Link alla notizia: http://www.hwfiles.it/news/le-password-sono-obsolete-secondo-il-ciso-di-paypal_46995.html

L'autenticazione basata su nome utente e password è ormai obsoleta: è necessario muoversi verso un concetto nuovo che porti più sicurezza per l'utente ma anche una maggior facilità d'uso

Click sul link per visualizzare la notizia.

Io penso piu' ad una smart card, molto complessa da inserire nel pc con una password iniziale, grafica o biometrica o testuale da inserire al primo utilizzo della sessione.

Quando per ogni cosa ci vogliono troppe password:
quella del pc, della posta, dell inps dell'agenzia delle entrare, del forum, del sito facebook alitalia. eccc
o uno ha una memoria eccezionale o si tende ad usare sempre la stessa e facile.

In effetti la comodità di PAYPAL ha come rovescio una maggiore vulnerabilità..

Io ho paypal e ho collegato ad esso la carta di credito, preferisco fare aqisti con paypal non solo per la praticità ed immediatezza ma anche perchè così è solo paypal che accede alla mia carta e non cani e porci.

Ovvio che per la password di paypal ho avuto un occhio di riguardo, è lunga, coi numeri e non riconducubile a parole esistenti.
E chiaramente la uso SOLO con paypal.
Altro discorso per le password stupide per il login ai vari siti di ecommerce..

"un'importante azienda di Cupertino (qualcuno ha pensato ad una mela mordicchiata?) introdurrà entro la fine dell'anno uno smartphone capace di leggere le impronte digitali dell'utente"
------------------------
Mah, IMHO i lettori di impronte sono una str*nzata.
Le impronte digitali non garantiscono una sicurezza particolarmente più elevata rispetto alle tradizionali password. Infatti, per quanto l'impronta del mio indice sia unica, la imprimo sul lucido telaio del mio smartphone quando lo afferro.
Lasciamo impronte digitali ovunque, quindi anche la nostra è facilmente reperibile.
Inoltre, il riconoscimento impone un confronto, ovvero la nostra impronta da confrontare dovrà essere salvata da qualche parte. E anche se criptata, ci sarà sempre un modo di penetrare nel sistema.

In effetti ci vuole qualche altro sistema, le PW ormai sono piu' facili da crackare che da ricordare. :p
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.

Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel :ciapet: .

In effetti ci vuole qualche altro sistema, le PW ormai sono piu' facili da crackare che da ricordare. :p
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.

Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel :ciapet: .

Io ad esempio ho un'ottima memoria, ma ormai le password sono diventate talmente tante che un paio me le sono dovute scrivere :asd:

Il problema dei metodi biometrici o con smartcard è che sono "personali".
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.

Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.

@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.

...sia regolamentata pesantemente...questo al giorno d`oggi e` il freno minore alla eventuale gola che una marea di dati biometrici fa/farebbe.
Sull`uso di crittografia asimmetrica...anche qui non metterei la mano sul fuoco come noto romano.

Marco1971.

Il problema dei metodi biometrici o con smartcard è che sono "personali".
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.

Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.

@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.

Questa per la sicurezza sarebbe proprio la prima cosa da evitare...
La maggior parte delle frodi sui conti bancari online, alla fine si scopre che sono fatti da figli o parenti della vittima, che erano a conoscenza della PW...

Il problema è che molti siti, anche utilizzati per la gestione dei nostri soldini, ANCORA NON implementano parser di password che permettano agli utenti di utilizzare password semplici da ricordare ma abbastanza difficili da decrittare.

Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

Quando per ogni cosa ci vogliono troppe password:
... [snip]


Ma usare un gestore di password no?

Ad esempio: KeepPass (http://keepass.info/) (quello che uso io).

- Genera la password automaticamente secondo pattern personalizzabili (e così evitiamo di generare a manina password "stupide")

- Le associa ai siti e se le ricorda lui per te.

- Quando devi fare il login a qualche sito/servizio/applicazione: un click e lui si connette, un click per dare il focus dove devi fare login (tipicamente un campo di testo) e un click per fare in modo che KeePass faccia lui il login (in modo sicuro)

Oramai lo uso da quasi 8 mesi, rinnovo le password con cadenza regolare gestendo i miei venti account ognuno con la sua bella password unica (e abbastanza "sicura") e soprattuto non devo più ricordarmi millemila password: basta la master che viene usata per accedere al database criptato quando si avvia l'applicazione la prima volta (a inizio giornata).

