Complessità delle password per utenti non tecnici
Post di Fennel Aurora
Non pensare alla complessità delle password
In quanto utente non tecnico, non devi pensare alla complessità della password.
Davvero, dimentica tutto ciò che potresti aver sentito su password complesse e su come crearle.
Come utente, c’è solo una cosa che devi sapere sulle password: come utilizzare un password manager.
Perché? Perché anche l’essere umano più tecnicamente consapevole non potrà mai creare e ricordare buone password. Un password manager elimina il problema.
Per decenni, esperti ben intenzionati che insegnano agli utenti consumer i trucchi per rendere sicure le password stavano cercando di risolvere il problema sbagliato, in parte perché i password manager di 20 o 10 anni fa non erano facili da usare.
Oggi molti password manager, incluso quello di F-Secure, sono estremamente facili da usare.
Come utente, hai tutte le tue password disponibili su qualsiasi dispositivo che stai utilizzando, pronte per la compilazione automatica in qualsiasi modulo di accesso con un click.
Puoi creare una nuova password unica e robusta per ogni servizio con un click, senza mai dover ricordare nulla.
E hai la tranquillità di sapere che le tue password sono salvate su più dispositivi.
L’uso di password manager è molto più semplice e molto più sicuro di qualsiasi cosa tu possa fare oggi con le tue password.
Davvero, non dovresti pensare alla complessità della password, dovresti semplicemente usare un password manager e dimenticartene.
Cos’è la complessità?
Dunque, non dovresti pensare alla complessità della password, a meno che non trovi interessante l’argomento – quindi per i curiosi e i coraggiosi, tuffiamoci in un po’ di teoria dell’informazione!
Tutta la scienza richiede definizioni precise, quindi cosa intendiamo quando parliamo di complessità della password?
La complessità è un concetto tecnico di un’area della matematica chiamata teoria dell’informazione, che è una scienza inventata nel 1948 da Claude Shannon e ancora oggi molto importante in una vasta gamma di argomenti dalla genetica alla fisica termica, dalla linguistica allo sviluppo del software.
Fondamentalmente la complessità è una misura di quanto sia casuale qualcosa. Nella teoria dell’informazione, l’idea di “casuale” ha un significato molto preciso, che è leggermente diverso dalla nostra intuizione umana o dal modo in cui la parola viene utilizzata nel linguaggio quotidiano. In effetti, il significato è così preciso che normalmente i matematici non parlano di quanto “casuale” sia qualcosa, parlano della quantità di “entropia di informazioni” che ha.
Possiamo pensare all’entropia delle informazioni come all’idea di quanto siano comprimibili le informazioni.
Hai mai visto un film e dopo aver pensato che gli ultimi 30 minuti non hanno aggiunto nulla? Hai mai letto uno di quei libri di gestione o di auto-aiuto prodotti in serie e in seguito hai pensato che avrebbero potuto scrivere l’intero libro in una sola pagina – tutto il resto era solo una ripetizione? Hai mai giocato a un videogioco e ti sei annoiato dopo un po’ perché si ripetono sempre le stesse avventure e mostri? Hai mai pensato “tutte queste canzoni suonano allo stesso modo”?
Questi sono tutti esempi di cose che possiamo considerare comprimibili: potresti ottenere le stesse informazioni in un tempo più breve o in un prodotto più piccolo. In termini di teoria dell’informazione, l’entropia informativa di questi prodotti è bassa.
Casuale in questo mondo matematico significa solo che l’entropia dell’informazione è più elevata possibile. Non è possibile ridurre il film, il libro o il gioco mantenendo tutte le informazioni.
Perché la complessità è importante per le password?
Questa idea di complessità, o entropia delle informazioni, è importante per le password perché i malintenzionati cercano di hackerare tutti i nostri account. In generale, lo stanno facendo in massa, utilizzando un software automatizzato.
Come funziona? I “cattivi” hanno un software per fare due tipi di cose.
Il primo è un software per provare molte password diverse in un modulo di accesso, cercando quella che funziona. Pensalo come uno scassinatore che arriva alla tua porta e prova milioni e milioni di chiavi diverse nella tua serratura fino a quando pochi secondi dopo uno di loro apre la tua porta. Il software è veloce.
Questo approccio “prova chiavi diverse fino a quando non funziona” è, ad esempio, uno dei componenti chiave di Mirai, un malware per dispositivi IoT e router domestici che è riuscito a spegnere Internet nell’intero paese della Liberia nel 2016.
