Ecco come Apple e Google combatteranno il riutilizzo delle password

Ecco come Apple e Google combatteranno il riutilizzo delle password

Strumenti facili da usare che permettano a tutti di sapere se la password che stanno usando per un determinato servizio è già stata esposta online come conseguenza di incidenti informatici: è la prossima mossa dei big della tecnologia per la sicurezza degli utenti

di pubblicata il , alle 12:01 nel canale Sicurezza
AppleGoogle
 

Le password: una noia necessaria per proteggere la nostra vita digitale, ma quanto è difficile gestirle in maniera adeguata? Se siamo smanettoni e, come chi scrive, abbiamo ormai un po' troppe primavere trascorse su Internet, è verosimile essersi ormai appropriati dei principi di base della sicurezza online e della gestione degli account e sviluppato la capacità di adottare almeno quegli accorgimenti di base che da soli aiutano a ridurre buona parte del rischio di compromissione.

Ma gli utenti meno smaliziati, un po' pigri o in generale disinteressati all'argomento perché ancora concepiscono il digitale come una "realtà separata" dal mondo reale (quando invece ne fa parte, ed è una parte sempre più preponderante) non possiedono i giusti "anticorpi" e tendono a gestire le proprie password in maniera superficiale se non addirittura controproducente all'ottenimento di una adeguata, seppur basilare, misura di sicurezza.

Uno dei principali problemi è quello del riutilizzo delle password: usare cioè la stessa password (e spesso la stessa combinazione user/password) su più account differenti. Molti utenti pensano che elaborare una singola password complessa e riutilizzarla su più account sia una misura semplice per mettersi al sicuro. Se una password complessa mette al riparo da tentativi di brute force o da semplici attacchi di tipo "guessing" (dove cioè l'attaccante "tira ad indovinare"), dall'altra parte è sufficiente che un account venga compromesso, magari per un incidente di sicurezza al servizio presso cui è registrato quell'account, perché anche tutti i nostri altri siano in pericolo.

Il riutilizzo della password è una pratica, purtroppo, estremamente diffusa: un sondaggio effettuato nel 2019 da Google e da Harris ha messo in luce come il 52% degli intervistati utilizzi la stessa password su più di un account, mentre il 13% addirittura per tutti gli account che possiede. E a questo si aggiunge una indagine di Microsoft svolta nel 2019 che ha messo in luce come 44 milioni di account Microsoft facciano uso di credenziali di login che in qualche modo sono rimaste esposte online a seguito di incidenti di sicurezza.

Insomma il problema è concreto, e la strada da seguire per risolverlo è da un lato basata sulla diffusione di informazione e cultura sul tema, ma dall'altro anche su soluzioni tecnologiche che semplifichino la vita degli utenti più pigri, disinteressati o semplicemente che non hanno i mezzi per comprendere a fondo i rischi associati (pensiamo ai nostri anziani, per esempio).

Ed è una strada verso cui i big della tecnologia sembrano voler imboccare. Durante gli annunci Apple in occasione della conferenza d'apertura della WWDC2020 è passata forse un po' inosservata, anche per via della tante novità presentate, una funzionalità che sarà integrata nella prossima versione del browser web Safari e che si occuperà di verificare autonomamente se le password che l'utente sta usando siano già esposte su internet a seguito di qualche data leak dovuto ad incidenti di sicurezza. Apple non ha fornito dettagli specifici su questa funzionalità, limitandosi a citarla durante la presentazione di macOS Big Sur.

Possiamo però immaginare che si tratti di qualcosa di simile a quanto Google ha messo in piedi da diverso tempo, e cioè la funzionalità Password Checkup. Era stata lanciata come estensione per Chrome per la prima volta nel febbraio 2019 ed è poi stata integrata in Google Account ad ottobre e successivamente divenuta parte integrante di Chrome a dicembre. Nel futuro immediato Google intende inserire questa funzionalità all'interno della dashboard Security Checkup presente in ogni account Google e sfruttare al meglio la singergia con il password manager che Google ha integrato da ormai diversi anni nei suoi servizi, similmente a quanto fa Apple con il portachiavi iCloud.

