Generare una password sicura: Digitale.co
Generare una password sicura è una delle pratiche base che ogni utente dovrebbe attuare alla creazione di un nuovo account. In realtà, magari complice la pigrizia o il dubbio amletico “e se poi me la dimentico” è possibile vedere come alla fine le password più usate al mondo siano estremamente vulnerabili.
In un precedente articolo vi avevo già suggerito qualche “trucco” su come gestire e generare una password sicura. Ultimamente però ho trovato un nuovo servizio che può essere utile non solo per generare password degne di questo nome ma anche, al contempo, per capire quanto è robusta la password e se questa è già stata oggetto di furto.
Digitale.co: vi aiuta a generare una password sicura
Girando per la rete mi sono imbattuto in digitale.co. Tra le varie pagine ho trovato questo simpatico generatore di password casuali: come molti altri applicativi questa pagina, una volta configurati pochi semplici parametri, vi aiuterà a generare una password casuale.
Come funziona il generatore di password
Generare una password sicura con questo strumento è molto semplice ed intuitivo: vi basterà selezionare dal menu a destra quali tipi di carattere volete inserire nella vostra password e con il cursore a sinistra selezionare la lunghezza della parola chiave che volete generare. Il gioco è fatto la vostra password sicura è pronta per essere usata.
Qualche informazione aggiuntiva sulla vostra password sicura
Questo servizio, oltre a generare una password sicura per voi, vi da qualche informazione aggiuntiva. Queste informazioni non sono fondamentali ma vi aiutano a capire meglio quanto una password possa essere esposta a rischio.
Quanto tempo di vuole per decifrare la vostra password sicura?
Il sistema vi da una stima di quanto tempo sia necessario per forzare la vostra password con un attacco a forza bruta (ovvero provo tutte le combinazioni possibili finchè non la trovo): magari non sarà un valore esatto ma sicuramente vi da un’idea di quanto siate a rischio. Usereste mai una password che è decifrabile in meno di un secondo? Nell’esempio dell’immagine sopra quella password di 16 caratteri è forzabile in un bilione di anni (ovvero un milione di milione di anni o se preferite mille miliardi di anni). Sembrerebbe un tempo abbastanza lungo no?
La tua password è già nota alla rete?
Una seconda informazione utile che vi offre questo servizio è la presenza della vostra password nei database delle password trafugate: se la vostra password compare in questi elenchi è molto più facile decifrarla perchè è già in un elenco noto e non vuol dire più “tirare combinazioni a caso finchè la vostra password non viene scoperta”. Quindi se il sistema vi dice che la password è nota….bhe cambiate password.
Un uso alternativo per generare una password sicura
L’obiezione più comune è sempre “OK, ma come posso ricordarmi una password del genere”: le password generate con caratteri casuali sono le più sicure ma, ovviamente le più difficili da ricordare.
Giocando un po’ con questo portale ho scoperto che offre anche un servizio aggiuntivo:
In pratica, inserendo nel campo password la propria parola chiave del cuore, il sistema risponde analizzandola e dicendovi quanto è robusta. Esattamente come se la avesse generata lui automaticamente. Supponiamo che la nostra password del cuore sia Parola_chiave_123! ecco cosa risponde il sistema:
Come vedete dall’esempio la nostra password Parola_chiave_123! sembrerebbe essere abbastanza sicura:
- Secondo il portale servono sette miliardi di miliardi di anni per scoprirla.
- Non è mai stata trafugata e quindi non è presente negli elenchi delle password già note.
Quindi questa password, che magari ci riusciamo anche a ricordare, sembrerebbe pure abbastanza sicura da essere usata in tranquillità.
Nota aggiuntiva sulla sicurezza
Ho controllato il traffico che genera il portale. Questo perchè è buona prassi che un portale che genera password lo faccia solo in locale sulla macchina dell’utente. Ho dato un’occhiata al traffico che genera la pagina e, nonostante non sia specificato, la chiave viene generate solo localmente quindi senza coinvolgere server esterni. L’unico traffico generato è quello per verificare l’eventuale compromissione (questo controllo viene fatto facendo un controllo su haveibeenpwned.com).
Cosa succede quando metto una mia password
Su Facebook mi hanno chiesto “ma cosa succede se io inserisco la mia password come hai suggerito? Non è che finisce in qualche database?”
La risposta è no: ho monitorato il traffico della pagina e l’unica cosa che fa è verificare inviando una stringa SHA1 che non sia nel database di haveibeenpwned. Ho fatto un test con la password inviolabile “pippo”: la pagina fa 5 chiamate GET al servizio API di haveibeenpwned senza mandare in chiaro la vostra password.
Qualche dettaglio tecnico
“pippo ha 5 caratteri quindi il sistema fa 5 chiamate GET verificando le combinazioni create mano mano che digitate (p, pi, pip, pipp, pippo). Le chiamate fatte sono come la seguente di esempio:
curl “https://api.pwnedpasswords.com/range/D012F” ^
-H “Accept: application/json, text/plain, */*” ^
-H “Referer: https://www.digitale.co/” ^
-H “User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36” ^
–compressed
La chiamata è in GET (quindi chiede dati ma di fatto non ne invia), la chiamata non ha nessun payload (quindi nessuna informazione che manda con la richiesta) e tutto quello che viene inviato è codificato SHA1.
Versione breve dello spiegone: Sì la vostra password del cuore è al sicuro!
In conclusione:
Digitale.co offre un servizio di generazione password. Niente di particolarmente innovativo, se vogliamo la scoperta dell’acqua calda ma è anche vero che, se vengono creati questi tool, è proprio perchè si continuano ad usare password come “123456”, “pippo” e “password”. La cosa che mi è piaciuta di più è proprio il fatto che questo servizio aiuti a sensibilizzare gli utenti sull’uso di password sicure. La stima offerta su quanto temp sia necesario per forzare la password può essere utile a chi non è un addetto ai lavori. Forse è quasi più riuscita l’opera di sensibilizzazione sull’uso di password sicure piuttosto che il tool in sè. Sempre ricordandoci che battere tasti a caso sulla tastiera è un ottimo modo per generare una password sicura!
Follow me!
E come in ogni articolo vi ricordo che, se questi articoli vi sono piaciuti, potete rimanere sempre aggiornati iscrivendovi alla mailing list o unendovi al canale telegram del blog. Inoltre QUI trovate tutti i link ai vari social collegati al blog!
Pingback: Mi hanno (quasi) hackerato il profilo Instagram - Alessandro Balboni
Pingback: Google Authenticator: proteggi i tuoi account - Alessandro Balboni