La forza delle password
Recuperare una password può essere un processo complicato. Pensate alla codifica come al gioco del Sudoku: più grande e complicato è il puzzle, più difficile sarà riuscire a sconfiggere lo schema di codifica. Ci sono due modi per provarci.
Con il primo, gli hacker provano solitamente a trovare un modello generale. Questo approccio si può ulteriormente dividere in diversi metodi specifici, alcuni dei quali forse vi sono già familiari per averne letto nei nostri articoli. Sono tuttavia metodi complessi che richiedono grandi competenze ed esperienza, sicuramente fuori portata per un utente generico che si è dimenticato la password per recuperare le fatture di due anni prima.
Un approccio molto più primitivo per abbattere la crittografia è il semplice guessing and checking, ovvero indovinare e verificare. Si tratta sostanzialmente di procedere per tentativi, un approccio più famoso con il nome di brute force, forzatura – dà l'idea appunto di forzare una serratura con un piede di porco, provando vari punti di leva finché non si trova quello giusto.
Immaginate di forzare i numeri nello schema del Sudoku, usando prima un gruppo composto esclusivamente da 1, poi 2 e così via fino a un gruppo di "tutti nove". Esistono sistemi di protezione più evoluti che riescono in parte a prevenire – o almeno a rendere lentissimo – questo tipo di attacco; ma programmi semplici come Winzip e WinRar non hanno questo lusso.
Il metodo è quindi semplice e grezzo: provare a indovinare la password fino a che non si trova quella giusta. Il vero problema è il tempo che ci si può mettere: se le risorse di calcolo non sono adeguate infatti ci potreste mettere anni a recuperare una password di otto caratteri. 
Se avete inserito una password lunga e complessa, non ha senso provare a indovinarla a mano. Per questo esistono strumenti software specifici.
L'efficacia – cioè la velocità – di un attacco brute force dipende dalla complessità della password da recuperare. Più è lunga la password, infatti, è più combinazioni di caratteri, numeri e simboli bisognerà provare; per capirlo basta pensare al concetto di permutazioni, cioè le possibili combinazioni di diversi oggetti. Se abbiamo tre elementi, diciamo a, b e c, avremo al massimo sei possibili permutazioni, e cioè [a,b,c], [a,c,b], [b,a,c], [b,c,a], [c,a,b] e [c,b,a].
| Caratteri disponibili usando l'alfabeto inglese | Password possibili con 2 caratteri | Password possibili con 4 caratteri | Password possibili con 6 caratteri |
|---|---|---|---|
| Solo minuscole | 676 | 456 976 | 308 915 776 |
| Minuscole e Maiuscole | 2704 | 7 311 616 | 19 770 609 664 |
| Minuscole, Maiuscole e Numeri | 3844 | 14 776 336 | 56 800 235 584 |
| Tutti i caratteriASCII | 8836 | 78 074 896 | 689 869 781 056 |
Trovare la giusta combinazione quindi è piuttosto semplice, ma il numero di possibili permutazioni aumenta rapidamente se si aumentano gli elementi. Potete vederlo nella tabella più in alto, che mostra come aumenta il numero di password possibili se si aumenta il numero di caratteri da due a sei, e si considerano solo lettere minuscole oppure anche maiuscole, numeri e caratteri ASCII. Per questo più è lunga una password e più la si considera sicura.
Calcolare il numero delle probabili password è semplice. Visto che sono permesse le ripetizioni il valore è uguale al numero di possibili caratteri elevato a una potenza il cui valore è la lunghezza della password stessa, e cioè n(lunghezza password).
Come potete vedere dalla tabella con sei caratteri siamo già nell'ordine dei miliardi se includete le lettere minuscole e maiuscole. Se comprendete anche i parametri speciali e i numeri (tutti i caratteri ASCII), troverete che il numero di password possibili sale a tre quarti di un trilione (dieci alla diciottesima). E non dimenticate che se non conoscete la lunghezza della vostra password, dovete ricercare tutte le possibili combinazioni, a partire da una password con un singolo carattere sino alla lunghezza che avete scelto.
Il lavoro quindi si preannuncia faraonico anche per un computer molto potente. Ma con una o più schede grafiche a disposizione la situazione può cambiare sostanzialmente.