Password Checkup si occupa di controllare le credenziali di login che un utente immette per l'accesso ad un servizio confrontandole con un database di oltre 4 miliardi di credenziali che sono finite esposte sulla rete, allo scopo di verificare se la password che si sta usando corrisponda ad una già emersa online. Per preservare la privacy dell'utente ed evitare al contempo che l'utente stesso possa accedere al database di password, la funzionalità prevede che la password immessa dall'utente venga sottoposta ad un processo di hashing e di cifratura e poi confrontata con quelle presenti nel database di password compromesse, anch'esse sottoposte al medesimo processo. Nel caso in cui venisse individuata una corrispondenza, l'utente sarà avvertito e invitato a usare una password diversa per lo specifico servizio per cui sta creando un'utenza o a cui sta cercando di accedere.

Una funzionalità simile viene già offerta anche da 1password, un altro password manager piuttosto famoso e diffuso, con Watchtower che controlla le credenziali degli account confrontandoli con il database di 9 miliardi di account compromessi mantenuto dal ricercatore di sicurezza Troy Hunt, noto per il servizio Have I Been Pwned che raccoglie i più importanti incidenti di sicurezza e le relative liste di combinazioni user/pass emersi sulla rete.

Insomma, l'approccio che viene ora considerato dai big della tecnologia è quello di presentare all'utente degli strumenti che rendano più facile fare la cosa giusta alle persone comuni: invece di sovraccaricarli di informazioni riguardanti minacce e problemi, è più pratico semplificare il più possibile i passi utili a creare un assetto difensivo di base, ma comunque utile a mitigare la maggior parte dei rischi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cfranco25 Giugno 2020, 13:08 #1
tutto bello e interessante ...
Quindi l' alternativa quale sarebbe ?
un centinaio di psw tutte diverse, tutte casuali, tutte belle zeppe di caratteri speciali e che ogni 2 mesi vengono cambiate con regolarità ?
E poi per ricordarsele mi faccio un foglio excel dal titolo psw.xls e me lo metto sul desktop ?
Un bel password manager che ti tiene tutte le password al sicuro e che quando ti serve non funziona oppure è offline ?
Finché non mi faranno un innesto per attaccare un bel ssd al cranio per salvarci dentro le informazioni non vedo come un essere umano possa tenersi a mente tutte le psw se non le cataloga e riutilizza, e anche lì è comunque difficile.
kamon25 Giugno 2020, 13:14 #2
Originariamente inviato da: Cfranco
tutto bello e interessante ...
Quindi l' alternativa quale sarebbe ?
un centinaio di psw tutte diverse, tutte casuali, tutte belle zeppe di caratteri speciali e che ogni 2 mesi vengono cambiate con regolarità ?
E poi per ricordarsele mi faccio un foglio excel dal titolo psw.xls e me lo metto sul desktop ?
Un bel password manager che ti tiene tutte le password al sicuro e che quando ti serve non funziona oppure è offline ?
Finché non mi faranno un innesto per attaccare un bel ssd al cranio per salvarci dentro le informazioni non vedo come un essere umano possa tenersi a mente tutte le psw se non le cataloga e riutilizza, e anche lì è comunque difficile.




Già...
La soluzione Per evitare di usare poche password? Costringerti a diventare rain man oppure a scriverle da qualche parte e tenerle a portata, in modo che se va bene rischi di perderle tutte insieme, senza contare che trovare pass sempre diverse, continuamente a decine o centinaia di servizi, diventa facilmente un lavoro a tempo pieno...
cronos199025 Giugno 2020, 13:16 #3
Originariamente inviato da: Cfranco
tutto bello e interessante ...
Quindi l' alternativa quale sarebbe ?
un centinaio di psw tutte diverse, tutte casuali, tutte belle zeppe di caratteri speciali e che ogni 2 mesi vengono cambiate con regolarità ?
E poi per ricordarsele mi faccio un foglio excel dal titolo psw.xls e me lo metto sul desktop ?
Un bel password manager che ti tiene tutte le password al sicuro e che quando ti serve non funziona oppure è offline ?
Finché non mi faranno un innesto per attaccare un bel ssd al cranio per salvarci dentro le informazioni non vedo come un essere umano possa tenersi a mente tutte le psw se non le cataloga e riutilizza, e anche lì è comunque difficile.
Basta un programma come Keepass (che uso io) o analoghi. Programma scaricabile gratuitamente, utilizzabile offline. Faccio così da anni, l'unica password che mi devo ricordare è quella per accedere al database delle password.