In teoria ha ragione.
Sia chiaro, non sta parlando di avere una password univoca e non modificabile (come è ad esempio l'impronta digitale), sta parlando di avere una sorta di software in locale che invia in rete un codice sempre univoco e non riutilizzabile invece di inviare direttamente il codice.
Un pò quello che ad esempio viene usato da alcune banche online, con la differenza che è tutto automatico e non richiede input da parte dell'utente.
In questo modo si prevengono gli attacchi tipo man-in-the-middle, il furto delle liste di account dai siti ed anche i keylogger locali.

Il discorso riguardo ai lettori biometrici riguarda lo sblocco esclusivamente locale del software che crea la credenziale.

L'unico mio dubbio è l'adozione (ovviamente per un sistema del genere è necessario che il sito supporti questo formato) ed il fatto che fa uso di un'autorità univoca, quando si parla di sicurezza preferirei sempre avere a che fare con un'entità distribuita e con codice opensource.

Il problema è che molti siti, anche utilizzati per la gestione dei nostri soldini, ANCORA NON implementano parser di password che permettano agli utenti di utilizzare password semplici da ricordare ma abbastanza difficili da decrittare.

Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

Quello è uno dei miei crucci principali.
Io sono passato da un pò di tempo a Keepass ed ho una chiave univoca ed il più lunga possibile per ogni singolo sito/programma.
Il problema è che la maggior parte dei siti (questo compreso) NON specifica come deve essere la password ed ancora peggio la validazione delle stesse è spesso sballata e fallace.
Ad esempio io mi ero imposto la regola di usare password di almeno 64 bit con 256 bit di entropia (tanto per farci capire il risultato è qualcosa del genere)
Qp2{!:y_'mC0"G uuvu;@<!OSr!Gg{_KOX[xp$lh9%8]kp >?U'zz8'ShBnl^A+6
una password simile viene accettata tranquillamente da tantissimi siti, il problema è che quando vado a reinserirla in seguito poi non fa più perché non soddisfa i criteri del sito o perché troppo lunga o perché contiene caratteri non validi sebbene abbia passato tranquillamente il controllo durante la creazione dell'account. :muro:

Molti invece salvano tutte le password nella casella di posta, ad esempio, di gmail.
Poi succede, come capitato a zuckerberg, che ti bucano gmail e ti scoprono i codici di accesso a facebook!
Però così uno può scegliere password complesse per ogni sito senza il problema di dimenticarsele. Il tutto è sensato se la password che si sceglie per la casella di posta dove si salva tutto sia molto solida.
Mi pare che tempo fa google suggeriva di ricordarsi una sola password molto solida, chissà perché!

Il problema di usare una stessa PW anche molto solida per tutto (oltre al fatto che magari un sito ha regole particolari e non ce l'accetta), è che probabilmente per l'admin (o magari anche un impiegato disonesto) di un sito è facile risalire alla tua PW su quel sito, e di conseguemza avere accesso anche a tutti gli altri tuoi account, se usi sempre quella PW...

Il problema di usare una stessa PW anche molto solida per tutto (oltre al fatto che magari un sito ha regole particolari e non ce l'accetta), è che probabilmente per l'admin (o magari anche un impiegato disonesto) di un sito è facile risalire alla tua PW su quel sito, e di conseguemza avere accesso anche a tutti gli altri tuoi account, se usi sempre quella PW...

intendevo dire usare password differenti per ogni sito, anche molto complesse, ma salvarle in una casella di posta (con password molto solida ed in teoria cambiarla periodicamente) per tenerle sempre a disposizione quando si è connessi in rete.

intendevo dire usare password differenti per ogni sito, anche molto complesse, ma salvarle in una casella di posta (con password molto solida ed in teoria cambiarla periodicamente) per tenerle sempre a disposizione quando si è connessi in rete.

In questo caso potrebbe bastare un impiegato poco onesto del provider di posta per sgamarti tutto...
O qualcuno che riesca a hackare il sistema dall'interno (cosa gia' successa in diverse occasioni, basti vedere il caso PSN)

In questo caso potrebbe bastare un impiegato poco onesto del provider di posta per sgamarti tutto...
O qualcuno che riesca a hackare il sistema dall'interno (cosa gia' successa in diverse occasioni, basti vedere il caso PSN)

Per una casella di posta come gmail mi sembrerebbe strano che un impiegato possa accedere ai dati sensibili, come la password. Credo che l'accesso a certi dati sia monitorato e registrato e che richieda una giustificazione. Ma in merito chiedo lumi, possibilmente con referenze.
Cmq sia son d'accordo che ogni soluzione è hackerabile, bisogna valutare qual è la più sicura ed abbastanza versatile per l'uso comune.

