ADSENSE
|
Diceware: un metodo senza tempo per password robuste e memorizzabili
Nel panorama della cybersecurity, alcune innovazioni resistono alla prova del tempo.
Il metodo Diceware, nato nel 1995, ne è un esempio lampante.
Questo sistema intelligente permette di generare Diceware password robuste e memorizzabili, sfruttando un principio di casualità che rimane valido ancora oggi.
Scopriamo come funziona e perché l’uso dei dadi è così geniale.
La nascita di diceware e il problema delle password
Molto prima dell’avvento dei moderni password manager e delle passkey, Arnold G.
Reinhold, informatico e consulente di sicurezza digitale, aveva intuito un problema fondamentale: gli esseri umani sono pessimi generatori di dati casuali.
Da questa consapevolezza è nato Diceware, un sistema progettato per creare password complesse ma facili da ricordare.
Negli anni ’90, la vulnerabilità delle password era già evidente.
Gli utenti tendevano a scegliere combinazioni semplici, a riutilizzare le stesse credenziali o a modificarle in modo prevedibile.
Reinhold comprese che la sicurezza non doveva dipendere dalla difficoltà umana di memorizzare sequenze alfanumeriche complesse, ma dalla casualità matematica intrinseca alla credenziale.
L’innovazione dei dadi e il concetto di entropia
L’idea centrale di Diceware è sorprendentemente semplice: utilizzare dadi fisici per generare parole casuali.
Questa scelta, apparentemente folkloristica, è in realtà geniale.
I dadi offrono una fonte di casualità autentica e non deterministica, a differenza dei generatori di numeri pseudo-casuali dei computer, che, seppur complessi, seguono algoritmi prevedibili.
Come i dadi generano casualità per le password
Cinque lanci di un dado a sei facce producono 7776 combinazioni uniche.
Diceware associa ciascuna di queste combinazioni a una parola specifica contenuta in una wordlist (un elenco di parole).
Ad esempio, la wordlist di EFF o altre versioni in italiano contengono proprio 7776 parole.
Effettuando più lanci consecutivi, si ottiene una sequenza di parole che forma una passphrase lunga e sicura.
L’entropia e la robustezza delle password diceware
L’efficacia di una password si misura con la sua entropia, che indica l’imprevedibilità.
Secondo la teoria dell’informazione di Claude Shannon, ogni parola scelta da una wordlist di 7776 elementi aggiunge circa 12,9 bit di entropia.
Con sei parole scelte a caso, si raggiungono circa 77,5 bit, un livello di sicurezza elevato anche per gli standard attuali.
La robustezza delle password Diceware si distingue: 1.
Meno di 40 bit: Inaccettabile, vulnerabile ad attacchi. 2. 40 – 60 bit: Debole/sufficiente, non ideale per dati sensibili. 3. 60 – 80 bit: Robusta, sicurezza elevata per la maggior parte degli usi. 4. 80 – 100 bit: Molto robusta, ideale per master password e crittografia. 5.
Oltre 100 bit: Livello “militare”, estremamente elevato.
Perché diceware è ancora rilevante oggi
Nonostante l’evoluzione tecnologica con password manager avanzati, autenticazione biometrica e passkey, Diceware mantiene la sua validità.
Questo metodo è particolarmente utile per chi desidera memorizzare password efficaci, come master password, chiavi crittografiche o recovery phrase per wallet digitali.
Il segreto della sua efficacia risiede nella generazione di casualità reale (grazie ai dadi fisici), nella creazione di credenziali memorizzabili, nella riduzione della prevedibilità umana e nell’aumento significativo della lunghezza delle password.
In un’epoca di attacchi basati su pattern probabilistici e password leak, l’approccio matematico di Diceware si dimostra sorprendentemente efficace.
La sicurezza di diceware nonostante le wordlist pubbliche
Anche se le wordlist sono pubbliche e note anche ai criminali informatici, la sicurezza di Diceware non ne è compromessa.
Il vero segreto non è l’elenco delle parole, ma quali parole sono state estratte e in quale ordine.
Lo spazio delle combinazioni rimane enorme.
Ad esempio, con sei parole Diceware si ottiene una robustezza matematica simile a una password casuale di quasi 12 caratteri con tutti i simboli della tastiera.
Generare password diceware senza dadi
Se l’uso dei dadi fisici non è praticabile, è possibile creare passphrase robuste tramite software, purché si utilizzi una sorgente casuale crittograficamente sicura.
In ambiente Windows, PowerShell, sfruttando le API crittografiche di .NET, può generare password Diceware in modo semplice e sicuro, senza la necessità di inviare dati a servizi esterni.
Questo approccio garantisce la generazione di una passphrase in locale, mantenendo elevati standard di sicurezza.
Conclusioni: la persistenza di un’idea geniale
A più di trent’anni dalla sua ideazione, Diceware continua a dimostrare la forza di alcune idee che trascendono il tempo e l’evoluzione tecnologica.
In un contesto dominato da GPU potenti, password leak e attacchi automatizzati, il principio di Arnold Reinhold rimane incredibilmente valido: la vera sicurezza di una password non è nella sua apparente complessità, ma nella “qualità matematica” della casualità che contiene.
Diceware affronta il problema umano della scelta delle password, sostituendo la prevedibilità con un processo casuale semplice ma estremamente efficace.