Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/milioni-di-utenti-utilizzano-123456-come-password-ma-c-e-una-drastica-soluzione-in-vista_106941.html

Quello delle password deboli è un problema ancora irrisolto, sebbene di vecchissima data. In occasione del Password Day 2022 è sembrata però chiara quale potrebbe essere la soluzione al problema

Click sul link per visualizzare la notizia.

In arrivo con iOS 15.5:boxe:la tecnologia Passkey per entrare nei siti senza usare le password: :eekk:
https://developer.apple.com/documentation/ios-ipados-release-notes/ios-ipados-15_5-release-notes
New Features
Il supporto alla tecnologia Passkey (anteprima) è stato aggiunto, consentendo l'accesso a siti Web e app compatibili con passkey su Mac e iPad utilizzando un iPhone con una passkey salvata.
:cincin:

Fantastico quindi per colpa di qualche mentecatto tecnologico avrò bisogno sempre di avere il cellulare accanto a me altrimenti non riesco entrare da nessuna parte.

I siti che sono effettivamente cruciali non permettono ormai da anni l'inserimento di password stupide. Che mi freghino la password del profilo di HU non mi frega niente anche se 123456.

il famoso accesso con profilo FB o Google c'è da anni ed ha sempre più affiliati e non richiede registrazione (spesso); se è tutto così meglio.

E se mi rubano il cellulare? Per bloccarne l'utilizzo da remoto devo accedere al mio account, ma se non ho password e l'autenticazione è il cellulare stesso come faccio? Vabe' non lo blocco, al limite qualcuno avrà accesso ad ogni mio singolo dato...poco male.

Ma io poi dico, perchè questa mania di dover usare il cellulare come sblocco? Servizi tipo Steam è da anni che riconoscono il dispositivo di accesso, e non ti fanno accedere se utilizzi un dispositivo nuovo, se non verifichi anche tramite codice inviato via mail. E' così difficile implementare questa funzione anche su altre applicazioni?

Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.

Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.

la vedo anche io così, con poche eccezioni: accesso ad account bancari e cose a quei livelli.

inoltre non approvo il sito della bocciofila che obbliga a cambiare password ogni 6 mesi con una sempre diversa

Ma non sarebbe MOLTO PIU FACILE impedire l utilizzo di quelle password??

A parte che da anni quasi ovunque il limite Minimo per una password è di 8 caratteri quindi non riesco a capacitarmi di come 12345 e 123456 siano le piu usate... (ovvio che anche 12345678 sarebbe da stupidi)

Ma a parte questo, fare una banale BlackList di stringhe che non possono essere usate no??
Cosi se anche l utente prova a mettere 12345678 gli viene fuori una scritta che avvisa di non accettare password cosi stupide.

Penso sia la soluzione migliore invece di inventarsi altre cose.

Unito poi all obbligo di usare sempre almeno un numero e un carattere speciale, direi che rende la password quasi impossibile da essere "indovinata"

Gia tanti siti impediscono di usare Nome e Cognome nella password, quindi non credo ci voglia chissà quale tecnologia per fare una lista di password NON-accettate

Il problema fondamentale è che la gente è informaticamente analfabeta tendenzialmente (ed in larga parte anche analfabeta funzionale).

La sicurezza informatica per queste persone non esiste. Le password i più svegli le annotano su un taccuino mentre gli altri mettono sempre la data di nascita del figlio o il compleanno del compagno/a.

Capisco bene il problema che cercano di risolvere.
Ma la radice di tutti i mali è che è stato dato in mano a miliardi di persone uno strumento (lo smartphone) che è potenzialmente una bomba ad orologeria se non lo si sa usare.

Gli scam sono all'ordine del giorno ed i furti di dati personali sono diffusissimi.

Accentrare tutto questo "potere" in un unico dispositivo lo farebbe diventare un sorta di portafogli digitale. Questo non va bene. Almeno finchè non si avrà una maggiore consapevolezza di che cosa comporta possedere uno smartphone.


