La ribalta internazionale è arrivata grazie a Mira Modi, ragazzina undicenne di New York che cura un servizio di "assistenza" via posta (cartacea, non elettronica) al costo di appena due dollari. Per Modi è più che altro un gioco, ma grazie ai suoi dadi aiuta decine e decine di utenti in tutto il mondo a creare una password sicura e inattaccabile. O, per meglio dire, una passphrase sicura e inattaccabile grazie al diceware (da dice, dadi in inglese)
Che cos'è il diceware
Con la sua iniziativa – creare passphrase "manualmente" e inviarle via posta cartacea – Mira Mondi ha dato nuovo lustro al diceware, tecnica ideata nel 1995 da Arnold Reinhold che consente di creare passphrase (un insieme di parole che formano una breve frase non necessariamente di senso compiuto) sicure con le quali proteggere i propri account sul web o la rete Wi-Fi di casa.
Il diceware è utilizzato per creare chiavi di crittografia difficili da "craccare" ed è basato sul principio della selezione casuale di elementi all'interno di una lista data (come, ad esempio, una lista di parole). Questa selezione permette di dare vita a passphrase facili da ricordare e resistenti ad attacchi di qualunque genere, hashcat incluso.
Come funziona il diceware
Per creare una chiave di crittografia con il diceware è necessario avere sottomano un dado da gioco (quelli a sei facce utilizzati, ad esempio, nel Gioco dell'oca o Monopoli) e un elenco di parole creato appositamente (qui è possibile consultare e scaricarne uno in inglese, ma è disponibile online anche la lista di parole Diceware in italiano, curata da Tarin Gamberini).
In una lista per il diceware le parole sono precedute da un codice numerico di cinque cifre (tutte comprese tra 1 e 6) che le identifica univocamente. Tirando il dado per cinque volte si comporrà il codice di uno dei termini presenti nell'elenco diceware: per comporre la password "inattaccabile" è sufficiente ripetere questa operazione tante volte quante sono le parole necessarie a realizzare la propria frase segreta. Sta all'utente scegliere il numero di parole costituenti la passphrase personale: se si vuole una chiave di crittografia composta da cinque parole si dovrà tirare il dado per 25 volte (cinque volte a parola per cinque parole), mentre una password di sette parole richiede 35 lanci (cinque lanci a parola per sette termini da selezionare nella lista).
Per facilitare i compiti mnemonici degli utenti, la lista di parole diceware è composta da termini brevi (media di 4,2 caratteri per parola, lunghezza massima sei caratteri) o da abbreviazioni e sigle. In questo modo ricordare la password sicura del router Wi-Fi sarà molto più semplice.
L'entropia delle password
A garantire l'inviolabilità quasi assoluta delle password scelte tramite diceware ci pensa l'entropia. Questo termine indica la misura dell'incertezza o della casualità di un sistema. In questo ambito, l'entropia serve a predire quanto sarà difficile per un hacker riuscire a indovinare una password anche conoscendo la tecnica utilizzata per scegliere o costruire la password stessa. Per scegliere una password sicura, dunque, sarà necessario adottare un metodo ad alta entropia, così da aumentare il grado di "incertezza" e "casualità" del sistema.
Nel caso del diceware, l'entropia è di 12,9 bit per ogni parola di cui si compone la password. Per una passphrase di cinque parole l'entropia è di 64,5 bit (5*12,9), mentre per passphrase di otto parole l'entropia è di 103,2 bit (8*12,9) e così via. Con un vocabolario di 7.776 termini (tanti quelli inclusi nella lista delle parole diceware), è possibile creare 1,3*10^33 (13 seguito da 32 zeri) password differenti. Se, come sostiene Edward Snowden, i sistemi più avanzati sono in grado di predire fino a un trilione di password al secondo (un trilione equivale a 1.000 miliardi o 10 seguito da 11 zeri), vuol dire che un sistema protetto da un passphrase di otto parole saranno necessari circa 212 miliardi di anni prima di riuscire a indovinare la password. Secondo alcune valutazioni sull'evoluzione e gli sviluppi dell'informatica, una password composta da 8 parole dovrebbe essere inviolabile almeno fino al 2050.
Gli utilizzi delle passphrase e di diceware
Rispetto alle normali password, il metodo diceware è molto più sicuro e permette di alzare un muro invalicabile (o quasi) attorno alla nostra rete domestica e ai nostri profili personali. Non solo: le passphrase trovano applicazione in moltissimi altri campi legati al mondo della crittografia e della sicurezza informatica.
Con il diceware, ad esempio, possono essere create password per PGP (Pretty good privacy), programma di crittografia che permette di proteggere i propri messaggi di posta elettronica e scambi di comunicazioni via Internet, oppure per programmi di crittazione dei dischi come PGPdisk ed Apple's FileVault. Con diceware, infine, si possono creare password da utilizzare come risposta alle domande di sicurezza per il recupero degli account.