Le password sicure possono anche essere facilmente ricordate?
Dario Marradi, nel 2007, scriveva il testo che di seguito ripropongo integralmente perchè può aiutare molto le persone alle prese con la duplice esigenza di avere password sicure e di poterle ricordare abbastanza facilmente.
A differenza di un tempo, in cui l'uso di codici di accesso era un "privilegio" di pochi, oggi l'esigenza di password per accedere ai sistemi attraversa la vita di tutti sin dai primi accessi al pc di casa.
Il decreto legislativo n. 196, denominato "Codice in materia di protezione dei dati personali" ai più noto come legge a tutela della privacy, prevede, per chi fà trattamento di dati personali, l'entrata in vigore di una serie di obblighi nella gestione della sicurezza informatica.
Tralascio di elencarli tutti, tipo aggiornamenti software, univocità dello username, obbligo di non comunicare a terzi le proprie credenziali, e mi soffermo su quanto previsto per la gestione delle password.
Riporto di seguito cosa prevede l'allegato B. del decreto, allegato denominato "Disciplinare tecnico in materia di misure minime di sicurezza":
La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
A fronte di tale decreto, spesso le aziende scelgono di implementare una policy per tutti i propri utenti che impone una scadenza della password ogni 3 mesi, al fine di avere la certezza di adempiere pienamente agli obblighi di legge, inoltre applicano spesso livelli di complessità della password che obbligano a comporla inserendo:
1. Segni di punteggiatura;
2. Caratteri numerici;
3. Almeno un carattere alfabetico in maiuscolo.
Aggiungiamo che in diversi casi è fatto obbligo di non poter riutilizzare la stessa password, in quanto il sistema memorizza ed inbisce l'uso delle ultime 5 utilizzate, o che le password inizino e si concludano con caratteri alfabetici in minuscolo.
Detto questo è purtroppo normale che molte persone si trovino in difficoltà nel comporre e ricordare la propria password. Non è raro il caso in cui la si appunta su un qualche supporto cartaceo, a tutto rischio della sicurezza auspicata dal legislatore e dall'azienda.
Ora vi faccio un'esempio di una password che può rispettare le specifiche più restrittive di composizione:
ibvzMh+20a
Vi sembra impossibile da ricordare?
In realtà no. E' composta da una serie di caratteri che sono le iniziali di una frase per me semplice da ricordare. Io sono un appassionato di fumetti, in particolare quelli dell'editore Bonelli. Uno dei personaggi Bonelli più longevi (dopo l'intramontabile Tex Willer) è Martin Mystère, ha abbondantemente superato i vent'anni di pubblicazioni e viene spesso denominato "Il buon vecchio zio Marty". Da qui è derivata la mia password di esempio, che ho reso più complessa espandendo la frase come segue:
il buon vecchio zio Marty ha + di 20 anni
Partendo da questa frase, che diventa la base, posso utilizzare delle varianti per i prossimi cambi password obbligatori, potrei farla diventare ibvzMh>20a o ibvzMh+24a e così via.
In definitiva, ognuno di noi può utilizzare una frase che facilmente ricorda, perché legata ad una propria passione, a qualche affetto, o altro da cui derivare una password, basta un pò di fantasia ed un semplice trucchetto per rendersi la vita più semplice.
18/9/2010
Vittorio Orefice
Tags : sicurezza
A differenza di un tempo, in cui l'uso di codici di accesso era un "privilegio" di pochi, oggi l'esigenza di password per accedere ai sistemi attraversa la vita di tutti sin dai primi accessi al pc di casa.
Il decreto legislativo n. 196, denominato "Codice in materia di protezione dei dati personali" ai più noto come legge a tutela della privacy, prevede, per chi fà trattamento di dati personali, l'entrata in vigore di una serie di obblighi nella gestione della sicurezza informatica.
Tralascio di elencarli tutti, tipo aggiornamenti software, univocità dello username, obbligo di non comunicare a terzi le proprie credenziali, e mi soffermo su quanto previsto per la gestione delle password.
Riporto di seguito cosa prevede l'allegato B. del decreto, allegato denominato "Disciplinare tecnico in materia di misure minime di sicurezza":
La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
A fronte di tale decreto, spesso le aziende scelgono di implementare una policy per tutti i propri utenti che impone una scadenza della password ogni 3 mesi, al fine di avere la certezza di adempiere pienamente agli obblighi di legge, inoltre applicano spesso livelli di complessità della password che obbligano a comporla inserendo:
1. Segni di punteggiatura;
2. Caratteri numerici;
3. Almeno un carattere alfabetico in maiuscolo.
Aggiungiamo che in diversi casi è fatto obbligo di non poter riutilizzare la stessa password, in quanto il sistema memorizza ed inbisce l'uso delle ultime 5 utilizzate, o che le password inizino e si concludano con caratteri alfabetici in minuscolo.