Il secondo è un software per provare molte password diverse per vedere se crittografano (hash) con la stessa password crittografata (con hash) che vedono in un database di password che hanno rubato come parte di un’altra operazione di hacking. Pensala come una banda di rapinatori di banche che torna a casa e prova centinaia di miliardi di combinazioni diverse sui milioni di casseforti che ha appena rubato, finchè poche ore dopo ben oltre la metà di quei milioni di casseforti vengono aperte. Ancora una volta, il software è veloce!
Questo è uno dei passaggi chiave dietro il furto di identità e casi di acquisizione di account di cui si parla nelle notizie.
Entrambi i tipi di software utilizzati dai “cattivi” sono forme di quelli che chiamiamo attacchi a “forza bruta”, sebbene il primo esempio sia anche normalmente chiamato “credential stuffing”.
Come sempre, la realtà è più complicata e intelligente di quanto suggerisce il nome “forza bruta”. Nella loro forma più pura, gli attacchi a forza bruta sono come quello che facciamo quando dimentichiamo il codice per il nostro lucchetto della valigia – proviamo ogni numero: 0000, 0001, 0002, 0003, 0004, fino a quando non si apre. Nel peggiore dei casi dovremo fare diecimila tentativi e ci vorranno alcune ore – in media dovremo fare cinquemila tentativi che richiedono ancora un paio d’ore.
In realtà, proveremo prima i numeri probabili (ad esempio 1234, i compleanni dei familiari, ecc.), quindi le variazioni plausibili (ad esempio 1 in più o 1 in meno) su quei codici probabili, prima di sederci davvero per fare alcune ore di insensati tentativi 1 per 1.
I software di brute forcing delle password fanno la stessa cosa. Contengono dizionari che vengono provati per primi. I dizionari possono essere ciò che tu o io pensiamo come dizionari, ad es. tutte le parole più comuni nelle lingue inglese, spagnolo, cinese mandarino, hindi, arabo o russo (iniziamo sempre con le lingue più utilizzate / probabili).
I dizionari possono anche essere specializzati per l’attività, ad esempio un dizionario dei primi 10 milioni di password visti in tutti i precedenti database di password rubate o un dizionario dei nomi più popolari in tutto il mondo, nomi di aziende e nomi di squadre di calcio (queste sono cose comuni che le persone usano nelle loro password).
Allo stesso modo per le variazioni: il software di brute forcing delle password sa anche provare a sostituire la lettera “o” con il numero “0” e tutti i trucchi simili che ci sono stati insegnati. E il software può provare tutte le diverse versioni a rotta di collo. Il software può anche combinare 2 o 3 parole del dizionario insieme a trucchi di sostituzione, e ha regole intelligenti per decidere quali combinazioni provare per prime, in base a ciò che sappiamo delle password del mondo reale che la maggior parte degli utenti crea.
Le persone non sono casuali
In altre parole, tutta questa musica suona allo stesso modo! La maggior parte delle password sono molto prevedibili. Essere prevedibili significa che i malintenzionati possono prendere scorciatoie, non devono provare ogni possibile caso per trovare il tuo. In termini di teoria dell’informazione, la maggior parte delle password ha un’entropia di informazioni bassa – non sono (nemmeno vicine all’essere) casuali.
C’è una buona ragione per questo: gli umani sono davvero pessimi nel creare schemi casuali. In effetti, siamo così pessimi che i matematici possono facilmente vincere soldi scommettendo su quale prossima testa o coda “casuali” diremo. La maggior parte delle persone rimuoverà il 77% delle possibili informazioni sull’entropia prima ancora di iniziare perché la nostra intuizione pensa che qualcosa come “testa testa testa testa” non può essere casuale.
Siamo prevedibili. Prevedibile significa che i computer possono prendere scorciatoie: non è necessario provare tutte le password possibili per trovare la tua.
Tornando al linguaggio matematico, parliamo del dominio delle possibili password. Il dominio è fondamentalmente un elenco di tutte le possibili scelte: quei diecimila codici come 0000 per il lucchetto della valigia. Essendo prevedibili, stiamo riducendo l’entropia delle informazioni, il che significa che possiamo comprimere il dominio di possibili password in un dominio molto più piccolo.
Più piccolo è il dominio da controllare, più veloce è il software in grado di trovare la nostra password. Questo è il motivo per cui vogliamo che il dominio sia il più grande possibile.