A me non pare nulla di complicato o laborioso, l'unica cosa è avere un minimo di voglia per aggiornarlo quando si crea un nuovo account con password, qualunque sia il servizio.
Originariamente inviato da: kamon
senza contare che trovare pass sempre diverse, continuamente a decine o centinaia di servizi, diventa facilmente un lavoro a tempo pieno...
Non è vero neanche questo.

Non ti abboni a 70 servizi alla volta, ma uno ogni tanto, per cui già di per se nulla di complesso. Se proprio poi vuoi essere il più lavativo possibile, sfrutti il sistema di generazione password compreso nei programmi di gestione password e ti limiti a cambiare 2-3-4 caratteri qua e là per essere sicuro (generare la password con un algoritmo la mette a rischio di essere trovata se si scopre come funziona l'algoritmo).


Il problema delle password non è complicato nè oneroso. La verità è che si tratta di una rottura di scatole, quello è il vero motivo per cui la gente non ci vuole perdere tempo. Ma crearsi una password ogni volta diversa e avere un sistema rapido ed efficace di archiviazione delle stesse richiede ben poco tempo ed energie. E' la volontà che manca.
kamon25 Giugno 2020, 13:20 #4
Originariamente inviato da: cronos1990
Basta un programma come Keepass (che uso io) o analoghi. Programma scaricabile gratuitamente, utilizzabile offline. Faccio così da anni, l'unica password che mi devo ricordare è quella per accedere al database delle password.

A me non pare nulla di complicato o laborioso, l'unica cosa è avere un minimo di voglia per aggiornarlo quando si crea un nuovo account con password, qualunque sia il servizio.


Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?

Originariamente inviato da: cronos1990
Non è vero neanche questo.

Non ti abboni a 70 servizi alla volta, ma uno ogni tanto, per cui già di per se nulla di complesso. Se proprio poi vuoi essere il più lavativo possibile, sfrutti il sistema di generazione password compreso nei programmi di gestione password e ti limiti a cambiare 2-3-4 caratteri qua e là per essere sicuro (generare la password con un algoritmo la mette a rischio di essere trovata se si scopre come funziona l'algoritmo).


Il problema delle password non è complicato nè oneroso. La verità è che si tratta di una rottura di scatole, quello è il vero motivo per cui la gente non ci vuole perdere tempo. Ma crearsi una password ogni volta diversa e avere un sistema rapido ed efficace di archiviazione delle stesse richiede ben poco tempo ed energie. E' la volontà che manca.


Si, io sono uno scansa fatiche ed anche un po paranoico quando si tratta di sicurezza web, lo ammetto, ma non mi fido neanche dei generatori automatici di password che per quanto ne so, come la hanno data a me, potrebbero avere un sistema per immagazzinarle da qualche parte a vantaggio di chissà chi, cambiare 3-4 caratteri soltanto mi sembra solo una maniera per confonderti ancora di più, credi che la pass sia una e non ti ricordi di averla cambiata quel tanto che basta per renderla inutilizzabile...
Poi la questione non è abbonarsi a molte cose tutte insieme, ma le cose a cui sei registrato si accumulano negli anni e se facessero tutte il discorso del cambio frequente di pass diventerebbe un casino.
LordGine25 Giugno 2020, 13:24 #5
Io utilizzo Firefox lockwise come gestore password (comodissimo su Android) e sempre Firefox ha il servizio Firefox monitor/ che ti dice quali siti/servizi sono stati esposti ad attacchi e nel caso dovessero succedere su email che gli hai associato ti avvisa appena la notizia viene resa nota.
Lockwise (come la maggior parte di questi servizi) ti permette anche di generare password casuali e tenersele memorizzate, quindi anche il problema di inventarne di nuove non esiste più.
atomico8225 Giugno 2020, 13:26 #6
Originariamente inviato da: kamon
Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?


