Le password sono obsolete secondo il CISO di PayPal

In teoria ha ragione.
Sia chiaro, non sta parlando di avere una password univoca e non modificabile (come è ad esempio l'impronta digitale), sta parlando di avere una sorta di software in locale che invia in rete un codice sempre univoco e non riutilizzabile invece di inviare direttamente il codice.
Un pò quello che ad esempio viene usato da alcune banche online, con la differenza che è tutto automatico e non richiede input da parte dell'utente.
In questo modo si prevengono gli attacchi tipo man-in-the-middle, il furto delle liste di account dai siti ed anche i keylogger locali.

Il discorso riguardo ai lettori biometrici riguarda lo sblocco esclusivamente locale del software che crea la credenziale.

L'unico mio dubbio è l'adozione (ovviamente per un sistema del genere è necessario che il sito supporti questo formato) ed il fatto che fa uso di un'autorità univoca, quando si parla di sicurezza preferirei sempre avere a che fare con un'entità distribuita e con codice opensource.



Quello è uno dei miei crucci principali.
Io sono passato da un pò di tempo a Keepass ed ho una chiave univoca ed il più lunga possibile per ogni singolo sito/programma.
Il problema è che la maggior parte dei siti (questo compreso) NON specifica come deve essere la password ed ancora peggio la validazione delle stesse è spesso sballata e fallace.
Ad esempio io mi ero imposto la regola di usare password di almeno 64 bit con 256 bit di entropia (tanto per farci capire il risultato è qualcosa del genere)
[CODE]Qp2{!:y_'mC0"G uuvu;@<!OSr!Gg{_KOX[xp$lh9%8]kp >?U'zz8'ShBnl^A+6[/CODE]
una password simile viene accettata tranquillamente da tantissimi siti, il problema è che quando vado a reinserirla in seguito poi non fa più perché non soddisfa i criteri del sito o perché troppo lunga o perché contiene caratteri non validi sebbene abbia passato tranquillamente il controllo durante la creazione dell'account.

Molti invece salvano tutte le password nella casella di posta, ad esempio, di gmail.
Poi succede, come capitato a zuckerberg, che ti bucano gmail e ti scoprono i codici di accesso a facebook!
Però così uno può scegliere password complesse per ogni sito senza il problema di dimenticarsele. Il tutto è sensato se la password che si sceglie per la casella di posta dove si salva tutto sia molto solida.
Mi pare che tempo fa google suggeriva di ricordarsi una sola password molto solida, chissà perché!

Il problema di usare una stessa PW anche molto solida per tutto (oltre al fatto che magari un sito ha regole particolari e non ce l'accetta), è che probabilmente per l'admin (o magari anche un impiegato disonesto) di un sito è facile risalire alla tua PW su quel sito, e di conseguemza avere accesso anche a tutti gli altri tuoi account, se usi sempre quella PW...

intendevo dire usare password differenti per ogni sito, anche molto complesse, ma salvarle in una casella di posta (con password molto solida ed in teoria cambiarla periodicamente) per tenerle sempre a disposizione quando si è connessi in rete.

In questo caso potrebbe bastare un impiegato poco onesto del provider di posta per sgamarti tutto...
O qualcuno che riesca a hackare il sistema dall'interno (cosa gia' successa in diverse occasioni, basti vedere il caso PSN)

Per una casella di posta come gmail mi sembrerebbe strano che un impiegato possa accedere ai dati sensibili, come la password. Credo che l'accesso a certi dati sia monitorato e registrato e che richieda una giustificazione. Ma in merito chiedo lumi, possibilmente con referenze.
Cmq sia son d'accordo che ogni soluzione è hackerabile, bisogna valutare qual è la più sicura ed abbastanza versatile per l'uso comune.

Il two-step login, a mio avviso, dovrebbe andare già bene senza introdurre avveneristiche novità.

Il precursore credo sia stato facebook, poi hanno seguito Google ed Apple...

Per quel che mi riguarda l'ho abilitato sia su facebook che sull'account Google... e mi sento più tranquillo.

Alla seconda domanda, cè un sito che ti da la risposta:

https://howsecureismypassword.net/

It would take a desktop PC about 39 quadrillion years to crack your password

Basterebbe associare gli accessi a Banche,Paypal,Postepay ecc ecc a numeri di telefono verificati in precedenza tramite registrazione e hai risolto per sempre il problema.
Ti arriva il massaggio sul cel,confermi,ti arriva un secondo messaggio con un codice,lo immetti e sei loggato.

Secondo quel sito anche "Pippo Baudo" è una PW sicurissima: "A thousand years".