Il tizio che ci ha rovinato la vita ora ci ha chiesto scusa
Bill Burr è la persona a causa della quale usiamo password assurde con numeri, maiuscole e caratteri speciali: ora sappiamo che non serve a molto
Un uomo che si chiama Bill Burr ha detto al Wall Street Journal di essere molto dispiaciuto e di voler chiedere scusa al mondo per una cosa che ha fatto 14 anni fa. Nel 2003, quando era impiegato al National Institute of Standards and Technology, un’agenzia del governo statunitense che promuove l’innovazione e le nuove tecnologie, Burr compilò una guida di otto pagine su come avere password sicure. Tra i suoi consigli c’era creare password con caratteri insoliti, numeri, lettere minuscole e maiuscole. Il suo manuale venne adottato da quasi tutte le società online e le sue regole per creare password sicure sono diventate onnipresenti, dai servizi email agli account di homebanking. Burr e la sua guida sono insomma il motivo per cui molte delle password che usiamo tutti i giorni sono divenute impossibili da memorizzare, perché contengono caratteri complicati e inusuali come “§#£&!”.
Il problema è che per quanto possiate usare caratteri strani e imprevedibili, una password breve è sempre più facile da violare rispetto a una sequenza di lettere normali, e più facili da ricordare, ma più lunga. In altre parole: è meglio avere come password una sequenza di parole di senso compiuto e facili da ricordare per chi la conosce, piuttosto che una breve stringa di caratteri incomprensibili e difficilissimi da tenere a mente per un essere umano, ma semplici da indovinare per un computer. Lo spiega molto bene questa vignetta del disegnatore Randall Munroe, usata dal sito Gizmodo per spiegare il problema. Come conclude il disegnatore: «Dopo 20 anni di sforzi siamo riusciti a convincere tutti a usare password difficili da ricordare per gli umani, ma facili da indovinare per i computer».
(di Randall Munroe per il suo blog XKCD, pubblicato in licenza Creative Commons 2.5)
Burr scrisse il suo manuale senza essere un esperto di sicurezza e senza avere una conoscenza approfondita del funzionamento delle password. Oggi ha 72 anni ed è in pensione. Gizmodo comunque sottolinea che Burr ha delle attenuanti. Quattordici anni fa non erano state fatte molte ricerche scientifiche su quali fossero le password più sicure: non era facile capire quale sarebbe stata la password migliore, anche perché non era chiaro che mezzi avrebbero avuto a disposizione le persone intenzionate a rubarla. I ricercatori di oggi, invece, possono basarsi su letteralmente milioni e milioni di esempi diversi.
Leggi anche: Come creare una password imbattibile
L’ultima guida sulle password pubblicata dal National Institute of Standards and Technology, il vecchio ufficio di Burr, consiglia di creare password formate da lunghe sequenze di lettere e numeri, piuttosto che gli strani ammassi di caratteri che suggeriva Burr. Oggi sappiamo che le password migliori sono quelle lunghe, e non semplicemente quelle difficili da ricordare.