Come difendersi
dai ladri di chiavi

Ci sono vari modi per difendersi da ladri e truffatori informatici. La prima arma, come abbiamo visto (I predatori del conto corrente), è psicologica: occorre farsi furbi. Ma chi vuole rubarvi i vostri soldini questo lo sa, e ha messo nel conto anche l’eventualità che voi stiate correndo disperatamente ai ripari evolvendo la vostra intelligenza informatica. Ma il malandrino è già un passo avanti a voi. Vuole le vostre chiavi e può averle facilmente.

COSMOPOLI — C’è un angolo cieco nella mente dell’essere umano a cui viene richiesto un nome utente, un codice di accesso per entrare in un programma o in un sito dove sono custoditi i suoi dati personali.

La maggioranza si rifiuta di partecipare a questo minimo esercizio di sicurezza, lo trova noioso inutile e imbarazzante e scrive di proposito la cosa più stupida che riesce a trovare. Ci sono delle classifiche internazionali: il codice di accesso primo in classifica è «123456» seguito da «12345»; tra i più frequenti anche «password» e combinazioni di tasti in fila sulla tastiera, come «qwerty». In Italia, «pippo» e «ciccio» sono invero molto diffusi. Spesso anche nelle impostazioni di fabbrica di apparecchi fondamentali (come la scatola che vi collega a internet) si usano parole banali: «admin» o «user». In un puerile tentativo di aumentare la segretezza si usano combinazioni di parole e numeri come «abc123» o «password1». Il grado di segretezza di queste parole è pari a quello dell’alfabeto farfallino.

Nella classifica della banalità seguono i nomi di battesimo (il proprio, della morosa, della mamma, dei bimbi), le date memorabili (come prima); o combinazioni delle stesse. Qui siamo al livello del cifrario di Cesare: che era sicuramente incomprensibile per i Galli di Vercingetorige che già avevano dei problemi con il latino scritto in chiaro. Il lettore potrebbe dire: «oibò! ma è impossibile per un malandrino conoscere la mia data di nascita o quella della mia mamma!».

Se voi però frequentate una rete sociale e avete reso pubblica la vostra data di nascita, oppure condividete le foto di voi e la vostra mamma nel giorno del suo compleanno, è solo una questione di pazienza provare ad accedere, per esempio, al vostro conto corrente bancario via internet. Non sarebbe nemmeno necessario conoscervi: solo seguirvi per qualche giorno attentamente sulla vostra pagina personale per tentare di indovinare in quale banca avete i vostri risparmi e le chiavi di accesso relative.

Ma, dato che tutto questo richiede spreco di tempo, è più facile scassinare direttamente la serratura con un grimaldello virtuale. Ci sono programmi facilmente scaricabili che tentano di indovinare qual è la combinazione giusta per entrare. Alcuni sono stupidissimi: come nel caso del lucchetto a combinazione della bici, partono da 0000 e arrivano fino a 9999, approfittando del fatto che i computer sono veloci, anzi velocissimi. Usano la forza bruta di calcolo, e così sono appunto chiamati. Altri però sono più svegli, e prima provano le combinazioni più comuni, come appunto: nomi di battesimo, serie di numeri, probabili date, numeri di targa, cose così; consultano dei veri e propri vocabolari che contengono le parole chiave già ridotte in statistica e anche quelle già rubate, compresi i dizionari delle lingue umane.

Quindi: niente chiavi semplici. Ma come fare?

Sacrificandosi un poco. Scartiamo quindi subito le parole d’ordine comuni. Scartiamo anche le combinazioni personali. Scartiamo pure le parole bizzarre. Ci restano le combinazioni arbitrarie, di lettere e cifre. Ma non basta: per rendere difficile scoprire le vostre chiavi occorre anche che siano lunghe e contengano simboli. Un recente studio statistico riporta i tempi necessari ad un malintenzionato dotato di programmi grimaldello per scoprire i vostri codici d’accesso provando e riprovando.

Una parola d’ordine con lettere e numeri, senza maiuscole e senza simboli, lunga sei caratteri (il minimo) consente due miliardi e duecentocinquanta milioni di combinazioni. Se il cattivo è un poveraccio che lavora da casa via internet gli ci vogliono quasi quattro settimane per scoprirlo (con tre domeniche di riposo) facendo mille tentativi al secondo (se gli va bene): decisamente troppo. Ma se non è un poveraccio e può in qualche modo accedere direttamente al vostro elaboratore ecco che in due centesimi di secondo ha già trovato la chiave potrebbe fare anche di più, ma sarebbe inutile. Se usate dieci caratteri ci vorrebbero dieci ore e tre quarti per un ladro esperto, per una banda di ladri esperti però sette decimi di secondi. Ma se almeno uno dei caratteri è un simbolo, ecco che il poveraccio dovrebbe lavorare per quasi cinquantacinque milioni di secoli, il ladro esperto quasi cinquantacinque anni, la banda di ladri esperti quasi tre settimane (con due domeniche di riposo). E più lunga è la parola, più simboli ci sono, più aumentano i miliardi di anni.

Se andate sul sito degli autori della ricerca potete sperimentare direttamente le combinazioni e vedere quanto tempo. Se non resistete alla tentazione di essere stupidi, scoprirete per esempio che la parola «password» può essere scoperta in quasi sette anni (o due secondi e diciassette decimi, o 0,00217 secondi) ma gli autori spiegano chiaramente che il sito non è fatto per verificare la robustezza della chiave, solo per mostrare quanto tempo ci vuole per scoprirla usando la forza bruta, e se avete letto bene quanto detto sopra, nessuno è così scemo da provare sette anni per scoprire quello che sa già, non quando vuole i vostri soldi.

Quindi: mescolare cifre e lettere, maiuscole e minuscole, con uno o più simboli (sempre che il programma o il sito vi consenta di usare i simboli, a volte non è possibile); usate la parola più lunga possibile.

Ma io rinuncio! Non potrò mai ricordare una sequela di cifre lettere simboli! Mi rifiuto! Direte subito. Eppure, una serie di dritte ve le diamo lo stesso. Ci sono vari metodi, però eccone uno uguale ma diverso: 1. usate parole che per la loro carica psicologica voi potete ricordare con facilità (non mamma per esempio, che se lo ricordano tutti); 2. trasformate le due o tre parole (unendole, troncandole, fondendole, quello che più vi piace); 3. rendete maiuscole alcune lettere e altre minuscole, secondo un criterio facile da ricordare; 4. sostituite alle lettere delle cifre che secondo voi potete ricordare per associazione («4» per «A», «3» per «E», «0» per «O», «1» per «l» o per «I»; o anche per i corrispondenti minuscoli cosa meno intuitiva); 5. infilate nel mezzo dei simboli, se potete. Tenete sempre presente che dovete essere sempre in grado di ricostruire facilmente la parola d’accesso basandovi sulla vostra memoria e sulle vostre facoltà.

Che se poi la scrivete su un foglietto attaccato sullo schermo, è tutta fatica sprecata. ★

Assortimento tradizionali di grimaldelli (wikipedia.org)

Come difendersi dai ladri di chiavi