L’inventore di uno dei metodi più “sicuri” per le password, Bill Burr, sostiene freddamente di aver sbagliato a raccomandare l’uso di caratteri speciali, numeri e lettere per renderla inespugnabile. Lo scrive nel suo rapporto per il National Institute of Standards and Technology (NIST),dove invece consiglia di utilizzare le password composite e di cambiarle periodicamente.
Il rapporto è diventato rapidamente popolare. Soprattutto, molte aziende e organizzazioni come banche, università, agenzie governative, e tante altre aziende che richiedono ai loro utenti di inserire caratteri speciali per le password al fine di renderle più sicure ora, probabilmente, devono rivedere qualcosa.
Burr riconosce il suo errore in un’intervista con il Wall Street Journal. La ragione, ha detto nell’intervista, è che gli utenti stanno creando password decisamente poco sicure. E non importa cosa venga chiesto come requisito minimo nell’utilizzare caratteri speciali, numeri e lettere.
Si afferma che le persone usano ancora parole – come password, appunto – che si riferiscono direttamente a loro. E, anche se scritte con caratteri speciali, rimangono comunque poco sicure. Inoltre, Bill Burr ha detto nell’intervista: “Mi rammarico molto di ciò che ho fatto e detto all’epoca. Queste regole per le password uniche hanno reso le persone folli e non importa quello che fai o chiedi loro, continuano a scegliere password non idonee“.
Ora il NIST e Burr consigliano di utilizzare lunghe frasi che l’utente può facilmente ricordare. Essendo un lavoro decisamente più lungo per gli hacker, quello di decifrare un’intera frase, si pensa possa essere più sicuro. Sopratutto ora che il loro software è abituato ad una breve parola, seppur con personaggi “complicati” e numeri a senso.
Per quanto riguarda la modifica delle password da operare di tanto in tanto, anche se si pensa sia prassi obsoleta, si consiglia agli utenti di cambiare la password solo quando necessario.
