Quello di cui parliamo oggi è un sistema semplice e ingegnoso per avere password sicure, lunghe, complesse ma memorizzabili.
Oggi per avere password sicure (e diverse tra loro) per i tanti servizi che usiamo, il keyring è indispensabile. Io uso Keepass.
Ci sono però un paio di password che bisogna comunque memorizzare:
1) la password del keyring stesso (qui ovviamente il keyring non può aiutarti)
2) la password di accesso al computer (il keyring lo apro dopo essermi loggato e sarebbe scomodo usare il keyring su telefono per accedere al pc)
Per queste due password da qualche anno uso un sistema semplice e ingegnoso che si chiama Off The Grid, gentilmente offerto dal buon Steve Gibson.
Perché usare un sistema diverso da una password mnemonica? Perché qualunque password che si riesce a memorizzare per definizione ha una bassa entropia, quindi è poco sicura.
Il keyring è un compromesso importante, un paniere all’interno del quale mettiamo tutte le nostre uova, qui abbiamo le password di tutti i nostri account, le nostre identità digitali. Usiamo il keyring proprio per avere password sicure e diverse tra loro, direi che non è il caso di proteggerlo con una password debole.
La password che useremo quindi non può essere facilmente memorizzabile.
Non vanno bene neanche le frasi lunghe composte da tante parole, l’entropia di una frase è bassa anche se i caratteri sono tanti. Tutto quello che riesci a memorizzare facilmente ha una bassa entropia, su questo ci dobbiamo rassegnare.
Come si può avere una password lunga, complessa, quindi non memorizzabile, in modo comodo? Entra in gioco la genialità di Off The Grid.
Il concetto è molto semplice, pensa al cifrario di Cesare che era un sistema semplicissimo per tradurre una lettera in un’altra lettera:
Testo in chiaro: a b c d e f g h i l m n o p q r s t u v z
Testo cifrato: D E F G H I L M N O P Q R S T U V Z A B C
Nel cifrario di Cesare ogni lettera viene tradotta in un’altra lettera, un concetto molto semplice. Ad ogni lettera della prima riga sostituiamo la lettera della seconda riga. Semplice ma poco sicuro.
Facciamo un esempio: codifichiamo la parola “ciao”. La c diventa F, la i diventa N e così via fino ad ottenere FNDR. Questo cifrario è debole perchè ogni lettera si mappa sempre nello stesso modo. la c diventa sempre F, la i diventa sempre N. Quindi non è difficile ricostruire la password originale.
Off The Grid estende questo concetto per renderlo più flessibile e comodo, soprattutto estremamente più sicuro anche se concettualmente stiamo sempre usando uno strumento che converte un testo in un altro testo. Ogni lettera viene mappata in un’altra lettera ma non sempre la stessa. La differenza principale è questa.
Come funziona
Off The Grid è una griglia piena di caratteri scelti a caso. La stampi e te la metti nel portafogli oppure la fotografi e ti tieni la foto sul telefono, o entrambe le cose.
La griglia serve, come il cifrario di Cesare, a tradurre la tua password memorizzabile in una password diversa, con un’entropia molto più grande quindi non indovinabile né craccabile a forza bruta.
A differenza del cifrario di Cesare, ti consente di generare una password anche molto più lunga di quella memorizzata.
Tutto questo con un procedimento semplice e rapido anche se a prima vista non sembra. Devi provare per credere.
Prima di vedere come funziona riassumiamo ancora i vantaggi:
1) consente di generare velocemente una password lunga e complessa (ad alta entropia) a partire da una password facilmente memorizzabile
2) consente di cambiare periodicamente la password senza cambiare la password memorizzata
Il principio è molto semplice.
La griglia ha un carattere per cella, i caratteri sono assolutamente casuali e il sito di Steve Gibson offre un generatore di griglia ad alta entropia che puoi usare per ottenere subito la tua griglia.
