Tarin Gamberini

A software engineer and a passionate java programmer

Diceware

Questa è la pagina ufficiale in lingua italiana della The Diceware Passphrase Home Page, tradotta da Tarin Gamberini ed autorizzata dall’inventore di Diceware: Arnold G. Reinhold.

Il termine “diceware” nasce come imitazione del termine “software”, sostituendo a “soft” la parola “dice” corrispondente all'italiana “dado”. Così come “software” si pronuncia approssimativamente “sòftuer” così “diceware” si pronuncia “dàisuer”, o più precisamente “daɪsˌwɛə” (vedere simboli fonetici).

Indice

Introduzione

Questa pagina offre un modo migliore per creare una passphrase (frase d’ordine) forte, eppure semplice da ricordare, da usarsi con programmi di crittografia e sicurezza. Password e passphrase deboli sono spesso il difetto più comune nella sicurezza dei computer. Prendetevi pochi minuti ed imparate a farle bene. Le informazioni presentate qui possono essere utilizzate da chiunque. Non è richiesta alcuna conoscenza di crittografia o matematica.

Questa pagina è disponibile in molte altre lingue. Ci sono anche liste di parole in molte lingue.

Cos’è una passphrase?

Una passphrase (frase d’ordine) è un gruppo di parole e caratteri che digitate sul vostro computer per far sapere con certezza a quest’ultimo che la persona che sta digitando siete proprio voi. La maggior parte dei programmi di sicurezza vi consente di inserire una passphrase, invece che solo una password (parola d’ordine) breve, allo scopo di incrementare la sicurezza nei confronti di utenti malintenzionati. Anche altri programmi utilizzano la vostra passphrase per costruire una chiave di cifratura usata per cifrare i vostri dati:

  • Passphrase sono utilizzate dalle reti di sistemi di sicurezza wireless Wi-Fi come WPA e WPA2, quando sono utilizzati in modalità a chiave personale condivisa (PSK: Personal Shared Key). La sicurezza di entrambi i sistemi dipende dalla forza della passphrase che scegliete.
  • Il famoso programma di cifratura di Phil Zimmermann PGP, per esempio, vi chiede di costruire una passphrase che dovrete inserire ogni volta che firmate o decifrate i messaggi. Altrettanto fa il Software Libero GnuPG.
  • I programmi di gestione password più diffusi necessitano di una password o passphrase principale per proteggere i dati che archiviano.
  • Le passphrase sono utilizzate dai programmi di cifratura dei dischi come PGPdisk ed Apple’s FileVault. Molte organizzazioni per conformarsi alle norme di protezione sui dati sensibili obbligano la cifratura del disco sui portatili aziendali.
  • Le ultime versioni dei più popolari sistemi operativi consentono di utilizzare passphrase più lunghe per l’autenticazione al log-on, invece che accettare solamente una password corta.
  • Le nuove valute digitali come BitCoin usano passphrase per proteggere le “monete” da appropriazione indebita.
  • Utilizzare una passphrase in risposta ad una “domanda di sicurezza” (come «In che città sei nato?») vi protegge da tentativi di scoprire la vostra risposta tramite ricerca dei vostri dati presenti online.

Dovreste seguire le istruzioni di Diceware per avere pronta la vostra passphrase prima: di installare un router WiFi, di creare la vostra chiave PGP o GPG, di aprire un nuovo account o di configurare un disco cifrato.

Le passphrase differiscono dalle password solo per la lunghezza. Le password sono di solito corte: da 6 a 10 caratteri. Password corte vanno bene per l’accesso a sistemi di computer programmati per rilevare tentativi di accesso consecutivi falliti e programmati per proteggere appropriatamente le password memorizzate, ma le password corte non sono sicure per essere usate nei sistemi di cifratura. Le passphrase sono solitamente molto più lunghe, tipicamente da 20 a 40 caratteri, alcune volte più lunghe. La loro maggior lunghezza le rende più sicure. Le passphrase moderne furono inventate da Sigmund N. Porter nel 1982. Se proprio adesso tutto ciò che vi serve è solo una password di accesso, cliccate qui. Diversamente, proseguite con la lettura.

