Una passphrase (dall'inglese password e phrase, lett. "frase chiave", "frase d'ordine" o "frase di accesso"), in ambito informatico e crittografico, indica un insieme di parole o di stringhe alfanumeriche (di solito separate da caratteri non alfabetici, come numeri, caratteri speciali o il carattere Spazio) utilizzato per l'autenticazione ad un sistema, ad un programma, ad una base dati o ad una rete, oppure per effettuare operazioni di cifratura. Si crede sia stato Sigmund N. Porter nel 1982 ad inventare il concetto moderno di passphrase.[1]
Differenza con la password
[modifica | modifica wikitesto]La principale differenza fra "passphrase" e "password" è il numero di caratteri utilizzato per la costruzione delle stesse (che, normalmente, sono - dovrebbero essere - non meno di 20/30 nel primo caso e 6/8 nel secondo caso): il più elevato numero di caratteri (e l'utilizzo di parole o stringhe assemblate in maniera, possibilmente, casuale) rende una "passphrase" meno vulnerabile, rispetto ad una "password", ai cosiddetti attacchi a "forza bruta" e a quelli basati su dizionari.
Il fatto che una "passphrase" possa essere costruita a partire da una frase di senso compiuto può permettere di ricordarla senza doverla appuntare per iscritto, fatto che, di per sé stesso, ne aumenta la sicurezza.
Tuttavia, se la "passphrase" non è appropriatamente protetta dall’autenticatore e viene mostrata in chiaro, tutta la sua efficacia svanisce. Per questo motivo si raccomanda di non utilizzare la stessa "passphrase" su differenti siti o servizi.
Sicurezza
[modifica | modifica wikitesto]Le "passphrases" possono essere relativamente fragili: per raggiungere un livello di sicurezza elevato (80-bit secondo il NIST), una "passphrase" dovrebbe avere una lunghezza di 58 caratteri, includendo anche maiuscoli e alfanumerici.
Se le parole usate per comporre una "passphrase" sono presenti nel dizionario, esse possono ridurne drasticamente la sicurezza, rendendolo vulnerabile ad attacchi di tipo dizionario. Questo può essere un problema se l’intera frase può essere ritrovata, ad esempio in un libro di citazioni. Tuttavia, il tempo e i costi che possono richiedere un attacco di tipo dizionario possono renderlo impraticabile: tutto ciò dipende da quante parole ci sono nella "passphrase" e dal loro ordine. Scegliendo parole non presenti nel dizionario si ottiene una "passphrase" molto più sicura.
Creare una frase di accesso
[modifica | modifica wikitesto]I criteri per la scelta di una frase di accesso sufficientemente "robusta" sono analoghi a quelli per la costruzione di "password" sicure:
- lunghezza sufficiente a rendere la parola o frase di difficile individuazione (all'aumentare del numero di caratteri aumenta esponenzialmente il numero delle disposizioni possibili);
- non contenenti parole o frasi reperibili in un dizionario, oppure celebri. Nel mezzo del cammin di nostra vita mi ritrovai per una selva oscura ché la diritta via era smarrita (Dante, Inferno - Canto primo, vv. 1-3) non è una passphrase sicura;
- difficile da intuire, anche per qualcuno che conosce bene l'utente.
- contenenti combinazioni del maggior numero possibile di "tipi" di caratteri: maiuscoli, minuscoli, numeri e caratteri speciali;
- facili da ricordare (tanto da poter evitare di essere scritte) e da digitare correttamente.
Il metodo diceware è uno di quelli che permettono di costruire una passphrase che sia un buon compromesso fra sicurezza offerta e semplicità di memorizzazione.
Esempi di metodi
[modifica | modifica wikitesto]Un metodo per creare una "passphrase" efficace è quello di utilizzare dei dadi per selezionare parole casuali da una lunga lista, una tecnica alla quale spesso ci si riferisce con il termine inglese "diceware". Dal momento che una tale combinazione di parole potrebbe apparire come una violazione della regola “niente citazioni o parole da libri” bisogna notare che la sicurezza di questa tecnica è interamente basata sul grande numero di possibilità di combinazione tra le parole scelte da una lista. Per esempio, se ci sono 7776 parole in una lista e dobbiamo sceglierne 6 di queste, allora ci sono 77766 = 221 073 919 720 733 360 000 000 combinazioni.
Un altro metodo è quello di scegliere due frasi, trasformare la prima in un acronimo, per poi includerlo nella seconda frase. Ad esempio: Ogni mattina in Africa quando sorge il sole, diventa omiaqsis. Aggiungendo: una gazzella si sveglia e sa che dovrà correre più del leone, diventa il seguente "passphrase": una gazzella si sveglia e sa che dovrà omiaqsis correre più del leone.
Ci sono diversi motivi per cui questo esempio non può andare bene:
- È troppo lunga, di conseguenza è possibile commettere errori di digitazione.
- Individui e organizzazioni, che si occupano di sicurezza informatica, hanno compilato liste di possibili "passphrases" che derivano dalle più comuni citazioni, testi di canzoni, ecc..
"The PGP Passphrase FAQ"[2] suggerisce di trovare un equilibrio tra sicurezza e praticità: le procedure per trovare una "passphrase" coinvolgono un compromesso tra sicurezza è facilità di utilizzo. La sicurezza dovrebbe essere "adeguata" ma non "frustrante" per gli utenti. Entrambi i criteri dovrebbero essere presi in considerazione durante la creazione della "passphrase" e gestiti in base alla situazione.
Note
[modifica | modifica wikitesto]- ^ Sigmund N. Porter. "A password extension for improved human factors". Computers and Security, 1(1):54-56, Gennaio 1982.
- ^ Randall T. Williams (1997-01-13). "The Passphrase FAQ" Archiviato il 18 febbraio 2018 in Internet Archive.. 2006-12-11.