Il Blog di Peppe Totaro
17Mag/08Off

Feedback e riflessioni su Diceware

Questo articolo è stato pubblicato nel 2008 (prima versione del blog) e da allora non è stato più revisionato, quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Ricordarsi la passwordDopo il buon successo ottenuto dal precedente articolo sull'argomento password (Diceware: la sicurezza in un dado), ecco un nuovo post che riprende la tecnica Diceware e continua la mia dissertazione sul tema.

Come promesso, cercherò di affrontare nei prossimi interventi il tema sicurezza da più angolazioni e non solo con riferimento a password e passphrase. In questo post vorrei fare alcune semplici riflessioni su Diceware prendendo spunto dai commenti ricevuti. Ne approfitto per ricordare che chiunque può inviare la sua opinione sia tramite l'apposita form dei commenti che scrivendo al mio indirizzo e-mail.

Il "gioco dei dadi" (così molti amici hanno ribattezzato Diceware) per la selezione di password e passphrase ha dato vita a un feedback molto interessante. I commenti sono stati sia critici che entusiasti, ma in ogni caso Diceware ha incuriosito tutti, un po' per l'aspetto ludico e un po' per l'originalità della soluzione.

Le critiche rivolte all'uso di Diceware si possono riassumere in tre punti:

  • procedimento lungo e cervellotico
  • scarsa utilità
  • "problemi" di memoria

In realtà nessuno ha preso in modo netto una posizione di contrasto all'uso di Diceware, piuttosto una parte del feedback ha ritenuto questo metodo pleonastico in considerazione delle vere esigenze di un utente medio.

Il mio punto di vista su Diceware è assolutamente positivo. Non voglio né fare pubblicità né difendere a spada tratta Diceware, ma semplicemente valutare il feedback ricevuto e rispondere alle domande che mi sono state rivolte con le mie considerazioni. Quindi mi limiterò a discutere tout court dei punti appena enucleati, anche perché prossimamente sarà pubblicato un approfondimento di Diceware in cui potrete trovare risposte più esaustive o ulteriori spunti di riflessione.

Fondamentalmente la tecnica Diceware consta di 5 semplici passi (lista di parole, numero di parole, lancio dei dadi, ricerca delle parole e voilà la password). Il download e l'eventuale stampa della lista di parole sono operazioni preliminari, anche se sono configurate come parte del procedimento. Con questo intendo dire che una volta scaricata la lista (e stampata), non dovremo più occuparci di questo primo passo per tutte le password e passphrase che ci serviranno. In fin dei conti ciò che resta da fare è lanciare i dadi un po' di volte. Quando uso questa tecnica (ripeto che la lista è ormai stampata quindi parto subito con i lanci) riesco a ottenere la mia parola o frase d'ordine al più in due minuti, cioè il tempo necessario a lanciare i dati e cercare le parole. Per questo motivo non credo affatto che il procedimento sia lungo e complesso, anzi è molto divertente. Inoltre, è possibile velocizzare le operazioni di lancio dei dadi seguendo alcuni semplici e intuitivi consigli come quello di preparare una scatola, metterci dentro 5 dadi, scuoterla e avere una cinquina per ogni "scossa" data alla scatola.

Qualcuno ha commentato che, pur essendo facile eseguire il procedimento, preferirebbe affidarsi al proprio buon senso e non ritiene Diceware così utile in un contesto "normale" come quello di un comune internauta. Prima di meditare sul buon senso e sulla necessità, storco subito il naso sulla normalità che dovrebbe caratterizzare un comune utente della Rete. A mio parere la privacy è privacy. Sicuramente una multinazionale avrà esigenze maggiori nella protezione dei dati, ma credo che sia ugualmente importante proteggere dati sensibili ed economicamente importanti come quelli bancari o la propria corrispondenza elettronica. Anche se Diceware non costituisce un sistema di sicurezza, può aiutare chiunque ad avere una buona password e già questo costituisce un buon punto a favore della propria privacy.

