News Ticker

Servono password complicate? No: l'inventore chiede scusa

NISTMolto spesso, quando registriamo un nuovo account per un sito o un sistema, dobbiamo lottare con delle regole per una password complicata: maiuscole, minuscole, numeri, caratteri speciali, punteggiatura, evitare parole complete... Le varianti sono moltissime, tanto che inventarci e ricordarci le password è sempre più un vero e proprio problema. E come se non bastasse, le best practice prevedono che si passi da quell'inferno piuttosto spesso, al massimo ogni 90 giorni, per ogni password faticosamente creata... Chi ha stabilito le regole? E sono davvero necessarie?

Tutto nasce nei primi anni 2000: con il crescere e diffondersi di internet, e con l'uso sempre più diffuso dell'accoppiata user/password per identificare un utente, nasce l'esigenza di linee guida per garantire - o almeno suggerire un metodo per - la sicurezza. Il NIST (ente per la standardizzazione americano) decise di scrivere quelle linee guida, pubblicate nel 2003, e che sono diventate lo standard delle regole per le password.

William E. Burr (per gli amici Bill), ora in pensione, racconta in un'intervista di quegli avvenimenti: fu proprio lui a stilare quel documento. E dichiara di pentirsene: quelle regole non aiutavano a creare password sicure, ma in compenso creava password difficili da ricordare. Forse il fatto che Bill fosse un esperto dell'argomento, e men che meno di sicurezza nei sistemi informatici, non aiutò.
Il NIST, nelle ultime versioni del documento, ha rivisto la posizione ed adesso afferma che (sempre informaticamente parlando) sono molto meglio password lunghe (anche facili da ricordare) rispetto a quelle corte e complicate. Quasi 15 anni dopo, ma meglio tardi che mai.

Ah, volete sapere anche perché sono meglio? La classica vignetta di xkdc lo spiegherà bene!

Allora, state già cambiando le vostre password? 🙂