Le password sono obsolete secondo il CISO di PayPal

Le password sono obsolete secondo il CISO di PayPal

L'autenticazione basata su nome utente e password è ormai obsoleta: è necessario muoversi verso un concetto nuovo che porti più sicurezza per l'utente ma anche una maggior facilità d'uso

di Andrea Bai pubblicata il , alle 09:01 nel canale Sicurezza
 

In occasione dell'edizione 2013 di Interop, il Chief Information Security Officer di PayPal, Michael Barret, afferma che il 2013 sarà l'anno in cui il mondo seppellirà il sistema di autenticazione basato su nome utente e password: "Ecco la lapide per le password. Quando vengono usate ovunque su internet falliscono nel loro intento" ha dichiarato Barrett mostrando una slide recante una pietra tombale con incisi gli anni 1961-2013.

L'esternazione di Barret è forse un po' esagerata, ma come spesso capita parlando di sicurezza informatica è necessario essere un po' provocatori per delineare il problema: gli utenti della rete si devono destreggiare ormai tra molteplici account online tra email, social media, negozi online e via discorrendo finendo con l'utilizzare lo stesso abbinamento di username e password per ogni account che devono gestire.

Spesso, poi, gli utenti utilizzano password piuttosto deboli, per non parlare dell'abuso di password come "12345" o "password" che purtroppo risultano essere le scelte più comuni tra il pubblico della rete. "Gli utenti scelgono password poco efficaci e le utilizzano ovunque. Ciò ha l'effetto di abbassare il livello di sicurezza dei loro account a quello del sito meno sicuro che visitano su internet" ha dichiarato Barrett.

Le dichiarazioni di Barrett non sono disinteressate: egli è infatti anche presidente di Fast Identity Online Alliance (FIDO), organizzazione nata qualche anno fa con l'obiettivo di rivoluzionare le tecniche di autenticazione online utilizzando protocolli aperti e basati su standard del settore, in maniera tale da rendere più sicuri gli account utenti e risulti al contempo più semplice da utilizzare.

Il concetto su cui si basa il sistema di autenticazione sviluppato dalla FIDO Alliance è quello di utilizzare due diversi elementi (two-step authentication) che possano consentire all'utente di confermare la sua reale identità in maniera semplice e sicura. La FIDO alliance ha previsto un sistema combinato che usa elementi hardware, sofware e biometrici per assicurare l'identità dell'utente, chiedendo a quest'ultimo una minima interazione. In futuro i vari servizi online che richiedono un sistema di autenticazione potranno decidere di supportare il sistema di FIDO Alliance per semplificare le procedure di autenticazione.

Barrett afferma inoltre che un'importante azienda di Cupertino (qualcuno ha pensato ad una mela mordicchiata?) introdurrà entro la fine dell'anno uno smartphone capace di leggere le impronte digitali dell'utente, aiutando così a diffondere i sistemi di autenticazione FIDO alliance. Quanto dichiarato da Barret alimenta ulteriormente le indiscrezioni secondo le quali l'acquisizione di Autentec da parte di Apple, avvenuta lo scorso mese di luglio, sia stata portata a termine proprio con l'obiettivo di realizzare un nuovo iPhone dotato di sistemi di verifica biometrica.

46 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
alexdal14 Maggio 2013, 09:27 #1
Io penso piu' ad una smart card, molto complessa da inserire nel pc con una password iniziale, grafica o biometrica o testuale da inserire al primo utilizzo della sessione.

Quando per ogni cosa ci vogliono troppe password:
quella del pc, della posta, dell inps dell'agenzia delle entrare, del forum, del sito facebook alitalia. eccc
o uno ha una memoria eccezionale o si tende ad usare sempre la stessa e facile.

demon7714 Maggio 2013, 09:30 #2
In effetti la comodità di PAYPAL ha come rovescio una maggiore vulnerabilità..

Io ho paypal e ho collegato ad esso la carta di credito, preferisco fare aqisti con paypal non solo per la praticità ed immediatezza ma anche perchè così è solo paypal che accede alla mia carta e non cani e porci.