Detto questo è purtroppo normale che molte persone si trovino in difficoltà nel comporre e ricordare la propria password. Non è raro il caso in cui la si appunta su un qualche supporto cartaceo, a tutto rischio della sicurezza auspicata dal legislatore e dall'azienda.
Ora vi faccio un'esempio di una password che può rispettare le specifiche più restrittive di composizione:
ibvzMh+20a
Vi sembra impossibile da ricordare?
In realtà no. E' composta da una serie di caratteri che sono le iniziali di una frase per me semplice da ricordare. Io sono un appassionato di fumetti, in particolare quelli dell'editore Bonelli. Uno dei personaggi Bonelli più longevi (dopo l'intramontabile Tex Willer) è Martin Mystère, ha abbondantemente superato i vent'anni di pubblicazioni e viene spesso denominato "Il buon vecchio zio Marty". Da qui è derivata la mia password di esempio, che ho reso più complessa espandendo la frase come segue:
il buon vecchio zio Marty ha + di 20 anni
Partendo da questa frase, che diventa la base, posso utilizzare delle varianti per i prossimi cambi password obbligatori, potrei farla diventare ibvzMh>20a o ibvzMh+24a e così via.
In definitiva, ognuno di noi può utilizzare una frase che facilmente ricorda, perché legata ad una propria passione, a qualche affetto, o altro da cui derivare una password, basta un pò di fantasia ed un semplice trucchetto per rendersi la vita più semplice.
18/9/2010
Vittorio Orefice
Tags : sicurezza
Commenti
1) Le password sicure possono anche essere facilmente ricordate?
Marco Finocchi 09/30/2010 10:14:55 PM
Grazie Vittorio, ho trovato questo articolo molto interessante perché abbraccia laspetto tecnico e più pratico della gestione delle password a quello normativo, altresì importante e ricco di spunti di riflessione. Personalmente penso che le password in un futuro non troppo lontano, verranno completamente rimpiazzate da sistemi di autenticazione a due o tre fattori e utilizzando abbondantemente la biometria. Nel frattempo trovo molto utile lutilizzo di sistemi di single sign-on per la gestione unificata delle password tramite un solo login valido per qualsiasi applicazione web e legacy.
Marco Finocchi 09/30/2010 10:14:55 PM
Grazie Vittorio, ho trovato questo articolo molto interessante perché abbraccia laspetto tecnico e più pratico della gestione delle password a quello normativo, altresì importante e ricco di spunti di riflessione. Personalmente penso che le password in un futuro non troppo lontano, verranno completamente rimpiazzate da sistemi di autenticazione a due o tre fattori e utilizzando abbondantemente la biometria. Nel frattempo trovo molto utile lutilizzo di sistemi di single sign-on per la gestione unificata delle password tramite un solo login valido per qualsiasi applicazione web e legacy.
2) Le password sicure possono anche essere facilmente ricordate?
Vittorio Orefice 08/16/2012 12:36:35 PM
Novità sul tema. niente di trascendentale ma solo una piccola riflessione aggiuntiva. Poichè è pericoloso introdurre la stessa password per più siti consigliamo di far precedere, o seguire, un identificativo del sito. Mi spiego con un esempio. Supponiamo che la vostra psw, difficile da scoprire ma facilmente ricordabile, sia Nmdcdnv.58 e che vi stiate collegando al nostro sito (Digiway) pe il quale useremo le prime tre consonanti, dgw ecco che una buona scelta potrebbe essere: Dgw-Nmdcdnv.58 Niente male! Che ne dite?
Vittorio Orefice 08/16/2012 12:36:35 PM
Novità sul tema. niente di trascendentale ma solo una piccola riflessione aggiuntiva. Poichè è pericoloso introdurre la stessa password per più siti consigliamo di far precedere, o seguire, un identificativo del sito. Mi spiego con un esempio. Supponiamo che la vostra psw, difficile da scoprire ma facilmente ricordabile, sia Nmdcdnv.58 e che vi stiate collegando al nostro sito (Digiway) pe il quale useremo le prime tre consonanti, dgw ecco che una buona scelta potrebbe essere: Dgw-Nmdcdnv.58 Niente male! Che ne dite?
Autore
Vittorio Orefice