Password sicure senza simboli e numeri: parola di Bill Burr

Bill Burr ci ripensa in materia di password: ora devono essere diverse e complicare la vita agli hacker

Bill Burr fu incaricato di scrivere una relazione per il National Institute of Standards and Technology statunitense (NIST) nel 2003, in cui si raccomandava sulle misure di sicurezza più efficaci per creare una password inviolabile. Ora, quattordici anni dopo, ritorna sui suoi passi e smentisce sé stesso. 

Creare una password sicura, oggi, è di solito un calvario. Deve avere numeri, lettere, maiuscole e minuscole. In un’intervista con il Wall Street Journal, è lo stesso Burr a riconoscere lo sbaglio di quanto era nel suo pensiero nel 2003: la misura più efficace per mantenere il nostro account protetto erano password particolari. Ma, in realtà, non è affatto così. E la ragione è semplice: non importa se si richiedano lettere maiuscole e minuscole, numeri e caratteri speciali. Gli utenti continuano a creare password non sicure. Un buon esempio è che molte persone usano password come “C0n7raseñ@$”, magari riferendosi al proprio nome e cognome scritto in modo particolare, o il nome del proprio cane, pensando di essere al sicuro.

Ora, per la sua relazione “NIST Special Publication 800-63. Appendice A”, Burr dice:

Mi dispiace molto di ciò che ho fatto e detto allora. [Questo tipo di regole] fa diventare pazza solo le persone e non importa quello che fai o si chieda loro, continuano a scegliere password cattive“.

Password non sicure

Lo scorso giugno, il rapporto è stato aggiornato e ora, invece di richiedere quel mix di simboli e lettere, si raccomanda l’uso di frasi composte da più parole e che siano facili da ricordare per l’utente. Questo, infatti, risulta molto più difficile da indovinare per un hacker o un software.

Per quanto riguarda la raccomandazione di modificare la password almeno una volta ogni 90 giorni, anche lo stesso Burr e NIST ritengono sia prassi abbastanza obsoleta e inutile. Quindi, è bene ricordare, la prossima volta che si crea una password, di non usare il vostro nome composto di lettere strane ma di abbinarlo magari ad una frase.