Escogitare una buona passphrase è una delle cose più importanti che dovete fare per preservare la privacy dei vostri dati su computer e messaggi e-mail. Una passphrase dovrebbe essere:

  • Nota solo a voi
  • Lunga abbastanza da essere sicura
  • Difficile da indovinare, perfino da qualcuno che vi conosce bene
  • Semplice per voi da ricordare
  • Semplice per voi da digitare correttamente

Cos’è Diceware?

Diceware™ è un metodo, ideato da Arnold G. Reinhold, per escogitare passphrase tramite l’uso di dadi usati per selezionare a caso parole da una lista speciale chiamata la Lista di Parole Diceware (Diceware Word List). Ogni parola nella lista è preceduta da cinque cifre numeriche. Tutte le cifre sono comprese fra uno e sei, consentendovi di utilizzare i risultati dei lanci di cinque dadi per selezionare un’unica parola dalla lista.

Eccovi un breve estratto dalla lista di parole Diceware in italiano:

16655    carri
16656    carta
16661    carte
16662    casa
16663    caschi
16664    case
16665    casi
16666    caso
21111    cassa
21112    casse
21113    casta
21114    caste
21115    casti
21116    casto
21121    catena
21122    catene
21123    catini
21124    catino
21125    causa
21126    causai
21131    cause

La lista di parole Diceware in italiano contiene 7776 parole brevi, abbreviazioni e stringhe di caratteri semplici da ricordare. La lunghezza media per parola è di circa 5,0 caratteri. Le parole più lunghe sono lunghe 6 caratteri. La lista è basata su una estrazione delle parole più frequenti presenti in alcuni articoli di giornali online del 2006 e parole prese a caso dal dizionario; tale lista è stata poi modificata, sia rimuovendo le parole terminanti con le lettere accentate à é ì ò ù, sia rimuovendo le parole più lunghe di 6 caratteri.

La lista di parole Diceware in inglese completa contiene 7776 parole brevi, abbreviazioni e stringhe di caratteri semplici da ricordare. La lunghezza media di ogni parola è di circa 4,2 caratteri. Le parole più lunghe sono lunghe 6 caratteri. La lista è basata su una lista di parole più lunga postata sul newsgroup Internet sci.crypt da Peter Kwangjun Suk. Una lista alternativa, scritta da Alan Beale, contiene meno americanismi e parole desuete. Potete scaricare la lista inglese completa anche in formato PDF o in formato PostScript.

Sono disponibili anche liste di parole in altre lingue.

Usare Diceware

Per usare la lista di parole Diceware avrete bisogno di uno o più dadi. Dadi sono presenti in molti giochi da tavolo e sono venduti separatamente nei negozi di giocattoli, hobby e magia. Toys"R"Us vende una confezione di cinque dadi per circa un dollaro. Sono anche disponibili Dadi Braille. Potete procurarvi online cinque dadi da casino da Casinocom.com per circa 11 dollari, ma sono esagerati per i nostri scopi. Non utilizzate programmi per computer o generatori elettronici di dadi.

  1. Scaricate la lista di parole Diceware in italiano.
  2. Decidete quante parole volete nella vostra passphrase. Una passphrase di cinque parole fornisce un livello di sicurezza più alto rispetto alle semplici password che la maggior parte della gente usa. Raccomandiamo un minimo di sei parole per l’uso di GPG, sicurezza wireless e programmi di cifratura. Si raccomanda una passphrase di sette, otto o nove parole per scopi più importanti come la cifratura del disco, BitCoin, e simili. Per ulteriori informazioni, vedere le FAQ Diceware.
  3. Ora lanciate il dado e scrivere il risultato su un foglietto di carta. Scrivere i numeri in gruppi di cinque. Create tanti gruppi di cinque cifre quante sono le parole che volete nella vostra passphrase. Potete lanciare un dado cinque volte o lanciare cinque dadi una volta, o qualsiasi combinazione intermedia. Se lanciate diversi dadi alla volta, leggeteli da sinistra a destra.
  4. Cercate ogni numero di cinque cifre nella lista di parole Diceware e prendete la parola vicino ad esso. Per esempio, 21124 significa che la prossima parola nella vostra passphrase dovrebbe essere catino (vedere l’estratto dalla lista sopra).
  5. Quando avete fatto, le parole che avete trovato sono la vostra nuova passphrase. Memorizzatela e distruggete il foglietto di carta o ponetelo in un luogo veramente sicuro.