Il two-step login, a mio avviso, dovrebbe andare già bene senza introdurre avveneristiche novità.

Il precursore credo sia stato facebook, poi hanno seguito Google ed Apple...

Per quel che mi riguarda l'ho abilitato sia su facebook che sull'account Google... e mi sento più tranquillo.

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

Alla seconda domanda, cè un sito che ti da la risposta:

https://howsecureismypassword.net/

It would take a desktop PC about 39 quadrillion years to crack your password

Basterebbe associare gli accessi a Banche,Paypal,Postepay ecc ecc a numeri di telefono verificati in precedenza tramite registrazione e hai risolto per sempre il problema.
Ti arriva il massaggio sul cel,confermi,ti arriva un secondo messaggio con un codice,lo immetti e sei loggato.

Alla seconda domanda, cè un sito che ti da la risposta:

https://howsecureismypassword.net/

It would take a desktop PC about 39 quadrillion years to crack your password

Secondo quel sito anche "Pippo Baudo" è una PW sicurissima: "A thousand years". :asd:

Basterebbe associare gli accessi a Banche,Paypal,Postepay ecc ecc a numeri di telefono verificati in precedenza tramite registrazione e hai risolto per sempre il problema.
Ti arriva il massaggio sul cel,confermi,ti arriva un secondo messaggio con un codice,lo immetti e sei loggato.

Molti già lo fanno. Forse è anche più sicuro del token.

Ma usare un gestore di password no?

Ad esempio: KeepPass (http://keepass.info/) (quello che uso io).

- Genera la password automaticamente secondo pattern personalizzabili (e così evitiamo di generare a manina password "stupide")

- Le associa ai siti e se le ricorda lui per te.

- Quando devi fare il login a qualche sito/servizio/applicazione: un click e lui si connette, un click per dare il focus dove devi fare login (tipicamente un campo di testo) e un click per fare in modo che KeePass faccia lui il login (in modo sicuro)

Oramai lo uso da quasi 8 mesi, rinnovo le password con cadenza regolare gestendo i miei venti account ognuno con la sua bella password unica (e abbastanza "sicura") e soprattuto non devo più ricordarmi millemila password: basta la master che viene usata per accedere al database criptato quando si avvia l'applicazione la prima volta (a inizio giornata).

Anche io lo uso su Xubuntu da ormai 3 anni e non ho mai avuto un problema. Lo consiglio a tutti! :)

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

Un sistema ancora più semplice e difficile da attaccare consiste
nell'usare come password una frase senza spazi e punteggiatura e con errori grammaticali e storpiature che però sono facili da ricordare.

In questo modo anche qualcuno che prova un attacco a forza bruta con frasi comuni, modi di dire o tormentoni avrà difficoltà a beccare la frase giusta.

Il trucco sta nell'usare una frase "spontaneamente stupida" che così è difficile da dimenticare, meglio ancora se è associata ad un luogo, un ricordo o una persona.

Sembra complicato, ma la memoria associativa (perchè la nostra mente è forte nelle associazioni, non nella memorizzazione "tipo computer") permette di ricordare anche 200..300 password complesse come se niente fosse.

Un sistema ancora più semplice e difficile da attaccare consiste
nell'usare come password una frase senza spazi e punteggiatura e con errori grammaticali e storpiature che però sono facili da ricordare.

In questo modo anche qualcuno che prova un attacco a forza bruta con frasi comuni, modi di dire o tormentoni avrà difficoltà a beccare la frase giusta.

Il trucco sta nell'usare una frase "spontaneamente stupida" che così è difficile da dimenticare, meglio ancora se è associata ad un luogo, un ricordo o una persona.

Sembra complicato, ma la memoria associativa (perchè la nostra mente è forte nelle associazioni, non nella memorizzazione "tipo computer") permette di ricordare anche 200..300 password complesse come se niente fosse.

