Lo ha confessato l'autore del documento che le ha rese così diffuse: le usiamo tutti, spesso ci siamo costretti, ma non è detto che siano sicure

“La tua password deve contenere almeno una maiuscola, una minuscola, un numero e un simbolo”. Chiunque si è trovato almeno una volta nella vita davanti a una richiesta del genere nella creazione delle proprie credenziali di accesso al sito di home banking o all’account aziendale o al proprio social network preferito. La prassi di inserire nelle password elementi provenienti da un set di caratteri più variegato possibile è quasi ancestrale nel mondo di Internet, ma è stata resa popolare da un documento del 2003 che soltanto oggi, a quattordici anni dalla sua diffusione su larga scala, scopriamo aver fatto più danni che altro.

È il suo autore a dichiararlo nel corso di un’intervista con il Wall Street Journal: si chiama Bill Burr, ai tempi lavorava per il National Institute of Standards and Technology e ora, in pensione, ammette che quelle linee guida non hanno fatto altro che mandare in confusione gli utenti costringendoli a scegliere password stupide.

I principi alla base del documento pubblicato da Burr in realtà avevano e hanno ancora un certo senso: indovinare una password con elementi provenienti da un alfabeto di 26 lettere per un computer è un conto; aggiungere maiuscole, numeri e simboli al computo dei caratteri impiegabili rende il processo molto più difficile.

Il problema è che per noi esseri umani memorizzare password del genere è un problema, e che per renderle più semplici da ricordare facciamo in molti gli stessi errori. Intanto continuiamo a usare brevi parole di senso compiuto come base; poi, per soddisfare le richieste del sistema, posizioniamo le maiuscole in punti prevedibili e utilizziamo i numeri a inizio o fine password, oppure per sostituirli a lettere somiglianti dal punto di vista grafico (ad esempio mettendo un 3 al posto di una E). Quando poi si tratta di cambiarle — magari ogni 90 giorni — le manteniamo identiche per non doverne ricordare di nuove, modificandole quel tanto che basta per farle accettare dall’algoritmo di controllo.

Così non va, perché ogni attacco serio all’identità di qualcuno è in grado già da anni di immaginare le password dei proprietari sfruttando permutazioni del genere. In un certo senso dunque le linee guida di Burr (e la loro adozione massiccia da parte di siti, comunità e perfino piattaforme che della sicurezza dovrebbero fare un vanto) hanno generato attorno a questo tipo di codici un senso di sicurezza che oggi più che mai è mal riposto. La soluzione altri ricercatori la propongono da tempo: utilizzare passphrase, brevi frasi di senso non compiuto ma facili da ricordare per un essere umano; quattro o cinque parole che una accanto all’altra concorrono a formare una superpassword da 25-30 caratteri, che un computer impiegherebbe molto più tempo a indovinare rispetto a qualunque combinazione di 8.