Le password sono obsolete secondo il CISO di PayPal

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/le-passwo...pal_46995.html

L'autenticazione basata su nome utente e password è ormai obsoleta: è necessario muoversi verso un concetto nuovo che porti più sicurezza per l'utente ma anche una maggior facilità d'uso

Click sul link per visualizzare la notizia.

[alexdal]

Io penso piu' ad una smart card, molto complessa da inserire nel pc con una password iniziale, grafica o biometrica o testuale da inserire al primo utilizzo della sessione.

Quando per ogni cosa ci vogliono troppe password:
quella del pc, della posta, dell inps dell'agenzia delle entrare, del forum, del sito facebook alitalia. eccc
o uno ha una memoria eccezionale o si tende ad usare sempre la stessa e facile.

[demon77]

In effetti la comodità di PAYPAL ha come rovescio una maggiore vulnerabilità..

Io ho paypal e ho collegato ad esso la carta di credito, preferisco fare aqisti con paypal non solo per la praticità ed immediatezza ma anche perchè così è solo paypal che accede alla mia carta e non cani e porci.

Ovvio che per la password di paypal ho avuto un occhio di riguardo, è lunga, coi numeri e non riconducubile a parole esistenti.
E chiaramente la uso SOLO con paypal.
Altro discorso per le password stupide per il login ai vari siti di ecommerce..

[Muppolo]

"un'importante azienda di Cupertino (qualcuno ha pensato ad una mela mordicchiata?) introdurrà entro la fine dell'anno uno smartphone capace di leggere le impronte digitali dell'utente"
------------------------
Mah, IMHO i lettori di impronte sono una str*nzata.
Le impronte digitali non garantiscono una sicurezza particolarmente più elevata rispetto alle tradizionali password. Infatti, per quanto l'impronta del mio indice sia unica, la imprimo sul lucido telaio del mio smartphone quando lo afferro.
Lasciamo impronte digitali ovunque, quindi anche la nostra è facilmente reperibile.
Inoltre, il riconoscimento impone un confronto, ovvero la nostra impronta da confrontare dovrà essere salvata da qualche parte. E anche se criptata, ci sarà sempre un modo di penetrare nel sistema.

[Bestio]

In effetti ci vuole qualche altro sistema, le PW ormai sono piu' facili da crackare che da ricordare.
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.

Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel .

[Capozz]

Quote:

Originariamente inviato da Bestio

In effetti ci vuole qualche altro sistema, le PW ormai sono piu' facili da crackare che da ricordare.
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.

Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel .

Io ad esempio ho un'ottima memoria, ma ormai le password sono diventate talmente tante che un paio me le sono dovute scrivere

[calabar]

Il problema dei metodi biometrici o con smartcard è che sono "personali".
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.

Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.

@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.

[Marco71]

...sia regolamentata pesantemente...questo al giorno d`oggi e` il freno minore alla eventuale gola che una marea di dati biometrici fa/farebbe.
Sull`uso di crittografia asimmetrica...anche qui non metterei la mano sul fuoco come noto romano.

Marco1971.

[Bestio]

Quote:

Originariamente inviato da calabar

Il problema dei metodi biometrici o con smartcard è che sono "personali".
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.

Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.

@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.

Questa per la sicurezza sarebbe proprio la prima cosa da evitare...
La maggior parte delle frodi sui conti bancari online, alla fine si scopre che sono fatti da figli o parenti della vittima, che erano a conoscenza della PW...

[cerbert]

Il problema è che molti siti, anche utilizzati per la gestione dei nostri soldini, ANCORA NON implementano parser di password che permettano agli utenti di utilizzare password semplici da ricordare ma abbastanza difficili da decrittare.

Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

[banryu79]

Quote:

Originariamente inviato da alexdal

Quando per ogni cosa ci vogliono troppe password:
... [snip]

Ma usare un gestore di password no?

Ad esempio: KeepPass (quello che uso io).

- Genera la password automaticamente secondo pattern personalizzabili (e così evitiamo di generare a manina password "stupide")

- Le associa ai siti e se le ricorda lui per te.

- Quando devi fare il login a qualche sito/servizio/applicazione: un click e lui si connette, un click per dare il focus dove devi fare login (tipicamente un campo di testo) e un click per fare in modo che KeePass faccia lui il login (in modo sicuro)

Oramai lo uso da quasi 8 mesi, rinnovo le password con cadenza regolare gestendo i miei venti account ognuno con la sua bella password unica (e abbastanza "sicura") e soprattuto non devo più ricordarmi millemila password: basta la master che viene usata per accedere al database criptato quando si avvia l'applicazione la prima volta (a inizio giornata).

[Donbabbeo]

In teoria ha ragione.
Sia chiaro, non sta parlando di avere una password univoca e non modificabile (come è ad esempio l'impronta digitale), sta parlando di avere una sorta di software in locale che invia in rete un codice sempre univoco e non riutilizzabile invece di inviare direttamente il codice.
Un pò quello che ad esempio viene usato da alcune banche online, con la differenza che è tutto automatico e non richiede input da parte dell'utente.
In questo modo si prevengono gli attacchi tipo man-in-the-middle, il furto delle liste di account dai siti ed anche i keylogger locali.