Questo è tutto quello che c’è da fare!

Esempi

Supponiamo vogliate una passphrase di sei parole, come raccomandiamo per la maggioranza degli utenti. Avrete bisogno di lanciare 6 volte 5 dadi cioè 30 lanci. Diciamo che siano usciti:

1, 6, 6, 6, 5, 1, 5, 6, 5, 3, 5, 6, 3, 2, 2, 3, 5, 6, 
1, 6, 6, 5, 2, 2, 4, 6, 4, 3, 2 e 6.

Scrivete i risultati su un foglietto di carta in gruppi di cinque lanci:

16665
15653
56322
35616
65224
64326

Poi per ognuno dei gruppi di cinque lanci cercate nella lista di parole Diceware la parola associata e scrivetela a fianco del gruppo:

16665    casi
15653    botole
56322    stadi
35616    maglie
65224    venivo
64326    usura

Infine la vostra passphrase sarà:

casi botole stadi maglie venivo usura

Alcuni consigli

  • Per massima sicurezza assicuratevi di essere soli e chiudete le tende. Scrivete su di una superficie dura, non un blocchetto di carta. Dopo aver memorizzato la vostra passphrase, bruciate il foglietto di carta, polverizzate la cenere e buttatela giù per lo sciacquone del bagno.
  • Se state utilizzando una passphrase per la crittografia di file, raccomandiamo che ne conserviate in qualche posto sicuro una copia scritta. Se non lo fate e dimenticate la vostra passphrase, i vostri file sono persi per sempre.
  • Se volete lavorare con una copia cartacea della lista, scaricate la lista di parole Diceware in italiano in formato PDF. Questo file è formattato con 36 pagine, 6 colonne per pagina, 6 paragrafi per colonna, 6 righe per paragrafo, per agevolare la ricerca quando la lista è stampata su fogli di carta. Prestate attenzione a non segnare la copia cartacea in alcun modo mentre selezionate le parole. Potete anche trovare la lista di parole in appendice alla voce Internet Secrets.
  • Se avete spesso bisogno di creare delle passphrase, prendete una scatola da scarpe o un contenitore per il cibo approssimativamente della stessa misura. Mettete i cinque dadi nella scatola, agitateli vigorosamente, al minimo dieci scossoni forti, ed inclinate la scatola per consentire a tutti i dadi di scivolare sul lato. Ora aprite la scatola, leggete i dadi da sinistra a destra, o dall’alto al basso se allineati verticalmente, quindi cercate direttamente la corrispondenza sulla lista di parole. Ripetete il processo finché avete sufficienti parole per la vostra passphrase.
  • Raccomandiamo di utilizzare la passphrase esattamente come è stata generata. Se desiderate una passphrase più forte, selezionate una parola aggiuntiva usando il metodo Diceware.
  • Poiché alcune parole sulla lista Diceware sono di due caratteri o meno, potreste ottenere una passphrase molto corta. Se la vostra passphrase, inclusi gli spazi fra le parole, è inferiore ai 14 caratteri di lunghezza, raccomandiamo di ripartire creando una nuova passphrase. Dovreste ripartire anche se la vostra passphrase è una frase italiana riconoscibile. (Nessuna di queste situazioni accade molto spesso.)
  • Vedere le FAQ Diceware per suggerimenti su come memorizzare la vostra passphrase.