Ovvio che per la password di paypal ho avuto un occhio di riguardo, è lunga, coi numeri e non riconducubile a parole esistenti.
E chiaramente la uso SOLO con paypal.
Altro discorso per le password stupide per il login ai vari siti di ecommerce..
Muppolo14 Maggio 2013, 09:47 #3
"un'importante azienda di Cupertino (qualcuno ha pensato ad una mela mordicchiata?) introdurrà entro la fine dell'anno uno smartphone capace di leggere le impronte digitali dell'utente"
------------------------
Mah, IMHO i lettori di impronte sono una str*nzata.
Le impronte digitali non garantiscono una sicurezza particolarmente più elevata rispetto alle tradizionali password. Infatti, per quanto l'impronta del mio indice sia unica, la imprimo sul lucido telaio del mio smartphone quando lo afferro.
Lasciamo impronte digitali ovunque, quindi anche la nostra è facilmente reperibile.
Inoltre, il riconoscimento impone un confronto, ovvero la nostra impronta da confrontare dovrà essere salvata da qualche parte. E anche se criptata, ci sarà sempre un modo di penetrare nel sistema.
Bestio14 Maggio 2013, 09:59 #4
In effetti ci vuole qualche altro sistema, le PW ormai sono piu' facili da crackare che da ricordare.
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.

Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel .
Capozz14 Maggio 2013, 10:12 #5
Originariamente inviato da: Bestio
In effetti ci vuole qualche altro sistema, le PW ormai sono piu' facili da crackare che da ricordare.
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.

Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel .


Io ad esempio ho un'ottima memoria, ma ormai le password sono diventate talmente tante che un paio me le sono dovute scrivere
calabar14 Maggio 2013, 10:22 #6
Il problema dei metodi biometrici o con smartcard è che sono "personali".
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.

Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.

@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.
Marco7114 Maggio 2013, 11:01 #7

Sul fatto che...

...sia regolamentata pesantemente...questo al giorno d`oggi e` il freno minore alla eventuale gola che una marea di dati biometrici fa/farebbe.
Sull`uso di crittografia asimmetrica...anche qui non metterei la mano sul fuoco come noto romano.

Marco1971.
Bestio14 Maggio 2013, 11:07 #8
Originariamente inviato da: calabar
Il problema dei metodi biometrici o con smartcard è che sono "personali".
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.

Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.

@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.


Questa per la sicurezza sarebbe proprio la prima cosa da evitare...
La maggior parte delle frodi sui conti bancari online, alla fine si scopre che sono fatti da figli o parenti della vittima, che erano a conoscenza della PW...
cerbert14 Maggio 2013, 11:15 #9
Il problema è che molti siti, anche utilizzati per la gestione dei nostri soldini, ANCORA NON implementano parser di password che permettano agli utenti di utilizzare password semplici da ricordare ma abbastanza difficili da decrittare.

Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti
banryu7914 Maggio 2013, 11:24 #10
Originariamente inviato da: alexdal
Quando per ogni cosa ci vogliono troppe password:
... [snip]


Ma usare un [U]gestore di password[/U] no?

Ad esempio: KeepPass (quello che uso io).

- Genera la password automaticamente secondo pattern personalizzabili (e così evitiamo di generare a manina password "stupide"

- Le associa ai siti e se le ricorda lui per te.

- Quando devi fare il login a qualche sito/servizio/applicazione: un click e lui si connette, un click per dare il focus dove devi fare login (tipicamente un campo di testo) e un click per fare in modo che KeePass faccia lui il login (in modo sicuro)

Oramai lo uso da quasi 8 mesi, rinnovo le password con cadenza regolare gestendo i miei venti account ognuno con la sua bella password unica (e abbastanza "sicura" e soprattuto non devo più ricordarmi millemila password: basta la master che viene usata per accedere al database criptato quando si avvia l'applicazione la prima volta (a inizio giornata).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^