Ma anche associare quelle 200 PW memorizzate alle 200 account a cui sono associate non è facile, soprattutto se non vi accediamo tutti i giorni.
Io ad esempio uso sempre le solite 5 o 6 PW, con qualche variante ma non ricordo mai quale avevo usato per quel determinato account e le provo tutte...
Col rusultato che spesso dopo 3 tentativi falliti il sistema di sicurezza del sito mi blocca l'accesso per TOT ore. :doh:

"un'importante azienda di Cupertino (qualcuno ha pensato ad una mela mordicchiata?) introdurrà entro la fine dell'anno uno smartphone capace di leggere le impronte digitali dell'utente".

così poi ti fregano il telefono e così ti fregano anche l' impronta digitale! :p


al di là di questo, adesso pure sto Michael Barret pensa all' evoluzione di qualcosa nell' IT per fare businnes!

ovviamente con il fatto che è anche presidente di Fast Identity Online Alliance ha tutto l' interesse a dire cazzate simili sulle password, per -non a caso- spingere l' introduzione del nuovo sistema di autenticazione creato dalla SUA FIDO!!!

ma che pensasse invece ad abbassare i costi di commissione di paypal ed ad accettare le carte virtuali ricaricabili, che sono sempre di più gli utenti
che per colpa di queste due cose -anche su ebay- stanno abbandonando in massa paypal come metodo di pagamento!!!

http://en.wikipedia.org/wiki/Retinal_scan

Basterebbe associare gli accessi a Banche,Paypal,Postepay ecc ecc a numeri di telefono verificati in precedenza tramite registrazione e hai risolto per sempre il problema.
Ti arriva il massaggio sul cel,confermi,ti arriva un secondo messaggio con un codice,lo immetti e sei loggato.

Appunto... il two-step login! :fagiano: ... già praticato da facebook (basta andare nelle impostazioni), da alcuni servizi apple (così ho letto) e da Google Account (sempre spulciando le impostazioni).

Questa per la sicurezza sarebbe proprio la prima cosa da evitare...
La maggior parte delle frodi sui conti bancari online, alla fine si scopre che sono fatti da figli o parenti della vittima, che erano a conoscenza della PW...
Vero in generale, ma non sempre.
Per esempio io gestisco l'accesso degli account di alcune persone poco informatizzate, e ritengo di avere comportamenti ben più sicuri dei loro.
Se mi servisse staccar loro il dito per poterlo fare sarebbe un problema.

Comunque il problema potrebbe essere risolvibile consentendo l'accesso a più utenze: un utente principale che può abilitarne uno secondario (con il proprio accesso biometrico) e può abilitarlo/disabilitarlo, stabilire per esso un periodo di scadenza o un accesso solo a certi orari o in certi giorni, può stabilire un'utenza completa o limitata.
Questo permetterebbe non solo di risolvere il problema del legame eccessivo alla persona, ma di avere anche una serie in più di caratteristiche che possono sempre tornare utili.

Ovviamente questo richiede un certo sforzo di implementazione da parte di chi fornisce il servizio, e questo può essere il vero limite alla sua adozione.

Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti
Questo tipo di password però sono particolarmente sensibili ad attacchi con dizionario.
Gli attacchi con dizionario non sono così semplicistici e contemplano diverse varianti, provando prima le più comuni.
Per quante possano essere si tratta comunque di un sottoinsieme molto piccolo di tentativi rispetto ad un attacco brute force.

A mio parere un metodo migliore è quello di usare frasi lunghe ma facili da ricordare, prendendo di queste solo alcune lettere secondo uno schema semplice (per esempio la prima e la quarta lettera di ogni parola, seguite da una cifra corrispondente alla seconda lettera... e chi più ne ha più ne metta).

Ma usare un gestore di password no?
Il gestore di password però non ti lega ad una singola macchina?
Ci vorrebbe qualcosa che lavori tra diversi computer e crossplatform, ma questo potrebbe diminuirne il livello di sicurezza.

Non mi sembra che siano obsolete le password, saranno obsoleti i siti che permettono di fare infiniti login senza blocchi o controlli ulteriori forse.

Poi se una psw viene spoofata non è praticamente mai per brute force ma phishing o altro, quindi colpa del fish in questo caso :D

Basta scriversele in un file di testo, magari senza intitolarlo "le mie psw segrete pe accesso a siti di ecommerce"...

http://en.wikipedia.org/wiki/Retinal_scan

Dillo a Wesley Snipes :D

Il gestore di password però non ti lega ad una singola macchina?
Ci vorrebbe qualcosa che lavori tra diversi computer e crossplatform, ma questo potrebbe diminuirne il livello di sicurezza.
prova lastpass, hai bisogno solo di 1 browser e della masterpassword:
per ogni sito ti crei una password casuale di xx caratteri e li salvi nel loro database, poi se hai l'extension installata ti fa il login in automatico