Ulteriori argomenti non strettamente necessari

  • Per sicurezza extra senza aggiungere un’altra parola, inserite una cifra od un carattere speciale scelti a caso nella vostra passphrase. Qui è spiegato come fare in sicurezza: lanciate un dado per scegliere una parola nella vostra passphrase, lanciate ancora per scegliere una lettera all’interno della parola. Fate ancora un terzo ed un quarto lancio per trovare il carattere aggiuntivo nella seguente tabella ([nota del traduttore] sulla tastiera inglese sono disegnati alcuni simboli che non si vedono nella tastiera italiana come, per esempio, il simbolo ~ (tilde): nel caso non sappiate come digitarli suggerisco altri simboli visibili sulla tastiera italiana):
         Tastiera inglese                 Tastiera italiana

       T e r z o L a n c i o            T e r z o L a n c i o
       1   2   3   4   5   6            1   2   3   4   5   6

Q 1    ~   !   #   $   %   ^            @   !   #   $   %   ^
u 2    &   *   (   )   -   =            &   *   (   )   -   =
a 3    +   [   ]   \   {   }            +   [   ]   \   .   ,
r 4    :   ;   "   '   <   >            :   ;   "   '   <   >
t 5    ?   /   0   1   2   3            ?   /   0   1   2   3
o 6    4   5   6   7   8   9            4   5   6   7   8   9
  • Per chi ha le opportune conoscenze tecniche, ogni parola nella vostra passphrase Diceware contiene 12.9 bit di entropia. L’entropia è il modo in cui è misurata la sicurezza di una passphrase. Una passphrase Diceware di cinque parole dovrebbe avere un’entropia di al minimo 64.6 bit; con sei parole dovrebbe avere 77.5 bit, con sette parole 90.4 bit. Inserire una lettera a caso aggiunge circa 10 bit di entropia. Assumendo, naturalmente, che voi teniate segreta la vostra passphrase.
  • Troverete molte più informazioni delle quali non avrete veramente bisogno nelle FAQ Diceware.

Perché Diceware?

Esistono molte raccomandazioni varie disponibili su Internet relativamente a come procurarsi una passphrase. Molti sono buoni, pochi altri cattivi, ma quasi tutti richiedono all’utente di giudicare cosa sarà difficile da indovinare dagli altri. Alcuni non danno nessuna direttiva su come farlo, altri eseguono complicati calcoli matematici. Contrariamente, il metodo Diceware per generare delle passphrase è:

  • Semplice da imparare ed usare
  • Molto sicuro
  • Completamente prescrittivo: vi diciamo esattamente cosa fare ad ogni passo del processo
  • Trasparente: non ci sono «fidati di me»
  • Gratuito: non è richiesto nessun software o hardware, solo la lista di parole Diceware ed alcuni normalissimi dadi

La natura prescrittiva di Diceware è molto importante per coloro che si avvicinano per la prima volta alla crittografia. Ecco l’esperienza di una persona, così come postata sul newsgroup Internet alt.security.pgp:

Vorrei solo raccontare una storia personale su come sia
difficile convincere un novizio dell’importanza di scegliere un password
sicura, e fargli capire cosa rende sicura una password. Sono un veterano
sia di Internet che di argomenti di sicurezza. Mia sorella, comunque,
voleva aprire un account Internet. Lei vive nel Midwest
mentre io vivo nella West Coast. In pratica ci scambiamo
frequentemente brevi e-mail molto personali.

Recentemente, volle dare a suo marito la propria password Internet in
modo che anche lui potesse essere online. Comunque, voleva anche
essere in grado di scambiare messaggi privati con me che suo marito
non fosse in grado di leggere. Io, naturalmente, la introdussi a PGP.

