Quanti tentativi deve fare un hacker per indovinare la vostra password?

Una buona password deve avere una resilienza di 1.000.000 di tentativi per difendersi adeguatamente da un attacco online. Ma questo è troppo difficile.

Le ultime linee guida NIST (National Institute for Standards and Technology) hanno fissato in 100 tentativi falliti il numero massimo che dovrebbe attivare un lock-out: “Salvo diversamente indicato nella descrizione di un determinato authenticator, il verifier DOVRÀ efficacemente limitare gli attacker online a 100 tentativi falliti consecutivi su un unico account in un periodo di 30 giorni.”

Ma siamo sicuri di utilizzare password in grado di resistere a 100 tentativi? Assolutamente NO!

Secondo alcune Ricerche in Cina e Regno Unito, un hacker avendo disponibili alcune delle vostre Personally Identifiable Information (PII) ha una possibilità su cinque di scoprire la vostra password prima di superare il limite di 100 tentativi previsto dal NIST.

Se poi si rientra nei milioni di persone i cui dati sono stati rubati dagli ultimi attacchi ad Yahoo, LinkedIn ed altri, le nostre PII di pubblico dominio potrebbero facilmente condurre alle vostre password.

Il modo corretto di gestire e di archiviare adeguatamente le password negli ultimi anni è stato delegato agli amministratori di sistema, togliendole così dalla gestione “personale e poco fantasiosa” dei singoli utenti.