Sì e che succede se un superuser vi frega le password dal database... meglio amministrarsele da soli secondo me

Sì e che succede se un superuser vi frega le password dal database... meglio amministrarsele da soli secondo me

quotone!;)

Alla seconda domanda, cè un sito che ti da la risposta:

https://howsecureismypassword.net/

It would take a desktop PC about 39 quadrillion years to crack your password

ho appena scoperto che la passoword che uso più spesso su internet è crakkabile in 11minuti e quella del wifi (abito isolato quindi non serve a niente) in 1 milione di anni :doh:

comunque per me finora la migliore e più facilmente attuabile e la conferma di login, o operazioni varie, tramite telefono/sms... ma mi sembra alquanto esagerato per siti dove al massimo possono fregarti 2 foto o scrivere al posto tuo...

in 1 milione di anni :doh:


A me basta tengano duro un 60 anni e sono ottimista, anche perchè tra un milione di anni voglio vedere chi prova a craccare la mia password vecchia di diverse ere geologiche, e soprattutto utilizzando un i7 a 3ghz :sofico:

Sinceramente a me lasciare password sparse su server online ovunque non è mai piaciuto, meglio tenersele il locale. Se poi uso un qualsiasi programma gestore di password, con masterpassword.

Il gestore di password però non ti lega ad una singola macchina?
Ci vorrebbe qualcosa che lavori tra diversi computer e crossplatform, ma questo potrebbe diminuirne il livello di sicurezza.

Il gestore di password ha un file archivio criptato dove tiene tutte le password, basta copiarselo tra le diverse macchine e si è a posto.
Ovviamente così facendo non è sincronizzato, ma preferisco non tenere certi dati sensibili in cloud.

Io penso piu' ad una smart card, molto complessa da inserire nel pc con una password iniziale, grafica o biometrica o testuale da inserire al primo utilizzo della sessione.

Quando per ogni cosa ci vogliono troppe password:
quella del pc, della posta, dell inps dell'agenzia delle entrare, del forum, del sito facebook alitalia. eccc
o uno ha una memoria eccezionale o si tende ad usare sempre la stessa e facile.

Io non ho affatto una memoria eccezionale, anzi (e te lo posso assicurare) eppure utilizzo 1 password per la posta principale, 1 per gmail e altre poste secondarie, 1 per facebook, 1 per twitter, 1 per paypal, 1 per steam, 1 per origin, 1 per forumfree (diversa da altri forum perche' ho un forum mio), 1 per i vari forum, 1 per aeriagames, 1 per onlive...

E me le ricordo tutte e passano dai 6 (forum vari) ai 12 caratteri (mail principale), con numeri e lettere, a volte anche una maiuscola (se richiesto)...

Capisco che possa essere difficile inventare sempre nuove password, ma chi utilizza "password" o "12345" e' da linciare, soprattutto se le usa per account importanti. Sinceramente gli direi "ti sta bene, la prossima volta impari".

Saro' cattivo, ma e' come dimenticarsi di chiudere l'auto o addirittura di lasciare dentro le chiavi di scorta, venendo poi a piangere se gli hanno svuotato l'auto di tutto quello che hanno trovato dentro o gliel'hanno portata via...

Capisco che possa essere difficile inventare sempre nuove password, ma chi utilizza "password" o "12345" e' da linciare, soprattutto se le usa per account importanti. Sinceramente gli direi "ti sta bene, la prossima volta impari".

Saro' cattivo, ma e' come dimenticarsi di chiudere l'auto o addirittura di lasciare dentro le chiavi di scorta, venendo poi a piangere se gli hanno svuotato l'auto di tutto quello che hanno trovato dentro o gliel'hanno portata via...
No, non sei cattivo.

Spesso ci si dimentica (oppure si perde di vista) il fatto che la questione "sicurezza" poggia su due colonne portanti: 1) la tecnologia, 2) l'educazione/cultura (gli utenti). Si può provare a spingere sul punto 1 quanto si vuole ma finchè verrà trascurato/sottostimato/ignorato il punto 2 non se ne verrà fuori.

Non si può avere la botte piena e la moglie ubriaca, per quanto si possa spostare l'ago della bilancia verso il punto 1 e sgravare la criticità del punto 2: prima o poi lo si dovrà comunque affrontare.

Un'ottima soluzione, almeno in Italia, sarebbe quella di utilizzare come autenticazione per entrare in un sito la firma digitale, come per esempio
http://www.impresainungiorno.gov.it/
Qui per autenticarsi bisogna inserire la key usb con certificato CNS.