E di nuovo, questo è il motivo per cui tutti abbiamo bisogno di usare i password manager – i computer sanno come creare la massima entropia (cioè casualità) e password lunghe, le persone no. Anche se potessimo creare password così, non potremmo ricordarle. E anche se potessimo ricordarle tutti, il riempimento automatico con un click su ogni dispositivo è molto più semplice!
Come calcoliamo la dimensione del dominio?
Ci sono 2 fattori che influenzano la dimensione del dominio delle password che i cattivi devono cercare per penetrare nei nostri account.
Come discusso finora, il primo è la casualità (o entropia delle informazioni) nel modo in cui abbiamo scelto le password in quel dominio. Ovviamente vogliamo scegliere con la massima casualità, in modo che non ci sia modo di prendere una scorciatoia e cercare solo una parte del dominio totale.
In altre parole, vogliamo che la persona che ha rubato la nostra valigia abbia bisogno di provare tutte le diecimila combinazioni sul lucchetto e non di poterlo aprire indovinando solo i 10 codici più comuni.
Non vogliamo nemmeno che siano in grado di aprire il lucchetto usando un semplice grimaldello – che in questa analogia è come il servizio online che ha salvato le tue password con una pessima qualità o nessuna crittografia (hashing), qualcosa che purtroppo accade. Questo è un altro motivo per cui vogliamo che ogni servizio abbia una propria password univoca, quindi i cattivi non possono riutilizzare il loro grimaldello per aprire tutte le altre valigie.
Il secondo fattore è quante password possibili ci sono nel dominio. Ad esempio, il lucchetto a 4 cifre ha diecimila combinazioni possibili. Se il tuo lucchetto avesse solo una rotella, ci sarebbero solo 10 possibili combinazioni: 1, 2, 3, 4, 5, 6, 7, 8, 9 e 0. Se quella rotella avesse lettere inglesi anziché numeri, ci potrebbero essere 26 possibili combinazioni.
Calcolare le dimensioni del dominio è semplice.
Prendiamo il numero di possibili scelte per una “ruota” (chiamiamola C per “choices/scelte”) – ad esempio un singolo numero ha 10 scelte, una singola lettera inglese ha 26 scelte (o 52 se includiamo sia lettere minuscole che maiuscole), un singolo carattere giapponese ha circa 2000 scelte (almeno per quelle che devi conoscere per l’alfabetizzazione di base).
E prendiamo il numero di “rotelle” (chiamiamolo W per “wheels/rotelle”), ad esempio la maggior parte dei lucchetti con combinazione di numeri ha 4 rotelle. La password di 8 lettere ha 8 “rotelle”.
La dimensione del dominio è il primo numero moltiplicato per se stesso il secondo numero di volte. O in altre parole il primo numero alla potenza del secondo numero. In matematica, scriveremmo l’equazione per D (per “dimensione del dominio”) come questa in algebra:
D = CW
Quando vai su uno di quei siti web (molto fuorvianti) che ti dicono “quanto è robusta la mia password”, questo è il calcolo che stanno facendo. Stanno quindi dividendo il numero che ottengono per approssimazione per quante password il software di forzatura bruta può provare al secondo.
Facciamo un calcolo
Immaginiamo di aver creato una password di 8 caratteri davvero casuale. Hai utilizzato numeri, lettere inglesi maiuscole e minuscole e i 10 caratteri speciali più comuni. Questo significa:
C = 10 + 26 + 26 + 10 = 72
W = 8
D = CW = 722.204.136.308.736
722 trilioni di password possibili. È tanto vero? Se noi umani dovessimo provare ogni possibile password e potremmo testarne 1 al secondo e non fare mai una pausa, ci vorrebbero quasi 23 milioni di anni. Puoi usare Wolfram Alpha per fare enormi calcoli come questo usando un linguaggio normale.
Sfortunatamente, i computer sono molto più veloci delle persone per questo tipo di cose. Quanto più veloce? TinkerSec ha fatto un esperimento a febbraio 2019 utilizzando un computer specializzato a specifiche ridotte – il tipo di cose che puoi noleggiare per pochi dollari presso il tuo cloud provider preferito – e l’ultima versione di un software di forzatura della password open source, Hashcat.
Il suo computer ha testato ogni singola password di 8 caratteri in circa due ore e mezza. In altre parole, il suo computer è stato in grado di testare oltre 80 miliardi di password al secondo.
I computer sono davvero veloci!
