Usando la rete vi troverete probabilmente a dover utilizzare un certo numero di password; ad esempio una password è richiesta per collegarvi da casa al vostro provider, per entrare in un'area di cui disponete, per giocare ad un MUD, e per tanti altri scopi. Bisogna quindi essere capaci di scegliere intelligentemente le proprie password, in modo che esse siano il più possibile difendibili dai vari tipi di "attacchi" tesi a scoprirle.

Premettendo che una buona password è anche difficile da ricordare, per cui potrebbe talvolta essere necessario raggiungere un compromesso tra l'importanza dei dati protetti, le vostre capacità mnemoniche e la sicurezza in senso assoluto della parola usata, segue un elenco di criteri per scegliere la miglior password possibile:

1. La password deve essere la più lunga possibile . Tutti i programmi per la forzatura di password impiegano un tempo che dipende drammaticamente dalla lunghezza della password. La lunghezza ottimale è di otto caratteri, e non bisogna mai scendere sotto i sei.

2. La password non deve essere in alcun modo collegata alla vostra vita privata . Non deve essere nè il nome o il cognome di vostri parenti, nè la targa della vostra auto, nè la vostra data di nascita, nè la città di residenza. Qualunque persona che cerchi di indovinare la vostra password per tentativi proverà subito queste possibilità. Ancora peggio, qualunque persona che vi conosca e legga anche solo un paio di lettere della password potrebbe anche indovinare il resto al primo colpo. Evitate anche altre parole facilmente intuibili: ad esempio metà degli utenti di Torino sceglie come password forzajuve ...

3. La password non deve essere una parola comune riportata in un vocabolario . Molti programmi per la forzatura di password si basano su tentativi effettuati con tutte le parole in un vocabolario. Piuttosto, scegliete un nome proprio che non possa essere collegato a voi, o qualche altro nome di uso comune ma non riportato sui vocabolari.

4. La password deve contenere almeno una lettera minuscola, una maiuscola non all'inizio, una cifra e un carattere alfanumerico (ossia un asterisco, un trattino...). In questo modo svierete anche quei programmi che provano con tutte le combinazioni possibili - sebbene questa tattica sia inapplicabile se, come indicato, scegliete una password sufficientemente lunga. Difatti, allo scopo di ridurre i tentativi, questi programmi si limitano solitamente al caso "tutte minuscole" (che quindi è sempre sconsigliabile).

5. La password non deve essere troppo difficile da digitare , altrimenti, oltre a sbagliarla spesso, dovrete digitarla lentamente, il che potrebbe favorire i guardoni.

6. La password non deve venire scritta da nessuna parte . È perfettamente inutile scegliere una parola a prova di bomba se poi la lasciate scritta sul retro del tappetino del mouse... (il primo posto dove andrei a guardare per cercare una password, seguito dalle etichette dei dischetti, da un eventuale foglio sotto la tastiera e dai cassetti della scrivania). Piuttosto, se non riuscite a ricordarla, scegliete una password più semplice.

7. La password non deve essere comunicata ad amici, parenti, amministratori del servizio , perchè tipicamente ciascuno di essi la comunicherebbe ad amici e parenti, per cui dopo dieci giorni tutti saprebbero la vostra password. Se avete bisogno di comunicare la password a chiunque per un qualunque motivo, provvedete a cambiarla in tempi brevi. In particolare, una regola aurea dice di cambiare immediatamente la password che vi è stata data dal gestore del sistema la prima volta che vi collegate.

8. La password non deve mai essere riciclata , tantomeno in sistemi dove il suo uso è relativamente inutile. Ad esempio, è famoso il caso di un utente di un MUD che usò per il suo personaggio la stessa password del computer dell'ufficio sul quale era contenuto un segretissimo progetto industriale. Purtroppo, visto che un MUD è pur sempre un gioco, i suoi programmatori non si erano preoccupati di nascondere troppo le password, per cui dopo pochi giorni qualche "spiritoso" pubblicò in un newsgroup un elenco di utenti del MUD con le relative password. Sfortunatamente anche il capoufficio di quell'utente leggeva regolarmente quel newsgroup...

Con questi criteri potrete scegliere una password adatta a difendere la serratura di Fort Knox. Tuttavia, spesso non è necessario complicarsi la vita in questo modo. Certamente nessuno attaccherà mai con un programma per la forzatura di password la vostra casella di posta elettronica, a meno che non siate il dirigente di una multinazionale... Gli unici criteri veramente fondamentali sono il primo, il secondo, il sesto e il settimo; difatti è necessario tenere presente che il modo di gran lunga più semplice per "rubare" la password di qualcun altro è venirne informati direttamente da lui, anche se involontariamente, osservandolo mentre la digita o leggendola da qualche parte. Inoltre, per poter attaccare la vostra password "di forza", tramite un programma, è necessario poter accedere al vostro computer, visto che procedere per tentativi tramite rete è un procedimento troppo lungo e facilmente rintracciabile. Se avete un'area su un computer Unix, il tipico modo con cui qualcuno può cercare di forzare la vostra password è collegarsi tramite l'area di un altro utente, prelevare il file contenente tutte le password criptate e portarselo a casa per cercare di decodificarlo con calma. Contrariamente a quello che si pensa, tuttavia, non esiste un modo di decifrare un file di password Unix; l'unica possibilità è procedere per tentativi, ma è normalmente infruttuoso se la password è scelta bene.

In generale, quindi, dipende da voi scegliere la password più adatta ai vari scopi e il grado di sicurezza che volete adottare. Tuttavia, evitate di sottovalutare il problema della segretezza delle password. Voi siete responsabili di tutto ciò che viene fatto da chi entra con la vostra password, poichè si assume normalmente che chiunque conosca la vostra password abbia ricevuto carta bianca da voi. Non immaginate neanche la varietà di modi in cui un account rubato potrebbe mettervi nei guai...