Le diedi le letture usuali che introducono all’importanza di scegliere
password che nessun altro possa indovinare facilmente, e che la password
ideale dovrebbe essere una parola oscura e senza senso che dovrebbe
avere senso solo per lei. Le dissi tutto circa il non scegliere date di
nascita, anniversari, nomi e simili. Non le suggerii una combinazione
casuale di lettere e numeri perché non si trattava di un caso di sicurezza
mondiale, volevamo solo tenere suo marito al di fuori delle nostre lettere
private. Così. dopo che lei scelse la sua password PGP, decisi di fare
un tentativo per craccarla. VERAMENTE LA PRIMA password sulla quale
provai a lavorare! Mia sorella fu totalmente sorpresa di come
semplicemente riuscii ad indovinarla, ma era una parola accessibile a
chiunque conoscesse mia sorella. Così, dopo averle dato più consigli
per la scelta di una buona password. la lasciai tentare di nuovo.
Questa volta, mi ci vollero solo tre tentativi prima di indovinare la
password corretta. Infine lei mollò e diede a me il compito di escogitare
una password per lei.

Se avesse usato Diceware, la prima passphrase della sorella dell’autore sarebbe stata totalmente sicura e nota solo a lei. Ricordate: nella crittografia a chiave pubblica, la sicurezza del vostro messaggio dipende dalla passphrase del destinatario. Diffondete Diceware!

Collegamenti e riferimenti

Per ulteriori informazioni sulle passphrase e Diceware vedere i seguenti:

FAQ Diceware Domande e risposte per le persone che vogliono saperne di più su Diceware e la generazione di passphrase.

Lista di parole Diceware in inglese, la lista inglese in formato PostScript, lista di parole di Beale, lista Diceware8k per generazione al computer.

Una Indagine sull’uso delle Passphrase PGP Una veloce indagine che feci per vedere cosa fanno gli utenti per creare le loro passphrase PGP, ed alcuni suggerimenti per migliorarle.

Diceware per la Generazione di Passphrase ed Altre Applicazioni Crittografiche. Include informazioni su altri usi di Diceware ed un’analisi della sicurezza Diceware.

Proteggere le Password di Gary McGraw and John Viega, un articolo nel IBM Developerworks Security Library che discute password, passphrase e Diceware.

Passgen: Una Applet Java Generatore di Password Sfrutta le latenza di tastiera per generare password casuali basate su un formato selezionabile. Non sicuro come il metodo Diceware, ma adeguato per password di login ed applicazioni simili. Include il codice sorgente.

Sorgenti di Rumore Casuale Una raccolta di informazioni su sorgenti di casualità da utilizzare con i computer.

CipherSaber Home Page Imparate come costruire il vostro programma di crittografia forte. È più semplice di quanto pensiate!

Altri Articoli sulla Crittografia di Arnold Reinhold P=?NP – who Cares?, Cryptanalysis of Histocompatibility, ecc…

A Password Extension for Improved Human Factors, S. N. Porter - Advances in Cryptology: A Report on CRYPTO 81, Allen Gersho, editor, volume 0, U.C. Santa Barbara Dept. of Elec. and Computer Eng., Santa Barbara, 1982. Pages 81–81. Also in Computers & Security, Vol. 1. No. 1, 1982, North Holland Press.

Oren Tirosh ha un sito sull’uso di liste di parole per rappresentare grandi numeri per crittografia ed altri scopi. Ci sono riferimenti a molte interessanti liste di parole.

Diceware in altre lingue

cleft cam synod lacy yr wok

Guarda l’elenco aggiornato delle altre lingue nelle quali è disponibile Diceware.

Il Kit Diceware contiene istruzioni per creare una lista di parole Diceware in altre lingue.

Per ulteriori informazioni su PGP

GNU Privacy Guard (GPG),una implementazione Software Libero di PGP

GPG Tools , GNU Privacy Guard per MacOS

Symantec Corp., che acquisì PGP in 2010

PGP-Basics Newsgroup on Yahoo

Qui ci sono alcuni altri siti con raccomandazioni su come creare una passphrase. Non dico che siano sbagliati, dico solo che potrebbero essere troppo complicati per la maggioranza delle persone. Date un'occhiata e giudicate voi stessi.