Con un paio di regole semplici “navighi” all’interno della griglia usando come guida la tua password e da questa “navigazione” emerge la password ad alta entropia.
Per navigare, come ogni buon esploratore, devi scegliere tre cose:
1) Il punto di partenza: una cella a tua scelta da cui parte la tua navigazione nella griglia.
2) Il percorso. Ad esempio: si scende lungo la colonna fino a trovare la lettera cercata (la prossima lettera della tua password memorizzata) e poi si scorre verso destra lungo la riga fino a trovare la prossima lettera. Ripeterai questa sequenza più volte fino alla fine della password memorizzata.
3) L’obiettivo finale, cioè quali caratteri prendere per comporre la password: ad esempio ogni volta che ti fermi, prendi il carattere che è nella cella a destra di quella in cui ti sei fermato.
Questi tre punti sono il tuo algoritmo per navigare la griglia usando la password memorizzata come guida. Password e algoritmo sono il tuo segreto, li puoi variare a piacere. La griglia può cambiare ma loro no. Impari una volta e sei a posto per sempre.
Facciamo un esempio: la password che hai in memoria è amazon (e qui già puoi intuire come usare la griglia per generare una password diversa per ogni sito internet).
La cella di partenza qui è la terza della prima fila partendo da sinistra.
L’algoritmo di navigazione è: scendi fino a trovare la prossima lettera, poi a destra fino a trovare la successiva, e via così
Come puoi vedere dall’immagine (presa dal sito di Steve, come tutte le altre) una volta capito il concetto, la navigazione è molto semplice, con un minimo di pratica diventa automatica. Navigherai la griglia come un provetto marinaio.
Se vuoi una password lunga, ogni volta che ti fermi prendi due lettere invece di una, oppure anche tre. Scegli tu, è una scelta da fare solo una volta.
Ecco. Con questo sistema puoi generare una password lunga a piacere e ad altissima entropia ricordandone una facilmente memorizzabile. Puoi cambiare la password quando vuoi semplicemente stampando una nuova diversa griglia, il resto non cambia.
La password che ottieni sarà lunga e casuale, una password coi baffi. Una password così è difficile da memorizzare ma usandola tutti i giorni in realtà dopo un po’ io riesco a memorizzarla. Certo, se vado in ferie per due settimane, quando torno l’ho dimenticata. Questo comunque è sufficiente per non dover tirare fuori la griglia ad ogni occasione.
Autenticazione a due fattori
Questa griglia è, di fatto, un “second factor authentication” cartaceo. Alta crittografia e bassa tecnologia.
A partire dalla password che conosci, grazie alla griglia ottieni la tua password complessa. Ti serve una cosa che sai (la password che memorizzi) e una cosa che hai (la griglia).
Se hai usato un conto di online banking sai che il “second factor” è un fattore di sicurezza molto importante. Non basta indovinare o sottrarti con l’inganno la password, serve anche il “second factor” che può essere un token elettronico, una tesserina piena di codici usa e getta, un sms ricevuto sul telefono. Off The Grid è più sicuro di tutti questi sistemi, e anche più semplice.
Cambiare la password
Altro vantaggio di Off The Grid è che cambiando la griglia cambia completamente la tua password. Dal momento che la griglia traduce la tua password memorizzata nella password complessa e sicura che vai da utilizzare, basta cambiare griglia per avere una nuova fiammante password pur mantenendo invariata la password memorizzabile.
Questo è molto importante perché così si elimina alla radice il principale lato negativo dei cambi di password frequenti: spingono a usare password facili da memorizzare e quindi deboli.
Con questo sistema hai una password lunga, complessa, la puoi cambiare frequentemente, non hai bisogno di alcun dispositivo elettronico. Cosa vuoi di più?
Trovo questo sistema non solo geniale ma anche pratico e comodo. L’ho adottato anni fa e non l’ho più abbandonato.
Per tutti gli altri dettagli, le varianti e gli approfondimenti tecnici fai riferimento al sito originale di Steve Gibson.