Metodo per creare password sicure


Una password per essere sicura da essere ritenuta indecrittabile dovrebbe avere una entropia di almeno 256 bit. Quindi dovrebbe essere di almeno 42 caratteri che comprendono lettere maiuscole e minuscole, numeri e simboli. Ma l'ideale, secondo il NIST (National Institute of Standards and Technology) è che la password debba essere di almeno 64 caratteri.

In più ogni sito in cui ci registriamo e ogni nostro account dovrebbe avere una password diversa. Questo affinché la violazione di un nostro account non porti alla violazione di tutti i nostri account.

Per poter creare delle password così lunghe sicure e poterle memorizzare con facilità dobbiamo creare un metodo che ci permette di farlo.

Qui mostrerò un metodo che possiamo applicare per creare password impossibili da decrittare ma facili da ricordare a memoria. E' un metoto che mette insieme più metodi per creare le password in uno solo in modo che questa complessità strutturata generi password molto più sicure e nello stesso tempo facili da ricordare.

Con uno schema riassumo le parti che comporranno la struttura per generare la nostra password inviolabile:

Speghiamo ora le tre pareti di cui si compone la nostra password.


Passphrase


La passphrase è una frase molto lunga composta da almeno 50 caratteri divisi in almeno 12 parole. La passphrase è composta di caratteri alfabetici minuscoli e maiuscoli.

Ecco un esempio di una passphrease di composta di 78 caratteri divisi in 14 parole:

PasqualeEntraAViennaInTrionfoConLaSuaAmanteCarlottaVestitaDiRosso

La password da ricordare a livello mnemonico è la frase: ""Pasquale entra a vienna in trionfo con la sua amante Carlotta vestita di rosso".

Le maiuscole vengono aggiunte facendo iniziare tutte le parole con una maiuscola.

Un metodo facile da ricordare ma estremamente difficile da decrittare.

Possiamo decidere per esempio che diventano maiuscole solo le parole con almeno 4 lettere. In questo caso la passphrase diventa:

PasqualeEntraaViennainTrionfoconlasuaAmanteCarlottaVestitadiRosso

Possiamo complicare ulteriormente la password per esempio decidendo di sostituire:

  • la lettera O con il numero 0
  • la lettera a con il simbolo @
  • la lettera i con il simbolo !
  • aggiungere la lettera maiuscola "X" dopo i nomi di persona

La password in questo caso diventerà:

P@squ@leXEntr@@V!enn@!nTr!0nf0c0nl@su@@m@nteC@rl0tt@X Vest!t@d!R0ss0

L'importante è che ci ricordiamo la regola che abbiamo deciso di applicare.


Padding


Il padding (che in inglese significa "imbottitura") è un riempimento che facciamo alla password per renderla più complessa e meno vulnerabile a un attacco a dizionario da parte di eventuali hacker. Il padding è una password composta da almeno 7 caratteri composta da numeri e simboli.

Il padding lo possiamo inserire all'interno della password:

  • alla fine della password
  • all'inizio della password

Ecco esempi di padding:

  • $384>*#"!
  • 67;._352
  • 3.12+>170?
  • |^|=>68<=|^|

L'importante è che ci ricordiamo il padding che abbiamo scelto di utilizzare.


Nome servizio


Il nome servizio è il nome del servizio per cui utilizziamo quella password o un nome che ci richiama quel servizio. Per esempio per gmail potremo utilizzare: gmail, posta, lettera, cartolina, francobollo.

Aggiungere il nome del servizio che vogliamo utilizzare ci permette di rendere tutte le password diverse e di ricordarcele.

Con i due metodi precedenti abbimo creato una password sicura di almeno 256 bit. Basti pensare che attualmente per decrittare una password di 256 bit ad un computer quantistico occorrono 2,274 X 1050 anni. Quindi possiamo stare tranquilli.

Il problema è un altro: abbiamo registrato un account con la nostra password inviolabile su un sito web. Questo sito web però non utilizza grandi misure di sicurezza per proteggere i suoi dati. Questo sito viene violato dagli hacker e ci ritroviamo i dati del nostro account (con la nostra password) insieme ai dati di milioni di altri account pubblicati su un sito del deep web a disposizione dei criminali. In quel caso aver aggiunto il nome del servizio alla nostra password protegge gli altri nostri account dalla violazione immediata e ci dà il tempo di cambiare le password.

Il nome del servizio lo possiamo inserire all'interno della password:

  • alla fine della password
  • all'inizio della password
  • prima del padding (se è a fine password)
  • dopo il padding (se è a inizio password)

Ovviamente sarebbe bene camuffare il nome del servizio con sostituzioni di lettere a aggiunta di numeri e simboli.

Possiamo complicare il nome del servizio per esempio decidendo di sostituire:

  • la lettera O con il numero 0
  • la lettera a con il simbolo @
  • la lettera i con il simbolo !
  • la lettera L con i simboli |_
  • la lettera G con i simboli <)
  • di aggiungere il numero 27 dopo ogni vocale

Quindi gmail diventerebbe:

<)m@27!27|_

Invece yahoo diventerebbe:

y@27h027027

L'importante è che ci ricordiamo la regola che abbiamo deciso di applicare.


Cifrare la password


Possiamo ottenere un livello di sicurezza in più cifrando la passphrase interamente o in parte. Oppure cifrando il nome del servizio.

Ovviamente per effettuare la cifratura dobbiamo usare qualcosa di facile che ci permetta di farlo estemporaneamente con facilità. Quindi useremo a questo scopo la tastiera. Useremo la tastiera per fare un cifratura a trasposizione. Possiamo usare due metodi.


Primo metodo


Dividiamo la tastiera in linee diagonali che vanno partendo dal basso da destra verso sinistra come nella figura sottostante:

Si cifra per trasposizione la lettera con quella della linea superiore in diagonale verso sinistra.

Quindi per esempio la parola "gmail":

diventa tjq8o

la parola "carburante" diventa dq4g74qh53

Se ci sono delle maiuscole si cifrano normalmente mettendo in maiuscolo il tasto cifrato (le maiuscole dei numeri sono simboli).

Quindi CaRbUraNTe diventa Dq$g/4qH%3

Se si dovessero cifrare dei numeri la linea diagonale la consideriamo circolare, quindi dal tasto superiore della diagonale passiamo al tasto inferiore della diagonale.

Quindi per esempio "cina457alto" diventa d8hqvbmqo59


Secondo metodo


Dividiamo la tastiera in linee diagonali che vanno partendo dal basso da sinistra verso destra come nella figura sottostante:

Si cifra per trasposizione la lettera con quella della linea superiore in diagonale verso destra.

Quindi per esempio la parola "gmail":

diventa ykw9p

la parola "carburante" diventa fw5h85wj64

Se ci sono delle maiuscole si cifrano normalmente mettendo in maiuscolo il tasto cifrato (le maiuscole dei numeri sono simboli).

Quindi CaRbUraNTe diventa Fw%h(5wJ&4

Se si dovessero cifrare dei numeri la linea diagonale la consideriamo circolare, quindi dal tasto superiore della diagonale passiamo al tasto inferiore della diagonale.

Quindi per esempio "cina457alto" diventa f9jwzxvwp60

Il numero 1 essendo in diagonale da solo si cifra con il suo maiscolo. Quindi "1" diventa "!".

Quindi topo153 diventa 60'0!xa