Inoltre non voglio essere dipendente da questi dispositivi per accedere ai miei account bancari di posta ecc....
Voglio poter decidere io se associare o meno lo smartphone.
Anche se già ultimamente la cosa diventa sempre più imprescindibile per molti servizi.

Io scelgo sempre password complesse che NON ricordo e con un semplice gestore di password accedo ai vari siti, sia sul pc che sullo smartphone.
Dove possibile, utilizzo sempre l'authenticator di google o microsoft per maggiore sicurezza.

la tecnologia SAML è la soluzione.

Poi ovvio la soluzione a 123456 c'è ed è l'aggiunta a di 7890
No serve un simbolo
7890'
:asd:

Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.

Il problema è poi un intelligentone di turno (ed han scoperto chi sia) che si è inventato che secondo lui cambiare la password ogni 6 mesi è più sicuro di avere una password tipo

947!SpiegamihPerchèLaDevoCamb14R€ù

Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.

Stai iper semplificando un problema decisamente più complesso di come lo esponi...
Una password fatta bene dev'essere molto lunga, con una buona varietà di lettere minuscole e maiuscole, numeri e caratteri speciali, dev'essere quanto più illogica possibile e SOPRATTUTTO dev'essere diversa per ogni singolo portale che richiede accesso.
Una persona normale non può ricordarsi 10-20-100 password complesse e illogiche diverse. E' folle.. e qui nascono i password keeper che però, siamo onesti, non hanno un'integrazione a 360 gradi con tutti i sistemi che un utente utilizza.

Pur essendo io un utente avanzato, mi sento estremamente frustrato gran parte delle volte in cui mi viene richiesto di creare un account o inserire una password su un dispositivo che non sia un broswer desktop (oltretutto il sito dev'essere creato con specifiche regole che il P.K. possa interpretare correttamente altrimenti si salvi chi può).

Che mi freghino la password del profilo di HU non mi frega niente

Poniamo che quancuno ti freghi la password di HW e diffami qualcuno a tuo nome, o insulti qualcuno. In un mondo in cui anche solo per un'emoji sbagliata si può finire nel penale, farmi fregare l'account è l'ultima cosa che vorrei. Sarebbe poi tua responsabilità dimostrare che non eri tu a scrivere bensì altri al posto tuo. E nel frattempo, sempre che vada a finire bene, butteresti comunque energia, tempo e soldi.

Meglio non sottovalutare l'entità del problema "Password"

Boh io ho risolto con la password 654321, così li ho fregati tutti :O

Boh io ho risolto con la password 654321, così li ho fregati tutti :O

:D

(Lindsey :flower: )

A esser sinceri sta cosa è comunque una rottura, lo sapevate che per fare un account nuovo su Google ti richiede il nmr di telefono?
Se voglio il nmr ce lo aggiungo dopo, se devi fare qualche registrazione in fretta questa cosa in parte rallenta, e nel mio caso può farti passare la voglia :D

Ora il dover utilizzare un dispositivo al posto della psw (che nel mio caso non è cmq una semplice), ha, come detto più di qualcuno sopra di me, un risvolto negativo.

Se appunto perdi il telefono? se non ti funziona o si scarica in quel determinato momento?
O perfino, tipo quando ti arrivano gli SMS di verifica, la rete non ti prende?

Oramai è una sorta di patch continua, ogni soluzione la si può considerare temporanea, se viene trovato il modo di bucarla.

Stai iper semplificando un problema decisamente più complesso di come lo esponi...
Una password fatta bene dev'essere molto lunga, con una buona varietà di lettere minuscole e maiuscole, numeri e caratteri speciali, dev'essere quanto più illogica possibile e SOPRATTUTTO dev'essere diversa per ogni singolo portale che richiede accesso.
Beh certo che ho semplificato.. :)
Sono daccordo con quello che dici e anche che sia un problema da non sottovalutare quello delle password.

