Password estremamente lunghe, con caratteri maiuscoli e minuscoli, numeri e lettere scelti in modo casuale non bastano a scongiurare il rischio che siano scoperte. Come fare allora per crearne una che sia davvero sicura? Ce lo spiega una ricerca della Carnegie Mellon University, Pennsylvania: il segreto è metterci qualche errore di grammatica.
Un intero settore della Carnegie già da molti anni lavora sulla sicurezza e sulle password. Qui un team di ricercatori, guidati dalla giovane ingegnere informatico indiana Ashwini Rao, ha ideato un nuovo algoritmo quasi infallibile in grado di ‘craccare’ le password delle nostre identità digitali, smentendo la credenza che più queste sono lunghe e più sono sicure.
Lo studio ha analizzato l’impatto delle stringhe molto lunghe e della loro struttura grammaticale sulla sicurezza informatica. Il programma è riuscito facilmente a scovare il 10 per cento delle password con molti caratteri, ma ha fallito in presenza di errori grammaticali. Come altri, anche il nuovo algoritmo è infatti in grado di riconoscere anche frasi lunghe di senso compiuto, applicando le regole di sintassi, utilizzando i più comuni dizionari online e riconoscendo perfino quando vengono utilizzate cifre e segni diversi dalle lettere (ad esempio scrivendo 7 invece che ‘sette’), ma nulla può contro gli strafalcioni.
Attualmente le chiavi più utilizzate, quali la data di nascita, il proprio nickname, stringhe di numeri in fila o il nome del proprio gatto, sono anche quelle meno sicure. Il problema è dunque come coniugare usabilità e sicurezza: ovvero come ricordare una password complicata ma che mi dia la certezza di proteggere i miei dati? E qui entra in gioco la grammatica. Perché errori formali, come ad esempio una parola scritta con troppe doppie o un verbo coniugato male, potrebbero eludere i software attualmente utilizzati per scovare le parole d’accesso. Il tutto, però, fino alla prossima scoperta e a patto di ricordarsi l’errore fatto nella scelta.
I ricercatori puntano il dito contro i colossi del web non ancora in grado di creare sistemi di accesso sicuri ai propri servizi. Già nel 2009 la Carnegie, grazie a una ricerca commissionata da Microsoft, aveva fatto sapere che le password create dagli utenti erano carenti in sicurezza e inventiva. In quella occasione i ricercatori avevano dimostrato che bastavano semplici conoscenti per rispondere alle domande di controllo che permettevano di modificare la parola chiave. E proprio a causa dei troppi furti di dati, Google ha recentemente deciso di sostituire le vecchie password con un chiavetta crittografata.