Queste regole di complessità non aiutano
Ricordi tutti quei consigli che abbiamo imparato negli ultimi decenni? Di aggiungere numeri, maiuscole, minuscole, caratteri speciali, segni zodiacali, immagini di gattini, ecc. alle nostre password? Hanno davvero aiutato?
Facciamo di nuovo gli stessi calcoli con una password di 8 caratteri e questa volta utilizzeremo solo lettere inglesi minuscole. Sarà molto peggio, vero?
C = 26
W = 8
D = CW = 208.827.064.576
E se usassimo il computer di TinkerSec indovinando 80,2 miliardi di tentativi al secondo? Occorrerebbero poco meno di 3 secondi per provare ogni possibile password.
È più veloce, ma non molto più veloce.
Proviamo 12 caratteri in questo modo, che è l’attuale lunghezza minima assoluta della password raccomandata dai professionisti della sicurezza:
C = 26
W = 12
D = CW = 95.428.956.661.682.176
TinkerSec time = 13,7 giorni
Semplicemente aggiungendo alcuni caratteri alla nostra password, abbiamo una complessità totale maggiore di una password più breve con molte più scelte su ciò che è ciascun carattere. In altre parole, rendere la password più lunga conta molto di più che aggiungere più possibilità per ogni carattere.
2 settimane per trovare la nostra password in realtà non è abbastanza – ecco perché dovremmo usare la massima lunghezza consentita dai nostri password manager.
Se faccio lo stesso calcolo con una delle mie normali password di 32 caratteri otteniamo questo:
C = 72
W = 32
D = CW = 272.044.459.736.735.201.869.892.920.105.124.744.453.565.613.497.784.693.948.416
TinkerSec time = 7,8 milioni di trilioni di trilioni di volte l’età dell’universo
Non ci vorrà molto per trovare le mie password, perché i computer stanno diventando sempre più veloci ogni giorno, eppure questo mi dà un grande margine di protezione dalla legge di Moore! Anche se il computer del prossimo anno è 1 milione di volte più veloce del computer di TinkerSec, dovrà comunque eseguirlo per 7,8 trilioni di trilioni di volte l’età dell’universo.
Spero che nessuno sia così paziente.
Matematica per confrontare la complessità totale del dominio
Quindi, come possiamo facilmente confrontare la complessità di due domini di password senza eseguire questi calcoli? Tempo di algebra!
C1 e C2 sono il diverso numero di scelte disponibili per carattere nelle due password che vengono confrontate.
W1 e W2 sono le diverse lunghezze delle due password.
Vogliamo sapere quanto deve essere lunga una password con meno scelte per carattere in modo che sia robusta come una password più breve con più scelte per carattere. In altre parole, come sapevamo che provare con 12 caratteri di lettere minuscole inglesi avrebbe funzionato nell’esempio sopra?
In altre parole (algebra) vogliamo sapere quale W2 possiamo usare in modo che:
C2W2 ≥ C1W1
Quindi usiamo un po’ algebra per ottenere l’equazione in termini di W2 che vogliamo. Lo facciamo prendendo i logaritmi di entrambe le parti. Prendere i logaritmi è solo uno di quei trucchi matematici – inventati da persone ispirate come Napier, Leibniz e i loro seguaci – che devi sapere quando giochi con gli esponenziali.
log (C2W2) ≥ log (C1W1)
Quindi usiamo l’identità dei logaritmi per semplificare:
W2 log C2 ≥ W1 log C1
E risistemiamo:
W2 ≥ (W1 log C1) / log C2
Quindi proviamo l’equazione con il nostro caso nella sezione precedente:
C1 = 72
C2 = 26
W1 = 8
W2 ≥ (8 log 72) / log 26
Pertanto, la password con le lettere inglesi minuscole deve contenere più di 10,5 caratteri per essere robusta come la password di 8 caratteri che utilizza i maiuscolo, minuscolo, numeri e simboli.
Ecco perché la password “debole” di 12 caratteri era in realtà più forte della password “forte” di 8 caratteri.
Esempi a confronto
Cosa succede se parlo cinese mandarino e creo le mie password usando la scrittura cinese? Non mi dà un grande vantaggio in termini di complessità?
Innanzitutto dobbiamo presumere che la maggior parte dei servizi online ti permetta di inserire una password usando caratteri cinesi. Sfortunatamente, gran parte di Internet è ancora molto anglo-centrica, persino al livello base del software. Se si tenta di utilizzare cinese, hindi, russo, arabo o altri caratteri non standard per chi parla inglese in una password, la maggior parte dei servizi non funzionerà. Tuttavia, devo presumere che almeno molti dei servizi popolari nella Cina continentale accetteranno password con caratteri cinesi.
