Il fulcro sul quale ruotano la maggior parte dei problemi legati alla sicurezza dei sistemi di tipo informatico e dei servizi a essi relazionati (come ad esempio gli spazi personali afferenti alle reti sociali) è sicuramente legato al buon uso delle password; nonostante le continue conquiste tecnologiche, infatti, esse rappresentano ancora il punto nevralgico dei sistemi di sicurezza.

Un aspetto che in qualche modo può essere considerato rassicurante è legato alla constatazione che la maggior parte dei problemi legati alle password non scaturiscono da una debolezza intrinseca di questo tipo di meccanismo, bensì, da una gestione impropria di esso: vedremo che l’adozione di alcuni piccoli accorgimenti è sufficiente a rendere questo sistema quasi inespugnabile.

Purtroppo, come spesso avviene in ambito sicurezza, molti utenti affrontano questo problema con leggerezza, scegliendo ed utilizzando le password in modo inadeguato e rendendo i loro sistemi estremamente insicuri.

Esistono delle regole di base che consentono la creazione di una buona password, regole che, oltre a garantire un buon livello di complessità non espongono (come tante volte avviene) l’utente al rischio di dimenticare la password escogitata a causa della sua elevata complessità.

Lo stratagemma consiste nell’utilizzare come lettere costituenti la password le iniziali di una frase che conosciamo bene: ad esempio, la famosa frase essere o non essere questo è il problema produrrà la parola eoneqèip.

Il metodo adoperato può essere ulteriormente migliorato sostituendo alcune delle lettere costituenti la parola finale da noi generata con dei numeri o dei caratteri speciali come, ad esempio, la i con il numero 1, la o con il numero 0 o la a con il carattere speciale @. Applicando quanto appena detto al precedente esempio, otterremo la parola e0neqè1p.

Purtroppo, almeno in linea teorica, nessuna password al mondo può essere ritenuta sicura al 100%, in quanto, anche escludendo i rischi di smarrimento o furto, la sua decodifica da parte di un malintenzionato é solo una questione di tempo, anche se, comunque, una corretta politica di scelta e di gestione può allungare di molto questo tempo, rendendo l’operazione di decodifica inaccessibile alla maggior parte degli aggressori comuni: a seconda della complessità, il tempo necessario per l’individuazione potrebbe corrispondere a svariati anni uomo (anche centinaia); essendo questo problema risolvibile solo attraverso l’utilizzo parallelo di un massiccio numero di elaboratori che, operando in sinergia, sono in grado di frazionare il tempo necessario fino a renderlo accettabile, se ne deduce che la soluzione non è alla portata di tutti ma solo di grosse e potenti strutture come, ad esempio,  INTERPOL  (International Criminal Police Organization), CIA (Central Intelligence Agency) e FBI (Federal Bureau of Investigation).

In merito a quanto appena detto occorre aprire una breve parentesi per accennare al fatto che, negli ultimi anni, si è sentito spesso parlare dell’utilizzo congiunto (consenziente o non consenziente) di tante macchine connesse alla rete internet allo scopo di raggiungere un certo obiettivo: questo scenario lascia intravedere la possibilità di ridurre i tempi uomo necessari all’individuazione di una password.

Riassumiamo tutto quanto finora detto della successiva tabella contenente alcuni consigli utili per la creazione e la gestione di una password; pur rappresentando essi solo delle linee guida basilari, sono in grado di garantire una complessità ottimale e, di conseguenza, una buona robustezza:

• Utilizzare almeno sette caratteri per la password al fine di renderne difficile l’individuazione attraverso le tecniche di tipo Brute Force basate su tentativi reiterati nel tempo;

• non adoperare mai parole di senso compiuto o di carattere personale come, ad esempio: nomi di persona, date di nascita, codici fiscali, etc.;

• adoperare in modo congiunto, lettere maiuscole e minuscole, numeri e caratteri speciali come, ad esempio: $, @;

• Non riutilizzare mai la stessa password in più contesti (macchine e/o servizi diversi) al fine di evitare un effetto a catena qualora questa venga individuata.