Mi limito solo ad osservare, forse con un pizzico di critica, quanto mi sembri triste il fatto di inventare un unico "qualcosa" che gestisca azioni "semplici" come pensare, riflettere, memorizzare.. al posto di un cervello che a questo punto può tranquillamente rilassarsi e riposare.
Già siamo messi che parliamo a cippalippa e gli chiediamo di accendere la lampadina del soggiorno perchè stiamo arrivando a casa :D ma io ho ancora due braccia con attaccate due mani che arrivano all'interruttore...

Basta usare un gestore di password con password 123456 :D

Io scelgo sempre password complesse che NON ricordo e con un semplice gestore di password accedo ai vari siti, sia sul pc che sullo smartphone.
Dove possibile, utilizzo sempre l'authenticator di google o microsoft per maggiore sicurezza.

Anche io, ma il problema dei gestori di password è che se ti rubano proprio quella del gestore fanno bingo.

Anche io, ma il problema dei gestori di password è che se ti rubano proprio quella del gestore fanno bingo.

E' sempre stato il mio timore. Magari ingiustificato, ma preferisco ancora il caro vecchio foglio A4 (che ormai nel frattempo negli anni sono diventati 6 fogli).

E' sempre stato il mio timore. Magari ingiustificato, ma preferisco ancora il caro vecchio foglio A4 (che ormai nel frattempo negli anni sono diventati 6 fogli).
E se ti rubano il foglio?

E se ti rubano il foglio?

E' occultato a dovere :stordita:

E se ti rubano il foglio?



É un bel po piú difficile che un criminale che vive dall'altra parte del mondo mi rubi il foglio.

É un bel po piú difficile che un criminale che vive dall'altra parte del mondo mi rubi il foglio.
Webcam, fotocamera cellulare, ...

É piú difficile...stacce!:D

Webcam, fotocamera cellulare, ...

E chi lo tiene su pc o smartphone!

Non vedo l'ora che questa nuova tecnologia diventi obbligatoria per tutti - magari supportata solo da "Cellulari autorizzati" ergo - se non hai l'ultimo cellulare con l'ultima patch di sicurezza installata, puoi pure scordarti di tutti i tuoi account. Cosa? vuoi fare più account? negativo! solo un account per cellulare!

Magari sei uno di quelli paranoici che si comprano il telefono android modificato per essere senza Google con play store diverso e tutte le magagne Google disattivate ma che non potrà fare il login a niente se non si prende l'Android ufficiale e privacy-zero made by Google...

...ed ovviamente ci sarà la gente che difenderà l'obbligatorietà di questa roba perché ovviamente la "s1cuReZzA" è più importante di qualsiasi forma di convenienza o privacy.

Per la cronaca: La MIGLIORE password possibile è quella che puoi ricordarti a memoria nel tuo cervellino, è più sicura di qualsiasi smartphone (che ti possono rubare), o password salvata qualsidove (che la possono trovare)

E' sempre stato il mio timore. Magari ingiustificato, ma preferisco ancora il caro vecchio foglio A4 (che ormai nel frattempo negli anni sono diventati 6 fogli).

Il foglio è una soluzione se lo usi da casa, ma altrove che fai, te lo porti sempre dietro? Se si, rischi di perderlo. Se no, quando sei fuori casa non puoi usare i tuoi stessi servizi. Un pò scomodo direi.

É piú difficile...stacce!:D
Non tanto più di fregarti la pass del gestore password...
E chi lo tiene su pc o smartphone!
Basta tenerlo vicino... se le password sono un pelo complicate, dovrai pur avvicinare il foglio al pc per copiarle...

Il foglio è una soluzione se lo usi da casa, ma altrove che fai, te lo porti sempre dietro? Se si, rischi di perderlo. Se no, quando sei fuori casa non puoi usare i tuoi stessi servizi. Un pò scomodo direi.

Infatti quando sono fuori casa non mi serve. Faccio tutto da pc fisso, da smarthpone tendo ad evitare. Almeno fino adesso mai sentito la necessità.

Basta tenerlo vicino... se le password sono un pelo complicate, dovrai pur avvicinare il foglio al pc per copiarle...