Per essere alfabetizzati, i cinesi devono conoscere tra i 3000 e i 4000 caratteri, quindi diciamo che abbiamo 4000 scelte su ogni rotella del nostro lucchetto della valigia.
Quanto deve essere lunga la mia password inglese in minuscolo, in modo che sia più robusta della password di 12 caratteri del mio amico cinese? Ecco lo stesso calcolo:
W2 ≥ (12 log 4000) / log 26
Quindi ho bisogno di almeno 31 caratteri. È molto più lunga – ancora niente rispetto a 4000 caratteri più lunga.
Cosa succede se non mi piacciono le lettere e i simboli e voglio usare solo numeri? Quanto deve essere lunga la mia password per essere robusta come una standard di 20 caratteri tra numeri, maiuscole, minuscole e simboli? Stesso calcolo:
W2 ≥ (20 log 72) / log 10
Non è che il numero di scelte per carattere non abbia importanza, importa. È solo che gli esponenziali crescono molto molto rapidamente, quindi il numero di caratteri conta molto di più.
In ogni caso, lascialo al tuo password manager: sa cosa sta facendo.
Diceware e Passphrases
Sfortunatamente, ci sono ancora alcuni posti in cui dovrai ancora creare e ricordare una password. Eccone 4:
- la password per aprire il password manager
- la password per sbloccare la crittografia del disco del computer
- la password per accedere al sistema operativo del computer
- la password per sbloccare il telefono
Cosa dovremmo fare per queste? Fennel è una di quelle persone che a volte ha davvero memorizzato le password generate dal password manager. Non consiglio di farlo, a meno che non sia un hobby per te.
La moderna raccomandazione del settore della sicurezza è quella di creare una passphrase, come nel famoso fumetto XKCD dell’agosto 2011, che ha reso “correct horse battery staple” una di quelle password che non si desidera utilizzare.
L’idea è di prendere 4, 5 o 6 parole nella tua lingua madre e metterle insieme. In questo modo ottieni una password molto lunga, che chiamiamo “passphrase”. Crea anche una password che è facile da ricordare perché sono solo parole e perché spesso è una combinazione abbastanza assurda. Non è necessario inserire caratteri speciali, lettere maiuscole o minuscole o numeri – solo le parole. Facile!
Ci sono molti modi per farlo – uno dei più semplici è con il metodo “diceware” e, ad esempio, usando la lista di parole inglesi gentilmente fornita dall’EFF. Con l’elenco EFF, ogni parola ha un numero.
Puoi tirare 5 normali dadi a 6 facce, o 1 dado 5 volte, e mettere insieme i numeri per formare un numero di 5 cifre come 43146. Guardando quel numero in alto nell’elenco, abbiamo la parola “munch”. Lo fai di nuovo tutte le volte che vuoi e poi metti insieme le tue parole.
Questo deve significare che le passphrase sono incredibilmente robuste, giusto? Dopo tutto, saranno molto lunghe, forse anche più lunghe delle mie password di 32 caratteri dal mio password manager.
Non esattamente. Ricordi quando abbiamo guardato per la prima volta il significato della complessità e l’idea che se c’è un modo più breve per scrivere qualcosa, allora è solo complesso quanto la versione più breve?
Prendiamo la passphrase canonica “correcthatterbatterystaple”. Ha 25 caratteri inglesi minuscoli, quindi significa che sta lavorando su un dominio di dimensioni 26 alla potenza di 25, giusto?
C = 26
W = 25
D = CW = 236.773.830.007.967.588.876.795.164.938.469.376
TinkerSec time = 6,8 milioni di volte l’età dell’universo
Ottimo.
Sfortunatamente, se sappiamo che questa password è in realtà una passphrase, allora possiamo scriverla in un modo più breve. La nostra passphrase è composta solo da 4 parole, ciascuna delle quali ha il numero di scelte “Elenco parole mie”. Una passphrase è in qualche modo molto simile alla scrittura di una password molto breve usando caratteri cinesi. Ciò significa che dobbiamo calcolare l’entropia delle informazioni o la complessità della nostra passphrase in modo diverso.
