Ispirazione Quotidiana
Eccellenza nel design, ogni giorno.
Opere selezionate dalla giuria dell’A' Design Award, presentate fresche ogni mattina.
Ogni parola scelta da cinque dadi dalla lista EFF. Guardali rotolare.
Nel 1995, Arnold Reinhold pubblicò un'idea semplice e potente: lanciare cinque dadi fisici, cercare il numero a cinque cifre risultante in una lista di parole e ripetere fino ad ottenere una passphrase. Il metodo si chiama Diceware e la sua genialità sta nel rendere visibile la casualità. Puoi osservare i dadi, verificare i lanci e fidarti del risultato perché hai controllato ogni passaggio. Nel 2016, la Electronic Frontier Foundation pubblicò una lista di parole raffinata di 7.776 parole inglesi accuratamente selezionate: comuni, distinte, facili da scrivere e resistenti alla confusione.
Cinque dadi a sei facce producono 7.776 risultati equiprobabili (6 elevato alla quinta potenza). Ogni selezione di parola dalla lista EFF porta quindi log2(7776) = 12,9 bit di entropia. Sei parole forniscono 77,5 bit. Sette parole raggiungono 90,4 bit. Otto parole forniscono 103,4 bit. Queste cifre descrivono lo spazio di ricerca che un attaccante deve esaurire attraverso tentativi automatizzati. A un trilione di tentativi al secondo, una passphrase di sei parole richiede in media 2,4 milioni di anni per essere violata.
La matematica è precisa perché il numero di parole governa completamente l'entropia. Aggiungere una parola moltiplica le combinazioni possibili per 7.776. Una passphrase diceware di sette parole è 7.776 volte più difficile da violare rispetto a una di sei parole. Questa crescita esponenziale è ciò che rende le passphrase così potenti con così pochi componenti.
Una passphrase come radar clamp trophy pencil bazaar flint contiene 77,5 bit di entropia. Una password veramente casuale di forza equivalente che utilizzi tutte le classi di caratteri (maiuscole, minuscole, cifre, simboli) necessiterebbe di circa 12 caratteri. La differenza cruciale: la maggior parte degli esseri umani riesce a memorizzare sei parole comuni dopo averle lette due volte. Memorizzare 12 caratteri casuali come k$9Tm!vX2p#q richiede tipicamente di scriverli, il che introduce un rischio di sicurezza fisica. La passphrase vive comodamente nella memoria fornendo al contempo una forza matematica equivalente o superiore.
Ogni parola su questa pagina è selezionata generando cinque valori casuali indipendenti da 1 a 6, simulando cinque dadi fisici. La griglia dei dadi sopra la passphrase mostra i valori esatti che hanno prodotto ogni parola. Questa trasparenza è fondamentale per la filosofia Diceware: la fonte di casualità è visibile, verificabile e comprensibile. Il tuo browser crea questi valori utilizzando crypto.getRandomValues(), la Web Cryptography API specificata dal W3C. La stessa fonte di entropia hardware protegge le tue sessioni di home banking.
Il numero giusto di parole dipende da cosa la passphrase protegge. Per account web generici, sei parole forniscono un'eccellente sicurezza (77,5 bit). Per account di alto valore come email principale, gestori di password o chiavi di crittografia, sette o otto parole aggiungono un margine di sicurezza sostanziale. Per applicazioni particolarmente sensibili, dieci parole forniscono 129 bit di entropia, superando il livello di sicurezza di una chiave di crittografia a 128 bit.
Diceware è un eccellente esercizio di probabilità perché collega direttamente i calcoli astratti di entropia a un risultato tangibile. Fate visitare agli studenti /diceware/4 e osservare la griglia dei dadi. Ogni studente vede quattro parole prodotte da venti lanci di dadi. Chiedete alla classe: quante passphrase di quattro parole sono possibili? La risposta, 7.776 alla quarta potenza (circa 3,66 trilioni), tende a sorprendere gli studenti che pensano alle password come brevi stringhe di caratteri.
Per un esercizio più approfondito, portate dadi fisici in classe. Fate lanciare a ogni studente cinque dadi, cercare la parola nella lista EFF pubblicata e ripetere quattro volte. Confrontate le passphrase fisiche con quelle digitali. La discussione sul fatto che dadi fisici e generatori digitali producano casualità equivalente apre la porta a concetti di fonti di entropia, generazione hardware di numeri casuali e la definizione matematica di equità. Lo strumento non richiede account e non elabora dati degli studenti. Ogni passphrase rimane nel browser dello studente.
Il generatore diceware di dice83 funziona interamente nel tuo browser. Il server fornisce questa pagina, inclusa la lista di parole EFF. Il tuo dispositivo genera i lanci di dadi casuali e seleziona le parole localmente. La passphrase non lascia mai la memoria del tuo browser. Non esiste da nessun'altra parte: nessun log del server, nessun database, nessuna pipeline di analisi.
Quando condividi questo strumento con un amico, condividi l'URL di configurazione, che specifica solo il numero di parole. La passphrase stessa è assente dal link condiviso. Il dispositivo del tuo amico genera una passphrase completamente indipendente dal proprio generatore di numeri casuali. L'URL porta la configurazione dello strumento. Il tuo dispositivo porta il segreto.
Condividi questo strumento con amici e colleghi. Il link contiene solo il numero di parole.
Ispirazione Quotidiana
Opere selezionate dalla giuria dell’A' Design Award, presentate fresche ogni mattina.
