Credete che: “Ph'ngluimglw'nafhCthulhuR'lyehwgah'naglfhtagn1” sia una password sicura?

Nei giorni scorsi, gli sviluppatori del software ocl-Hashcat-plus (programma avanzato di recupero delle password online), hanno provveduto ad aggiornare il programma medesimo, in modo tale da poter sfidare i codici di accesso formati da ben 55 caratteri.

A scanso di equivoci, occorre qui ricordare che l'utilizzo di tale software è indicato per i cosiddetti “pentester”, oppure per i responsabili di rete che volessero controllare l'affidabilità delle password scelte dai propri dipendenti.

Viceversa, agli internauti domestici è vivamente sconsigliato di avvalersi di simili tecnologie, innanzitutto per salvaguardare la propria fedina penale, oltre che per non mettere a repentaglio gli account di amici, parenti o di ignari frequentatori dei social network.

La versione classica di questo delicato programma prevedeva, infatti, di poter scovare un gran numero di hash crittografici (ovvero le cosiddette “password mascherate”), ma solo nel caso queste ultime avessero una lunghezza non superiore ai 15 caratteri.

Secondo Jens Steube, capo sviluppatore di Hascat, con questo nuovo aggiornamento si è voluto venire incontro ad una delle caratteristiche più richieste dagli utenti, anche se “Abbiamo pensato a lungo se dotare o meno il programma di questo nuovo supporto” -spiega- “perché lo avrebbe reso più lento del 15%”.

D'altro canto, bisogna pur dire che, ora, con ocl-Hashcat-plus si possono raggiungere fino ad otto miliardi di tentativi, al secondo, su un numero illimitato di password da recuperare.

Non è un segreto che, milioni di persone, si affidino oggi a password e passphrase online, lunghe e complesse, nella speranza di creare veri e propri muri impenetrabili, anche dalle tecniche del più abile degli hacker.

Ciò non ha di certo scoraggiato gli smanettoni, che hanno risposto espandendo le fonti da cui i programmi possono attingere, al fine di scovare le password.

Tanto che, qualche tempo fa, un ricercatore della sicurezza è riuscito a decifrare la password “Ph'ngluimglw'nafhCthulhuR'lyehwgah'naglfhtagn1”, grazie al fatto che quest'incomprensibile vocabolo era inserito in un articolo pubblicato su Wikipedia, a proposito della storia “The Call of Chthulhu” di H. P. Lovecraft.

Se anche una password come quella sopra riportata si è rivelata, alla prova dei fatti, inaffidabile, è davvero impossibile difenderci, allora, dagli attacchi della nuova generazione di hacker?

In effetti, qualche accorgimento, quantomeno per complicare loro la vita, ci sarebbe anche.

Come si è visto, scegliere una password più lunga di 24 caratteri potrebbe rivelarsi, oggi, non più sufficiente: più opportuno si potrebbe rivelare, invece, fare ricorso ad una buona dose di creatività.

La miglior strategia di difesa, in questi termini, è senz'altro quella di ricorrere -nel computare la password online- ad un mix di lettere (maiuscole e minuscole), numeri e caratteri speciali (punti esclamativi, interrogativi, ecc.).

Infine, è della massima importanza che la frase così ottenuta, non abbia alcun collegamento con la nostra vita privata, il più delle volte facilmente riscontrabile su Facebook.