente ovunque ne hai bisogno mentre navighi su internet. Rendono la vita molto più facile compilando automaticamente le password ovunque tu vada, ma, più importantemente, aggiungono anche molta sicurezza generando e ricordando per te password lunghe e complesse.
Ad esempio, se stai usando il nostro gestore di password, Proton Pass, ogni volta che crei un nuovo account su un sito, l’estensione del browser Pass offrirà di creare e memorizzare la password per te. Dove normalmente faresti qualcosa come il nostro “aardvark” di prima o una combinazione della tua città natale e data di nascita, la password di Proton Pass sarà qualcosa come rZa;8g=6^P”kL*3 che è impossibile da ricordare per la maggior parte delle persone.
Questo tipo di password con oltre 15 caratteri sarà praticamente impossibile da forzare con attacchi brute force, e non avrai bisogno di ricordarla. Finché hai un gestore di password e lo usi per creare password lunghe e complesse, il dibattito tra password e passphrase diventa irrilevante. Il tuo account è protetto.
Ma come fare a proteggere il tuo gestore di password stesso? Una password casuale sarebbe ottima ma difficile da ricordare. Qui è dove torna in gioco una passphrase: una passphrase come tavolo sedia libro candela andrà benissimo.
Passphrase contro password: quale dovresti usare?
Riassumendo quanto abbiamo trattato: se confronti una frase segreta con una password veramente casuale, la password è l’opzione migliore e più sicura. Il problema è la memoria umana. L’unico modo per ricordare una password casuale è utilizzare un gestore di password, che a sua volta puoi proteggere con una frase segreta molto più facile da ricordare.
Naturalmente, in questo caso devi anche assicurarti che il gestore di password sia sicuro, privato e facile da usare. Abbiamo sviluppato Proton Pass con questi obiettivi in mente. Utilizza la crittografia end-to-end per mantenere i tuoi dati al sicuro e beneficia anche delle leggi svizzere sulla privacy che rendono facile mantenere private le tue informazioni personali.
Inoltre, offre anche vantaggi più diretti, come l’autenticazione a due fattori, che aggiunge un ulteriore passaggio di autenticazione nel caso in cui la tua password venga compromessa in qualche modo. (Ricorda, una buona password protegge dagli attacchi brute force, non dal phishing in cui un attaccante ti inganna per farti rivelare la tua password.)
In aggiunta, la missione di Proton è rendere private per impostazione predefinita le tue email, file, password e altri dati. I tuoi accessi e indirizzi email personali in particolare fanno parte della tua identità digitale, che vale la pena proteggere allo stesso modo in cui proteggi il tuo passaporto o i numeri di identificazione. Proton Pass offre alias hide-my-email in aggiunta alla sicura memorizzazione delle password per offrirti ulteriore privacy.
Se tutto ciò ti sembra interessante, puoi iscriverti gratuitamente a Proton Pass e unirti alla lotta per un internet migliore.