Certo ma nessuno "mi vede"

Non tanto più di fregarti la pass del gestore password...

Basta tenerlo vicino... se le password sono un pelo complicate, dovrai pur avvicinare il foglio al pc per copiarle...


Non lo so. A volte Mica serve fregarle le pass del keeppas.basta chiederle a chi di dovere. Vedi il keeppass di un famoso antivirus di uno stato coinvolto in una guerra...

Infatti quando sono fuori casa non mi serve. Faccio tutto da pc fisso, da smarthpone tendo ad evitare. Almeno fino adesso mai sentito la necessità.


E' evidente che non hai un portatile e neanche lavori in ufficio :D Soluzione vecchia maniera ma poco pratica.

Io utilizzo Keepass ed oltre alla password ho abilitato l'opzione File Chiave
Il file risiede su una chiave USB con bitlocker.
Una copia del file è salvata su due vecchie chiavi USB che ho a casa

Per la cronaca: La MIGLIORE password possibile è quella che puoi ricordarti a memoria nel tuo cervellino, è più sicura di qualsiasi smartphone (che ti possono rubare), o password salvata qualsidove (che la possono trovare)

E certo, fino a 10 anni fa (da inizi 2000 diciamo), tra mail/siti/forum le sapevo tutte a memoria*, peccato per te che a meno che uno non ha una memoria eidetica o qualcosa di simile, non puoi sicuramente puntare a psw che puoi ricordare anche se leggermente complicate, ma a qualcosa di cmq efficace e più tosta da memorizzare. Soprattutto ora che la quantità di dati da "ricordare" per ogni mail e account vari è aumentato (ed io ci vado pure piano, non mi iscrivo a tutto).

Ognuno gestirà la situazione come può, il problema più grande ce l'hanno proprio chi utilizza PSW semplici. Magari questa situazione con gli Smartphone sarà utile ad alcuni di loro, ma le magagne si scopriranno in pochissimo tempo.

* anche perché lo facevo anche come allenamento mentale.

La colpa non e' degli utenti, ma delle aziende (cialtrone) che non implementano i "Criteri di sicurezza delle password".
In altre parole, ti impedisco di impostare password banali.
Le aziende serie lo fanno da anni.

Fantastico quindi per colpa di qualche mentecatto tecnologico avrò bisogno sempre di avere il cellulare accanto a me altrimenti non riesco entrare da nessuna parte.
:mano:
Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.
:mano:
la vedo anche io così, con poche eccezioni: accesso ad account bancari e cose a quei livelli.

inoltre non approvo il sito della bocciofila che obbliga a cambiare password ogni 6 mesi con una sempre diversa
:mano:
Ma non sarebbe MOLTO PIU FACILE impedire l utilizzo di quelle password??
poi non potrebbero più obbligarti a fornire numero di cell, indirizzo di casa, gruppo sanguigno, nome della moglie...
E farti cambiare cell ogni 6 mesi perchè ovviamente solo quelli aggiornati saranno ammessi.

Il foglio è una soluzione se lo usi da casa, ma altrove che fai, te lo porti sempre dietro? Se si, rischi di perderlo. Se no, quando sei fuori casa non puoi usare i tuoi stessi servizi. Un pò scomodo direi.
basta usare la stessa pass per tutti i servizi :D
87654321 e li freghi tutti :p
anzi no, a!654321...

Ottimo questo sistema passwordless purché sia facoltativo, ma da Google non ci spero troppo... :rolleyes:

E certo, fino a 10 anni fa (da inizi 2000 diciamo), tra mail/siti/forum le sapevo tutte a memoria*, peccato per te che a meno che uno non ha una memoria eidetica o qualcosa di simile, non puoi sicuramente puntare a psw che puoi ricordare anche se leggermente complicate, ma a qualcosa di cmq efficace e più tosta da memorizzare. Soprattutto ora che la quantità di dati da "ricordare" per ogni mail e account vari è aumentato (ed io ci vado pure piano, non mi iscrivo a tutto).