se usi la versione offline, il rischio è 0. Se usi invece qualche sistema online come lastpass hai da una parte la comodità di avere tutto sincronizzato tra dispositivi, ma ovviamente ti poni a più rischi. Però secondo me meglio avere uno di questi servizi che avere la stessa password su tutti i siti. E' molto più facile che riescono ad hackerare www.ilsitodellamarmotta.it che uno di questi colossi.
cronos199025 Giugno 2020, 13:27 #7
Originariamente inviato da: kamon
Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?
Il programma già di per se neanche necessita di installazione, volendo lo puoi tenere su una chiavetta e non averne traccia nel registro di Windows. Il database è cifrato, per cui anche quello non è un problema. Ti quoto dal sito:
KeePass è disponibile in due diverse versioni di sicurezza per scegliere il livello di protezione desiderato. Avrai la possibilità di scegliere tra 2 algoritmi di crittografia per:
• una sicurezza tramite crittografia AES (chiave a 256 bit)
• una sicurezza tramite crittografia TwoFish (chiave a 256 bit + blocchi a 1di 28 bit)
Questi 2 metodi di crittografia sono attualmente i migliori sul mercato per tutti gli usi di dominio pubblico e professionale. Tuttavia, lo sappiamo bene, le carenze di sicurezza provengono di frequente dai sistemi operativi anche se, fortunatamente, KeePass è multipiattaforma.
Fonte: https://keepass.it/

Di programmini del genere ce ne sono diversi, tutti piuttosto efficaci. Poi come sempre dipende da come questi programmi vengono utilizzati, il problema principale rimane sempre quello che fa l'utente.
Io per esempio faccio un uso del mio database con un rischio evitabile (ovviamente non ti sto a dire quale di preciso), ma che mi consente una fruizione del database di un certo tipo cui non posso fare a meno. Quella però è una mia scelta ben precisa, di cui sono consapevole.
LordGine25 Giugno 2020, 13:27 #8
Originariamente inviato da: kamon
Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?


Ovviamente non ci salvi sopra la password bancarie, ma è comunque più sicuro ricordarsi una master key fatta bene piuttosto che sempre la stessa alla quale si cambia un numero o un carattere. Se poi malauguratamente dovessero accedervi... Amen, mi leggeranno i messaggi di facebook e vedranno gli ordini di qualche negozio online.
cronos199025 Giugno 2020, 13:32 #9
Originariamente inviato da: kamon
Si, io sono uno scansa fatiche ed anche un po paranoico quando si tratta di sicurezza web, lo ammetto, ma non mi fido neanche dei generatori automatici di password che per quanto ne so, come la hanno data a me, potrebbero avere un sistema per immagazzinarle da qualche parte a vantaggio di chissà chi, cambiare 3-4 caratteri soltanto mi sembra solo una maniera per confonderti ancora di più, credi che la pass sia una e non ti ricordi di averla cambiata quel tanto che basta per renderla inutilizzabile...
Poi la questione non è abbonarsi a molte cose tutte insieme, ma le cose a cui sei registrato si accumulano negli anni e se facessero tutte il discorso del cambio frequente di pass diventerebbe un casino.
Come dicevo, i generatori di password non sono basati su dei database pregenerati cui attingono, e che poi ti passano.
Le password che ti fornisce sono generate da precisi algoritmi matematici, cui spesso fanno riferimento a valori recuperati da varie fonti per cercare di renderle il più possibili casuali. Questo perchè, essendo un calcolo matematico a fornirle, nessuna password è veramente casuale, perchè appunto determinata da delle formule. Per questo spesso vengono generate partendo da valori "incerti": come, banalmente, la data del PC, o la temperatura della CPU rivelata dai sensori del PC (sono esempi per far capire).

Per cui, quando mi capita di generare una password con questi sistemi, mi limito a cambiare qualche valore "a mano", in genere 3-5 valori per stare sicuro.

Banalmente, è il motivo principale per cui si "crakkava" con una certa facilità le copie di Windows 95-98. Il codice a 25 cifre per registrare il prodotto dipendeva da un algoritmo, e spesso le copie piratate fornivano una lista di codici potenzialmente validi, di cui alcuni ti permettevano di attivare la copia.
Zuz25 Giugno 2020, 13:48 #10
Un’altra piaga tremenda da combattere sono i sistemi che impongono di cambiare la password ogni tot mesi, obbligando l’utente a usare password stupide per cambiarle facilmente.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^