Creare, conservare, gestire le password
2. La sicurezza di una password
Cominciamo che dire che il grado di sicurezza di una password si misura nel tempo che dovrebbe essere impiegato prima che questa venga scoperta.Ebbene sì, a forza di tentativi qualunque password alla fine può essere trovata. Ma se è stata fatta bene ed è lunga i tentativi necessari potrebbero essere milioni, miliardi o anche di più, e pure il più potente dei computer, usato giorno e notte potrebbe metterci migliai di anni se non miliardi per indovinarla.
Esempio pratico: avete presente quei lucchetti usati per chiudere le valigie? Quelli che hanno tre rotelline coi numeri da 0 a 9?
Un blocco di quel tipo ha 1000 combinazioni possibili, ovvero da 000 a 999. È una protezione abbastanza semplice da superare dato che già sappiamo quante cifre vanno utilizzate (3 e non meno ne di più) e che ogni cifra può avere solo 10 valori (cioè tutti i numeri da 0 a 9).
In matematica (o meglio nel campo del calcolo combinatorio) una situazione di quel tipo si chiama "disposizione con ripetizioni" perché i caratteri usati possono anche essere ripetuti (cioè la combinazione giusta potrebbe avere due o tre cifre uguali, come 233 o 666).
Indicando con "n" il numero di caratteri a disposizione (nel caso del lucchetto sono 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,) e con "k" la lunghezza della combinazione (in questo caso è 3) le possibilità che si hanno sono n elevato a k (quindi nel nostro esempio dieci alla terza):
n^k = 10^3 = 1000.
Non è stata usata la terminologia precisa ma speriamo sia chiaro.
Non ci soffermermo sulla parte matematica se non per farci una idea della potenziale sicurezza offerta da una password lunga 8 caratteri in cui si possano usare tutte le 26 lettere dell'alfabeto, più i numeri da 0 a 9, più un paio di segni di punteggiatura come il punto e il trattino che spesso sono ammessi.
Parliamo in totale di 38 caratteri differenti per 8 posizioni, per un totale di 4.347.792.138.496 potenziali password.
Se la password fa differenza tra lettere maiuscole e minuscole arriviamo a 281.474.976.710.656, e se aggiungiamo la possibilità che la lunghezza vari da 6 a 8 caratteri arriviamo a 285.941.742.698.496
Se ci mettessimo a provare tutte le combinazioni digitando una password al secondo sapete quanti anni occorrerrebbero? Più di 9.067.153!
Anche se i tentativi andassero alla velocità di uno ogni millesimo di secondo passerebbero comunque diverse epoche storiche prima che qualcuno riesca ad accedere alle risorse protette.
E non dimentichiamo che spesso è necessario conoscere anche lo username e che in certi casi dopo un certo numero di login errati il sistema va in blocco impedendo ulteriori accessi (come accade per il bancomat) o sospendendoli per un lasso di tempo di alcune ore (come per le caselle Hotmail).
Come vedete concettualmente la password è uno strumento sicuro... ma nonostante ciò spesso viene neutralizzato. le cause sono principlamente due:
prevedibilità della password
intercettazione della password
Nelle prossime pagine le analizzeremo nel dettaglio
LINK CORRELATI
http://it.wikipedia.org/wiki/Calcolo_combinatorio