Esistono dei trucchi per "Scrivere password senza scriverle" che non richiedono nessuna particolare memoria, ma solo un metodo.
Ad esempio, puoi memorizzare parte delle password di ogni sito, parte,non tutte.

Prendiamo ad esempio la password per un sito tipo HWupgrade
Facciamo che la password completa è 58By8Afi6H24v2 ma è troppo lunga per ricordarla,quindi la salviamo in chiaro... ma cambiamo le prime due e le ultime due lettere

Quindi salviamo la password:
58By8Afi6H24v2
Tuttavia nella nostra testolina sappiamo che in realtà non è la vera password,per la vera password basta cambiare le prime due lettere con le prime due lettere dell'indirizzo del sito (hwupgrade) e le ultime due lettere con le ultime due dell'indirizzo del sito hwupgrade ed ecco che abbiamo la vera password:

hwBy8Afi6H24ra

La stessa tecnica la puoi applicare a qualsiasi sito, non ti devi ricordare altro che la tecnica in se, usa un password manager per salvare la password di base e poi fai le modifiche quando la copi da li.

Ci sono molte altre tecniche per salvare password complesse senza scriverle in chiaro, basta un pò di fantasia (ad esempio puoi usare la stessa tecnica di cui sopra ma invece di sostituire i primi e gli ultimi 2 caratteri li aggiungi ai caratteri derivati dal nome del sito, oppure puoi cambiare solo le prime 2 lettere, saltando i numeri , ci sono 1000 modi diversi che ti puoi inventare, basta che te ne ricordi uno)

Esistono dei trucchi per "Scrivere password senza scriverle" che non richiedono nessuna particolare memoria, ma solo un metodo.
Ad esempio, puoi memorizzare parte delle password di ogni sito, parte,non tutte

...

E' sicuramente un buon metodo, magari non serve uno sforzo enorme di memoria, ma come detto la cosa si complica quando gli account e le mail cominciano ad esser parecchi.

Esistono dei trucchi per "Scrivere password senza scriverle" ...

interessante ma macchinoso. :-)
e cmq il fatto di mettere caratteri casuali e difficilmente memorizzabili sono diversi a dire che alla fine non ha nessun senso tecnico e non mette affatto in difficoltà un attacco bruteforce

...
Quindi salviamo la password:
58By8Afi6H24v2
Tuttavia nella nostra testolina sappiamo che in realtà non è la vera password,per la vera password basta cambiare le prime due lettere con le prime due lettere dell'indirizzo del sito (hwupgrade) e le ultime due lettere con le ultime due dell'indirizzo del sito hwupgrade ed ecco che abbiamo la vera password:

hwBy8Afi6H24ra
...
E già ottieni un "password errata" :D

Comunque, arrivi al fatto che in qualche maniera le password devi scriverle, non puoi tenerle tutte a memoria.

...ma come detto la cosa si complica quando gli account e le mail cominciano ad esser parecchi.

Poi capita che all'ennesimo "nome utente o password errata" pur essendo convinto di aver scritto la password giusta, vai a controllare e ti accorgi di aver invertito un paio di caratteri o hai utilizzato la password corretta ma per un altro servizio.
Quante volte mi è capitato! L'età è una brutta bestia, non si è giovani in eterno.

Poi capita che all'ennesimo "nome utente o password errata" pur essendo convinto di aver scritto la password giusta, vai a controllare e ti accorgi di aver invertito un paio di caratteri o hai utilizzato la password corretta ma per un altro servizio.
Quante volte mi è capitato! L'età è una brutta bestia, non si è giovani in eterno.

:D :D :D

mi è capitato più di qualche volta, anni fa, di inserire , per sbaglio, invece della PSW dell'account quella della mail, e non capivo cosa non andava :D
Anche se per me il motivo è più semplice, il multitasking non sono capace a farlo, quindi se faccio troppe cose contemporaneamente mi capita di confondermi (o scrivere male, etc...)