Il discorso riguardo ai lettori biometrici riguarda lo sblocco esclusivamente locale del software che crea la credenziale.

L'unico mio dubbio è l'adozione (ovviamente per un sistema del genere è necessario che il sito supporti questo formato) ed il fatto che fa uso di un'autorità univoca, quando si parla di sicurezza preferirei sempre avere a che fare con un'entità distribuita e con codice opensource.

Quote:

Originariamente inviato da cerbert

Il problema è che molti siti, anche utilizzati per la gestione dei nostri soldini, ANCORA NON implementano parser di password che permettano agli utenti di utilizzare password semplici da ricordare ma abbastanza difficili da decrittare.

Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

Quello è uno dei miei crucci principali.
Io sono passato da un pò di tempo a Keepass ed ho una chiave univoca ed il più lunga possibile per ogni singolo sito/programma.
Il problema è che la maggior parte dei siti (questo compreso) NON specifica come deve essere la password ed ancora peggio la validazione delle stesse è spesso sballata e fallace.
Ad esempio io mi ero imposto la regola di usare password di almeno 64 bit con 256 bit di entropia (tanto per farci capire il risultato è qualcosa del genere)

Codice:

Qp2{!:y_'mC0"G uuvu;@<!OSr!Gg{_KOX[xp$lh9%8]kp >?U'zz8'ShBnl^A+6

una password simile viene accettata tranquillamente da tantissimi siti, il problema è che quando vado a reinserirla in seguito poi non fa più perché non soddisfa i criteri del sito o perché troppo lunga o perché contiene caratteri non validi sebbene abbia passato tranquillamente il controllo durante la creazione dell'account.

[LASCO]

Molti invece salvano tutte le password nella casella di posta, ad esempio, di gmail.
Poi succede, come capitato a zuckerberg, che ti bucano gmail e ti scoprono i codici di accesso a facebook!
Però così uno può scegliere password complesse per ogni sito senza il problema di dimenticarsele. Il tutto è sensato se la password che si sceglie per la casella di posta dove si salva tutto sia molto solida.
Mi pare che tempo fa google suggeriva di ricordarsi una sola password molto solida, chissà perché!

[Bestio]

Il problema di usare una stessa PW anche molto solida per tutto (oltre al fatto che magari un sito ha regole particolari e non ce l'accetta), è che probabilmente per l'admin (o magari anche un impiegato disonesto) di un sito è facile risalire alla tua PW su quel sito, e di conseguemza avere accesso anche a tutti gli altri tuoi account, se usi sempre quella PW...

[LASCO]

Quote:

Originariamente inviato da Bestio

Il problema di usare una stessa PW anche molto solida per tutto (oltre al fatto che magari un sito ha regole particolari e non ce l'accetta), è che probabilmente per l'admin (o magari anche un impiegato disonesto) di un sito è facile risalire alla tua PW su quel sito, e di conseguemza avere accesso anche a tutti gli altri tuoi account, se usi sempre quella PW...

intendevo dire usare password differenti per ogni sito, anche molto complesse, ma salvarle in una casella di posta (con password molto solida ed in teoria cambiarla periodicamente) per tenerle sempre a disposizione quando si è connessi in rete.

[Bestio]

Quote:

Originariamente inviato da LASCO

intendevo dire usare password differenti per ogni sito, anche molto complesse, ma salvarle in una casella di posta (con password molto solida ed in teoria cambiarla periodicamente) per tenerle sempre a disposizione quando si è connessi in rete.

In questo caso potrebbe bastare un impiegato poco onesto del provider di posta per sgamarti tutto...
O qualcuno che riesca a hackare il sistema dall'interno (cosa gia' successa in diverse occasioni, basti vedere il caso PSN)

[LASCO]

Quote:

Originariamente inviato da Bestio

In questo caso potrebbe bastare un impiegato poco onesto del provider di posta per sgamarti tutto...
O qualcuno che riesca a hackare il sistema dall'interno (cosa gia' successa in diverse occasioni, basti vedere il caso PSN)

Per una casella di posta come gmail mi sembrerebbe strano che un impiegato possa accedere ai dati sensibili, come la password. Credo che l'accesso a certi dati sia monitorato e registrato e che richieda una giustificazione. Ma in merito chiedo lumi, possibilmente con referenze.
Cmq sia son d'accordo che ogni soluzione è hackerabile, bisogna valutare qual è la più sicura ed abbastanza versatile per l'uso comune.

[key2710]

Il two-step login, a mio avviso, dovrebbe andare già bene senza introdurre avveneristiche novità.

Il precursore credo sia stato facebook, poi hanno seguito Google ed Apple...

Per quel che mi riguarda l'ho abilitato sia su facebook che sull'account Google... e mi sento più tranquillo.

[gd350turbo]

Quote:

Originariamente inviato da cerbert

Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)

Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti

Alla seconda domanda, cè un sito che ti da la risposta:

https://howsecureismypassword.net/

It would take a desktop PC about 39 quadrillion years to crack your password

[*tony*]

Basterebbe associare gli accessi a Banche,Paypal,Postepay ecc ecc a numeri di telefono verificati in precedenza tramite registrazione e hai risolto per sempre il problema.
Ti arriva il massaggio sul cel,confermi,ti arriva un secondo messaggio con un codice,lo immetti e sei loggato.