Ad esempio, l’elenco EFF ha 7776 parole (5 dadi a 6 facce danno 6 alla potenza di 5 scelte = 7776). Puoi utilizzare un elenco più lungo: i dizionari comuni contengono 100.000 o più parole. Supponiamo, tuttavia, che correcthorsebatterystaple sia stata creata utilizzando il metodo diceware nella lista EFF. In tal caso, il nostro lucchetto ha 7776 scelte e 4 rotelle:
C = 7776
W = 4
D = CW = 3.656.158.440.062.976
TinkerSec time = almost 13 hours
Questa è una scorciatoia enorme!
Sicuramente non l’ideale. Tuttavia possiamo renderla molto più robusta aggiungendo alcune parole in più – se ad esempio rendiamo la nostra password da 6 parole fuori dall’elenco EFF, allora la nostra passphrase è improvvisamente più che abbastanza robusta:
C = 7776
W = 6
D = CW = 221.073.919.720.733.357.899.776
TinkerSec time = 87.351 anni
Allo stesso modo, se avessimo un buon metodo per selezionare casualmente le parole (ricorda se l’essere umano sta facendo la selezione, sarà molto lontano dall’essere casuale) da un vero dizionario di 100.000 parole e scegliere 5 parole, avremmo anche qualcosa di abbastanza forte:
C = 100.000
W = 5
D = CW = 10.000.000.000.000.000.000.000.000
TinkerSec time = quasi 4 milioni di anni
Sebbene entrambi queste non siano così efficaci come l’utilizzo di un password manager, è abbastanza robusta per i pochissimi casi in cui abbiamo bisogno di una password creata dall’uomo e ricordata dall’uomo. E con ogni probabilità sarà più forte di qualsiasi password complessa che un essere umano crei e cerchi di ricordare.
Ricorda solo di usare almeno 5 parole nella tua passphrase e, ovviamente, per tutte le altre password, usa ancora il tuo password manager.
Domanda bonus
Fennel ha pensato per la prima volta di scrivere questo articolo perché si chiedeva se stesse in qualche modo violando la sicurezza operativa (OpSec) dicendo alle persone che la maggior parte delle sue password sono lunghe 32 caratteri.
Dopotutto, dicendo alle persone che le mie password sono 32 caratteri, sanno che non sono lunghe 20 o 31 o 10 caratteri, quindi i cattivi possono saltare il controllo di tutte quelle password quando fanno una ricerca nel dominio per forzare qualsiasi password mia che potrebbero avere trovato in un database rubato.
Quindi dovrei davvero preoccuparmi di questo? La risposta breve è no.
Ecco la matematica per il perché. Cosa succede alla dimensione del dominio di ricerca quando aggiungiamo un’altra “rotella” al nostro lucchetto? Significa che abbiamo W + 1 rotella – 1 in più rispetto alle rotelle W che avevamo prima. Proviamo un po’ di algebra e vediamo quali ulteriori dettagli possiamo ottenere:
CW+1 = C * CW
Possiamo suddividere la C in 2 parti così:
CW+1 = 1 * CW + (C-1) * CW
Ciò significa che se abbiamo almeno 2 scelte per carattere (in modo che C-1 sia almeno 1), allora:
CW+1 ≥ 2 * CW
E in effetti, più scelte sono possibili per carattere, maggiore è la differenza che aggiunge un crattere in più.
Concretamente per il caso esatto di password di 32 caratteri con i soliti numeri, maiuscole, minuscole e simboli, il dominio delle ipotesi possibili che i cattivi devono fare è 72 volte la dimensione di tutte le possibili 31 caratteri o password più brevi.
Fennel conclude: “In altre parole, dicendo a tutti che le mie password sono lunghe 32 caratteri, sto salvando i cattivi 1 su 72 ipotesi. Data la dimensione del dominio totale, questo non è un problema. Se i cattivi sapessero che le mie password sono solo 12 caratteri, sarebbe più un problema.
Potrei anche mentire – forse aggiorno sempre manualmente il mio password manager per creare una password di 35 caratteri. OpSec 101 è mentire su Internet in merito alle pratiche di sicurezza individuali e alle informazioni private. Almeno quando non stai solo zitto – la maggior parte delle volte dovresti solo zittirti, poiché anche le tue bugie non saranno casuali, proprio come le password che provi a crearti.
Spero ti sia piaciuto immergerti nella teoria dell’informazione e nella complessità della password. Ora hai la possibilità di divertirti a immaginare domande interessanti sulle password e ad elaborare le risposte con queste equazioni.
Inoltre, non importa quanto bene pensi di capirlo, usa queste equazioni solo per divertimento – le tue password dovrebbero provenire solo dal password manager!”
Categorie