Ma anche associare quelle 200 PW memorizzate alle 200 account a cui sono associate non è facile, soprattutto se non vi accediamo tutti i giorni.
Io ad esempio uso sempre le solite 5 o 6 PW, con qualche variante ma non ricordo mai quale avevo usato per quel determinato account e le provo tutte...
Col rusultato che spesso dopo 3 tentativi falliti il sistema di sicurezza del sito mi blocca l'accesso per TOT ore. :doh:

Ripeto il "trucco" sta tutto nell' associare non nel memorizzare.
Molti lo fanno inconsapevolmente (associare invece di cercare di "ricordare"/"memorizzare") e si stupiscono come mai certe cose le "ricordano" facilmente mentre altre no.
Ma se si impara a procedere per associazione la cosa diventa semplice, come riconoscere il volto di una delle tante persone che si conoscono: non ci pensiamo, non ricordiamo, associamo ed il ricordo viene fuori da solo.

Sempre a proposito di sicurezza e Paypal, oggi ho scoperto che la magnifica app di Ebay non richiede la password di Paypal ad ogni pagamento. Questo significa che l'utente medio che non ha una password di sblocco telefono e che magari mantiene l'accesso ad Ebay per vederne le notifiche, nel caso di furto del telefono rischia di vedersi addebitati sulla carta di credito qualche milione di dollari in noccioline. E' talmente sicuro il sistema che basta sbloccare il telefono, aprire ebay, comprare la formula segreta della coca-cola (http://www.ebay.it/itm/Coca-Cola-Recipe-Formula-Letter-January-15-1943-Historical-Document-/121110740676?ViewItem=&item=121110740676&nma=true&si=9D3vdAo%252B%252BrBQIMoSQBfI1cgp1pg%253D&orig_cvip=true&rt=nc&_trksid=p2047675.l2557) :sofico: e pagare con paypal senza dover inserire alcuna password.

Mah... l'utilità di una password sicura lascia abbastanza il tempo che trova visto che spesso i dati vengono prelevati alla fonte.
i server di posta vengono bucati abbastanza di frequente.
le aziende che gestiscono i dati delle carte di credito hanno leaking non trascurabili,
gli stessi dns vengono attaccati e ti ritrovi che sono loro ad infilarti il virus a runtime nella pagina web mentre accedi ad un sito perfettamente lecito...
persino gli algoritmi di cifratura vengono ideati con una backdoor in mente, o con vizi strutturali, per cui vedo abbastanza inutile tutta la discussione...

del resto se da un lato la sicurezza richiede l'identificazione univoca dell'utente, dall'altro il desiderio di privacy richiede l'esatto opposto, per cui è abbastanza difficile conciliare le due cose, visto che una rete sicura impone che chiunque sia identificabile in qualsiasi momento, mentre una rete libera richiede che chiunque possa fare quel piffero che vuole senza essere monitorato.

Ma anche associare quelle 200 PW memorizzate alle 200 account a cui sono associate non è facile, soprattutto se non vi accediamo tutti i giorni.
Io ad esempio uso sempre le solite 5 o 6 PW, con qualche variante ma non ricordo mai quale avevo usato per quel determinato account e le provo tutte...
Col rusultato che spesso dopo 3 tentativi falliti il sistema di sicurezza del sito mi blocca l'accesso per TOT ore. :doh:

a volte mi capita la stessa :p

Ripeto il "trucco" sta tutto nell' associare non nel memorizzare.
Molti lo fanno inconsapevolmente (associare invece di cercare di "ricordare"/"memorizzare") e si stupiscono come mai certe cose le "ricordano" facilmente mentre altre no.
Ma se si impara a procedere per associazione la cosa diventa semplice, come riconoscere il volto di una delle tante persone che si conoscono: non ci pensiamo, non ricordiamo, associamo ed il ricordo viene fuori da solo.

Ma non è decisamente sconsigliato proprio quel che stai dicendo tu, cioè permettere una facile associazione tra username e password?

Ma non è decisamente sconsigliato proprio quel che stai dicendo tu, cioè permettere una facile associazione tra username e password?
LMCH parlava di associazione come tipo di "meccanismo mnemonico" (memoria associativa) da prediligere, non ha parlato di associare usarename a password. Dove l'hai letta questa parte? :)
Qui alcune tecniche (https://en.wikipedia.org/wiki/Memorization) comuni di memorizzazione.