Guida OTT alla creazione di una password complessa

È così comune ora, che lo facciamo tutti senza nemmeno pensarci: creare una password che abbia almeno x caratteri, abbia almeno un numero e un simbolo e non sia il tuo nome o cognome. Se sei al lavoro o stai creando un Apple ID, questi requisiti per una password "forte" sono ovunque.

Dopo aver creato una nuova password su un sito un giorno, ho iniziato a pensare a come erano diversi tutti i requisiti. Alcuni siti richiedono password non più brevi di 3 caratteri e alcune impongono un minimo di 8. Alcuni vogliono i simboli, altri no. Alcuni si preoccupano del tuo nome e delle password precedenti, altri no. Quindi quale password è veramente forte?

Ho fatto delle ricerche e ho scoperto due cose quando parli di qualcuno che "spezza" la tua password: in primo luogo, c'è la forza della tua password e in secondo luogo, c'è la forza della crittografia che blocca la password in termini privi di significato quando archiviata.

Ho subito capito che l'intero concetto di una password complessa è molto matematico e ci sono stati numerosi studi su questo argomento. Quello che ha attirato la mia attenzione e che menzionerò in questo post è uno studio Carnegie-Mellon del 2011.

Prima prova la tua password

Prima di entrare in una password complessa, vediamo quanto tempo ci vorrà per rompere la tua password presumibilmente forte. Per verificarlo, utilizzeremo uno strumento sul sito PassFault:

https://passfault.appspot.com/password_strength.html

Ecco come funziona. Si digita la password e si fa clic Analizzare. Ha due opzioni che sono nascoste di default, ma puoi fare clic su Mostra opzioni. Spieghiamo cosa significano.

L'hardware di crack ha come valore predefinito un attaccante di password 900 $, che sarebbe possibile per un hacker legittimo. Hanno anche la possibilità di scegliere un aggressore di password da $ 180.000, che il cinese potrebbe utilizzare se è così costoso. Il menu a discesa Protezione password offre alcune opzioni per il tipo di crittografia utilizzato per memorizzare la password. Microsoft Windows System è il più debole, nessuna sorpresa lì. Quindi disponi di Wireless WPA Access Point, UNIX SHA1, UNIX Blowfish e 100 round di SHA1.

Ho provato la mia password sicura che uso su un paio di siti e sono rimasto scioccato nel vedere che potrebbe essere rotto in 1 giorno!

Wow, è abbastanza brutto. Quindi ho scelto le opzioni di crittografia più potenti (Unix Blowfish e 100 round di SHA1) ed è stato più felice vedere che i risultati richiederebbero più di un giorno: 1 anno e 7 mesi per Unix Blowfish e 2 mesi e 2 giorni con 100 cicli di SHA1 . Tuttavia, con l'aggressore di password da $ 180.000, è stato ridotto a 11 giorni e 3 giorni, rispettivamente. Non accettabile ho pensato! Voglio che la mia password impieghi anni a decifrare anche con un cracker di password super costoso. Ma qual è il modo migliore dal momento che sto usando una password di 9 caratteri con numeri e un simbolo?

Cosa rende una password forte?

È qui che lo studio Carnegie-Mellon fa luce su tutto. Fondamentalmente ciò che hanno trovato è che più lunga è la password che usi, più è forte. Ciò non significa necessariamente che la password più lunga deve avere molti simboli o numeri, ma deve essere lunga. A 16 caratteri, tutto ciò che devi evitare è usare parole di dizionario super-facili.

Non sei convinto che sia possibile? Nel sito PassFault, utilizzare la seguente password, che è solo 15 caratteri e super facile da ricordare:

ilovemywifealot

Quindi, per le opzioni, scegli l'attacker password da $ 180.000 e scegli la crittografia più debole (Microsoft Windows) e questo è ciò che ottieni:

1 mese e 7 giorni! È meglio che la mia password venga crackata in 1 giorno. Allora, cosa c'è di sbagliato con la mia password? Bene, a quanto pare, se la tua password è più breve, allora devi usare più simboli, lettere casuali e numeri per rafforzarla. Se è più lungo, come da 15 a 16 caratteri, non devi preoccuparti di aggiungere tutti i tipi di numeri e simboli. Con una password più lunga, puoi persino usare più parole del dizionario e sarà comunque molto sicuro. Ovviamente una password come Ciao ciao ciao farebbe ancora schifo anche se ha 15 caratteri:

Fa schifo perché sarà nel dizionario ed è la stessa parola tre volte. Nella mia prima password in cui esprimo il mio amore a mia moglie, la frase inizia rapidamente a sembrare senza senso a un computer e nessun dizionario di cracking ha quella frase di 15 caratteri come una parola. I dizionari hanno le parole del dizionario, quindi se si evitano le parole dritte del dizionario, sarai pronto per andare. La mia password avrebbe potuto essere ancora migliore se avessi usato il nome di mia moglie o un soprannome per lei invece della parola "moglie". Ottieni l'idea?

Ovviamente, se puoi inserire un numero di simboli in una lunga password, la password diventa ancora più incredibilmente forte. Ad esempio, supponiamo di aver inserito un punto esclamativo davanti alla password di mia moglie e aggiunto un numero alla fine. Allora quanto tempo ci vorrebbe per rompere con le stesse opzioni:

Mucca sacra! Quindi è passato da 1 mese a 7 giorni ad un enorme 4 secoli e 1 decennio !!! Sì, secoli !! Questa è una password sicura e non è difficile da ricordare. Quindi controlla la tua password usando questo strumento online gratuito e se la tua password si incrina tra qualche giorno, potrebbe essere il momento di pensare a qualcosa di nuovo, specialmente per le tue informazioni sensibili come le password bancarie, ecc..

Ricorda, molti di questi siti online vengono hackerati continuamente, quindi la tua password non è mai sicura. Tuttavia, se si utilizza una password veramente forte, anche se la crittografia è molto debole, ci vorrebbe un'eternità per superarla! Se hai provato la tua password sul sito durante la lettura di questo post, facci sapere nei commenti quanto tempo ci vorrà per decifrarlo. Godere!