Per quanto riguarda buon senso e necessità, innanzitutto credo che non vi sia alcuna necessità. L'uso di Diceware non è obbligatorio, ma è solo un ottimo strumento per assecondare il carattere di dualità di una password ovvero non essere scontata, ma neanche troppo difficile da ricordare (norme basilari di sicurezza). In linea con questo ragionamento, trovo indispensabile non dover decidere poiché in una nostra decisione potrebbe insinuarsi una qualche "debolezza" della password o passphrase (si pensi a quante persone utilizzano la propria data di nascita o il nome del cane). E il non dover decidere è proprio una peculiarità di Diceware, perché basta lanciare dei dadi e quindi affidarsi a un processo davvero casuale (a meno che il negoziante ci abbia venduto i dadi truccati). Se non siete ancora convinti sull'utilità potete sempre fare una ricerca e trovare (come nel sito ufficiale di Diceware e nella versione italiana) numerose esperienze negative dovute alla "leggerezza" nella scelta di password e passphrase.

L'ultima critica, probabilmente quella che più mi affascina, è relativa alla memorizzazione di password e passphrase. Già nel post precedente avevo segnalato una chicca per la memorizzazione di una passphrase Diceware suggerita da Arnold Reinhold. La proposta di Reinhold è molto semplice e cerca di sviluppare un meccanismo mnemonico. Prima di tutto si deve conoscere il significato di ogni parola e poi si può "ricamare" sulla passphrase una storia che usa quelle parole. Reinhold propone un valido esempio in inglese, ma è giusto fornirne uno in italiano. Consideriamo la passphrase ottenuta dalla dimostrazione nel precedente post. Essa era composta dalle seguenti parole:

casi botole stadi maglie venivo

Senza perderci troppo tempo, una "storiella" che rievoca tutte queste parole potrebbe essere la seguente: Nella maggior parte dei casi è proibito introdurre bottiglie e fiaccole negli stadi di calcio, ma le maglie della squadra del cuore si possono portare e inoltre le vende anche qualche abusivo fuori dallo stadio.

Bisogna ammettere che per le password questo meccanismo potrebbe portare a una elefantiasi di informazioni, perché dovremmo ricordare troppe storielle in relazione alla grande quantità di password di cui facciamo uso. Eppure per le passphrase, ad esempio la chiave WPA in una rete Wi-Fi, una bella storia facile da ricordare può essere molto utile e soprattutto "pratica". Naturalmente ognuno è libero di crearsi il sistema di memorizzazione in base alle proprie preferenze.

Infine, vorrei sottolineare un altro aspetto ovvero la ripetitività delle password. Moltissimi utenti tendono ad utilizzare sempre la stessa password cambiando qualche carattere o, il più delle volte, lasciandola immutata. Questo comportamento è banalmente ravvisabile nella necessità di ricordarsi facilmente le password di molteplici account e non dover pensare ogni volta a una matrice per la propria password (per quanto possa essere varia la nostra vita, le parole significative sono sempre limitate). Anche in questa prospettiva Diceware può rivelarsi molto utile.

Personalmente nutro un forte interesse nei confronti di Diceware per la semplicità d'uso e la vera casualità insita nel procedimento. Tuttavia esistono molti altri metodi per "scegliere" una password, altrettanto sostenuti e ben documentati. Per completezza di informazione, senso critico e soprattutto il desiderio di soddisfare tutti coloro che mi hanno chiesto chiarimenti, mi prodigherò in una trattazione più approfondita in materia di password. Quindi oltre alla ulteriore disamina che seguirà su Diceware, redigerò altri interessanti metodi su password, passphrase e sicurezza in generale.

Giuseppe

Be Sociable, Share!
Commenti (3) Trackback (0)
  1. Ma non sarebbe possibile creare un dado elettronico? Un micro-software che ti risolve il problema? Certo forse, lo dico da incompetente, creare la password sul pc aumenterebbe la vulnerabilità della parola chiave? Però non sarebbe male, magari qualcosa che combina numeri e parole.

  2. Enzo, la risposta è in parte contenuta nella tua domanda: “creare la password sul pc aumenterebbe la vulnerabilità della parola chiave”. Il problema principale risiede nel sistema utilizzato per generare la password. A tal proposito ti consiglio di leggere la parte sui numeri pseudo-casuali del primo post su Diceware o aspettare un approfondimento su questo blog. Grazie per il feedback.

  3. Grazie Peppe per le precisazioni.

    Adesso mi rendo conto che il procedimento non e’ poi cosi’ “macchinoso”.
    Interessante il discorso sulla “ripetitivita’”, molto pericolosa …

    Ciao Peppe 😉


I trackback sono disattivati.

Translate »