Ultimamente mi è capitato di leggere, ma anche di sentire in rete, varie persone che suggeriscono l’utilizzo dei verificatori di password, al fine di controllare le caratteristiche e la robustezza della parola segreta con un ipotetico calcolo del tempo impiegato per una eventuale decifrazione. Come direbbe il buon gufo Anacleto ne “La spada nella roccia”: “Bababababaaaarbagianate!” Mi permetto di sconsigliare l’utilizzo di questi strumenti per una serie di ragioni che mi accingo ad elencare di seguito:
1 Se già conosco le caratteristiche che deve avere una password per ritenersi “sicura”, che motivo avrei di verificarla attraverso un tool gratuito online?
2 All’atto della registrazione la stragrande maggioranza dei servizi online verifica in automatico la “robustezza” della password che andrò a scegliere, evidenziandone le criticità riscontrate con invito a correggerle immediatamente, pena il buon esito della procedura… quindi perché verificare ancora una volta, su un altro strumento esterno, la validità o meno di quella password?
3 Perché un servizio “gratuito” vuole acquisire la mia password, visto che all’infuori di me nessuno dovrebbe conoscerla? Siete davvero sicuri che quanto inserito in questi tools non venga acquisito da terzi a vostra insaputa? Perché rischiare così tanto la vostra sicurezza?
Esistono molteplici modi di carpire quanto digitato in un form sul web, senza necessità che l’utente prema invio dalla tastiera o clicchi sul pulsante invia… Pensate a chi raccoglie questa banca dati di password, e le fornisse in pasto ad un algoritmo attribuendogli una priorità in quanto si tratta di parole chiave realmente utilizzate che non vanno costruite… su un attacco a forza bruta potrebbero essere impiegate per prime nei vari tentativi. Gli attacchi brute force sono superati grazie a nuovi meccanismi di conteggio dei tentativi… Non proprio in realtà o meglio se si passa dalla porta sì, ma se invece si passasse dalla finestra? Se quelle pass invece venissero processate e convertite nelle rispettive chiavi in uso a molte piattaforme, come ad esempio avendo a disposizione un database di un CMS… cosa succederebbe? Per un sito in Wordpress, si può prendere visione di questo esperimento.
Semola, per tornare all’opera disneyana, adesso direbbe: “Anacleto ma sei paranoico, perché mai tutti questi problemi, alla fine, l’utente digita solo una password e nient’altro…” “Si”, replica il gufo proseguendo, “anche se magari lo stesso sito, chiede all’utente se vuole iscriversi alla newsletter e questo, dopo aver digitato la propria parola segreta, offre anche il proprio indirizzo mail dove, guarda caso, per accedere utilizza proprio la password verificata. Incredibile”. Semola si innervosisce e tra i due nasce un battibecco. A quel punto interviene Merlino che azzittisce entrambi: “Un giorno non poi così lontano, grazie alla meccanica quantistica, tutte le password in uso oggi, comprese quelle più complesse saranno violate in un batter d’occhio…”.Mantenendo fede a quanto scritto, omettiamo la parola “password” ed aggiungiamo l’articolo determinativo “il” anteponendolo all’unico “verificatore” … per chi se lo fosse perso, ne trova ancora traccia qui (in tutti i sensi).
