Passphrase

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

In ambito informatico e crittografico, con il termine inglese passphrase si indica un insieme di parole o di stringhe alfanumeriche (di solito separate da caratteri non alfabetici, come numeri, caratteri speciali o il carattere "spazio") utilizzato per l'autenticazione ad un sistema, ad un programma, ad una base dati o ad una rete, oppure per effettuare operazioni di cifratura. Il nome deriva dall'unione dei termini inglesi password e phrase ed è traducibile come frase chiave, frase d'ordine, o anche frase di accesso. Si crede sia stato Sigmund N. Porter[1] nel 1982 ad inventare il concetto moderno di "passphrases".

Differenza con la password[modifica | modifica wikitesto]

La principale differenza fra "passphrase" e "password" è il numero di caratteri utilizzato per la costruzione delle stesse (che, normalmente, sono - dovrebbero essere - non meno di 20/30 nel primo caso e 6/8 nel secondo caso): il più elevato numero di caratteri (e l'utilizzo di parole o stringhe assemblate in maniera, possibilmente, casuale) rende una "passphrase" meno vulnerabile, rispetto ad una "password", ai cosiddetti attacchi a "forza bruta" e a quelli basati su dizionari.

Il fatto che una "passphrase" possa essere costruita a partire da una frase di senso compiuto può permettere di ricordarla senza doverla appuntare per iscritto, fatto che, di per sé stesso, ne aumenta la sicurezza.

Tuttavia, se la "passphrase" non è appropriatamente protetto dall’autenticatore e viene mostrato in chiaro, tutta la sua efficacia svanisce. Per questo motivo si raccomanda di non utilizzare la stessa "passphrase" su differenti siti o servizi.

Sicurezza[modifica | modifica wikitesto]

Le "passphrases" possono essere relativamente fragili: per raggiungere un livello di sicurezza elevato (80-bit secondo il NIST), una "passphrase" dovrebbe avere una lunghezza di 58 caratteri, includendo anche maiuscoli e alfanumerici.

Se le parole usate per comporre una "passphrase" sono presenti nel dizionario, esse possono ridurne drasticamente la sicurezza, rendendolo vulnerabile ad attacchi di tipo dizionario. Questo può essere un problema se l’intera frase può essere ritrovata, ad esempio in un libro di citazioni. Tuttavia, il tempo e i costi che possono richiedere un attacco di tipo dizionario possono renderlo impraticabile: tutto ciò dipende da quante parole ci sono nella "passphrase" e dal loro ordine. Scegliendo parole non presenti nel dizionario si ottiene una "passphrase" molto più sicuro.

Creare una frase di accesso[modifica | modifica wikitesto]

I criteri per la scelta di una frase di accesso sufficientemente "robusta" sono analoghi a quelli per la costruzione di "password" sicure:

  • lunghezza sufficiente a rendere la parola o frase di difficile individuazione (all'aumentare del numero di caratteri aumenta esponenzialmente il numero delle disposizioni possibili);
  • non contenenti parole o frasi reperibili in un dizionario, oppure celebri. Nel mezzo del cammin di nostra vita mi ritrovai per una selva oscura ché la diritta via era smarrita non è una passphrase sicura;
  • difficile da intuire, anche per qualcuno che conosce bene l'utente.
  • contenenti combinazioni del maggior numero possibile di "tipi" di caratteri: maiuscoli, minuscoli, numeri e caratteri speciali;
  • facili da ricordare (tanto da poter evitare di essere scritte) e da digitare correttamente.

Il metodo diceware è uno di quelli che permettono di costruire una passphrase che sia un buon compromesso fra sicurezza offerta e semplicità di memorizzazione.

Esempi di metodi[modifica | modifica wikitesto]

Un metodo per creare una "passphrase" efficace è quello di utilizzare dei dadi per selezionare parole casuali da una lunga lista, una tecnica alla quale spesso ci si riferisce con il termine inglese "diceware". Dal momento che una tale combinazione di parole potrebbe apparire come una violazione della regola “niente citazioni o parole da libri” bisogna notare che la sicurezza di questa tecnica è interamente basata sul grande numero di possibilità di combinazione tra le parole scelte da una lista. Per esempio, se ci sono 7776 parole in una lista e dobbiamo sceglierne 6 di queste, allora ci sono 7776^6 = 221073919720733357899776 combinazioni.

Un altro metodo è quello di scegliere due frasi, trasformare la prima in un acronimo, per poi includerlo nella seconda frase. Ad esempio: Ogni mattina in Africa quando sorge il sole, diventa omiaqsis. Aggiungendo: una gazzella si sveglia e sa che dovrà correre più del leone, diventa il seguente "passphrase": una gazzella si sveglia e sa che dovrà omiaqsis correre più del leone.

Ci sono diversi motivi per cui questo esempio non può andare bene:

  • È troppo lunga, di conseguenza è possibile commettere errori di digitazione.
  • Individui e organizzazioni, che si occupano di sicurezza informatica, hanno compilato liste di possibili "passphrases" che derivano dalle più comuni citazioni, testi di canzoni, ecc..

"The PGP Passphrase FAQ"[2] suggerisce di trovare un equilibrio tra sicurezza e praticità: le procedure per trovare una "passphrase" coinvolgono un compromesso tra sicurezza è facilità di utilizzo. La sicurezza dovrebbe essere "adeguata" ma non "frustrante" per gli utenti. Entrambi i criteri dovrebbero essere presi in considerazione durante la creazione della "passphrase" e gestiti in base alla situazione.

Note[modifica | modifica wikitesto]

  1. ^ Sigmund N. Porter. "A password extension for improved human factors". Computers and Security, 1(1):54-56, Gennaio 1982.
  2. ^ Randall T. Williams (1997-01-13). "The Passphrase FAQ". 2006-12-11.

Voci correlate[modifica | modifica wikitesto]