Se utilizzate una password di 8 caratteri, sappiate che non siete per niente al sicuro.
I ricercatori del Georgia Tech Research Institute hanno dimostrato che bastano un paio d'ore di lavoro su un normale computer dotato di processore grafico per "rompere" la parola chiave. Il suggerimento che i ricercatori fanno è di comporre una chiave di almeno 12 caratteri: con una password così lunga il tempo necessario per un calcolatore per rivelare la chiave è di 17.000 anni.
Come sono arrivati a questa conclusione? Studiando le gigantesche capacità di calcolo parallelo che i chip grafici, Graphic Processor Unit, consentono a un normale programmatore. Grazie alla possibilità che Nvidia fornì nel 2007 di programmare e pilotare la GPU mediante l'uso del linguaggio di programmazione C, ora è possibile sfruttare il calcolo parallelo delle GPU per iterare con la "forza bruta" i tentativi di effrazione delle password. Oltre, ovviamente, a poter fare cose molto migliori.
Ciò che i ricercatori del Georgia Tech sottolineano, però, è che i 2-3 teraflops (i miliardi di miliardi di calcoli in virgola mobile) che sono oggi sotto le dita di chiunque abbia un computer con una GPU multicore, possono essere usati anche da chi ha le peggiori intenzioni e vuole rompere le chiavi di accesso a conti correnti, dati riservati aziendali, progetti, email.
A inizio anno era emersa una news concernente un furto di 32 milioni di dati sensibili al sito rockyou.com. La società Imperva aveva esaminato così le password utilizzate e aveva constatato come quasi la metà delle parole chiavi utilizzate dagli utenti erano di una banalità sconcertante: sequenze come abc123, o ancora meglio 123456.
La popolarità della banalità nelle password secondo la ricerca di Imperva dello scorso gennaio
Mettere assieme le due storie, quella della banalità delle password con la ricerca effettuata dal Georgia Tech, è cosa ovvia. E quindi che cosa fare?
Abbiamo visto che i ricercatori del Georgia suggeriscono di utilizzare una chiave di almeno 12 caratteri. Perché? La spiegazione è che, utilizzando tutti i 95 caratteri della tastiera e le loro combinazioni, ogni carattere in più significa moltiplicare per 95 la complessità della chiave. E la "ottimale" che i ricercatori suggeriscono è di almeno 12 caratteri.
Facile a dirsi complicato a farsi perché ricordare una sequenza di 12 caratteri alfanumerici incrociando alfabeto, maiuscolo, minuscolo, segni d'interpunzione e poi ricordarseli è un vero problema. Ancor più se si segue il suggerimento di coloro che propongono programmi per la sicurezza: non utilizzare mai un'unica password per tutto ma password diverse per ambiti diversi, se non proprio una password diversa per ogni cosa: banca, email, cellulare, computer, Facebook, Google, Twitter e via incrementando.
Vi sono servizi online che "ricordano" per nostro conto; vi sono chiavi USB che fanno lo stesso e che liberano con una parola chiave lo scrigno delle diverse password memorizzate.
Come la si gira gira il problema resta. Il suggerimento che dal Georgia Tech si sentono di dare è:
usare una frase personale, alfanumerica, lunga almeno 12 caratteri. Microsoft, per esempio, cerca di dare una mano contro la banalità delle password: alcuni suoi ricercatori
propongono che sia il server a non accettare password facili . Quando una password, può succedere, viene proposta da più d'un utente finisce nella lista nera e non viene ammessa. Così l'utente è indotto a inventarsene un'altra.