Scegliere una password è un esercizio di equilibrio tra le varie esigenze: è infatti necessario fare in modo che essa sia sicura (ossia non la si possa indovinare facilmente) e al tempo stesso facilmente memorizzabile, ma è anche bene che non sia troppo corta, caratteristica che faciliterebbe il lavoro dei metodi a forza bruta.

Sappiamo d’altra parte che spesso queste esigenze non vengono rispettate: è fin troppo tristemente noto il fatto che le password più adoperate sono estremamente banali e variano da qwerty a 123456, passando per l’evergreen password e il ripetitivo 1111111. D’altra parte ci sono anche altre scelte che, quando si sta per adottare una password, è bene non fare.

Dojo, azienda che si occupa della gestione di sistemi di pagamento tramite carta, ha di recente condotto un’analisi su dati forniti dal britannico National Cyber Security Centre e ha stilato una lista delle 20 categorie di password peggiori: sono quelle cui più spesso ricorrono gli utenti che devono inventare una password ma sono anche quelle che più facilmente vengono compromesse.

Dallo studio, che ha coinvolto l’esame di oltre 100.000 “esemplari”, è emerso che il tipo di password peggiore è quello che si basa sui nomi degli animali domestici e sui nomignoli affettuosi: se abbiamo l’abitudine di rispondere a chi ci chiama TrottolinoAmoroso, magari usare quel vezzeggiativo per comporre la propria password di Facebook non è una buona idea, nemmeno trasformandola in TrottolinoAmoroso63!.

Al secondo posto della classifica delle scelte peggiori ci sono i nomi di persona, facili da ricordare ma altrettanto facili da indovinare; pare che nel Regno Unito, per esempio, vada particolarmente di moda adoperare Sam, che ha quindi la sua parte di responsabilità nelle violazioni.

Poi ci sono i nomi di animale generici, come gatto o cane, le emozioni, i cibi, i colori, le parolacce e via di seguito: l’intera lista è disponibile sul sito di Dojo, accompagnata dal numero di danni che la scelta di queste categorie di parole hanno fatto per quanto riguarda gli account violati.

È peraltro interessante notare come l’elenco comprenda anche, al penultimo posto, la categoria social media: verrebbe da dire che chiunque scelga Facebook come password per accedere a Facebook stia andando consapevolmente in cerca di guai e si meriti di ritrovarsi l’account violato.

Dipinta così, la situazione complessiva sembra senza uscita: non c’è davvero nulla che vada bene per formare una password? Non esattamente: si può per esempio affidarsi a un gestore di password, indipendente o integrato nel browser (come offrono per esempio Vivaldi o Chrome), capace di suggerire password sicure che non è importante riuscire a tenere a memoria. Basta infatti ricordarsi l’unica password che consente di accedere a tutte quelle salvate, e concentrarsi nel fare in modo che quella sia equilibrata.

Oppure si può seguire la sempre valida raccomandazione di Xkcd: una password lunga, anche se composta da parole facilmente indovinabili, mette in crisi anche il più avanzato dei computer moderni che non riuscirà mai a indovinarla in tempo utile.