Milioni di utenti utilizzano 123456 come password, ma c'è una drastica soluzione in vista

Milioni di utenti utilizzano 123456 come password, ma c'è una drastica soluzione in vista

Quello delle password deboli è un problema ancora irrisolto, sebbene di vecchissima data. In occasione del Password Day 2022 è sembrata però chiara quale potrebbe essere la soluzione al problema

di pubblicata il , alle 11:31 nel canale Sicurezza
 

Come ogni anno, anche quest'anno in occasione del Password Day 2022 sono state pubblicate le solite classifiche delle password più utilizzate al mondo. La password più diffusa è 123456 con ampio margine rispetto alla seconda e alla terza, che comunque non sono sinonimo di sicurezza: al secondo gradino del podio troviamo 123456789, al terzo 12345. Tutte protezioni che possono essere scardinate in una frazione di secondo, ma le big tech hanno una soluzione: eliminare la password stessa.

Password deboli, la soluzione potrebbe essere eliminarle del tutto

I dati che abbiamo riportato poco sopra provengono dall'analisi di NordPass, un "avanzato gestore di password" che consente di salvare tutte le password in un unico database e crearne di sicure per le nuove iscrizioni o per rafforzare quelle già attive. Soluzioni come questa (ad esempio LastPass, il gratuito Bitwarden, o 1Password), aiutano a mantenere protetti i propri account con uno sforzo minimo.

Password deboli, la soluzione potrebbe essere eliminarle del tutto

Il problema delle password deboli lo abbiamo già trattato a più riprese, e abbiamo già indicato alcune delle soluzioni più logiche: non utilizzare sequenze progressive di numeri, né la parola password, né il proprio nome utente, il proprio nome o il nome di figli, partner, amici. Non è bene neanche usare date che ci appartengono, squadre preferite, insomma niente di riconducibile alla nostra persona.

Una password sicura dovrebbe invece essere composta da diversi caratteri e - se concesso dal servizio - anche da numeri e simboli. Sarebbe meglio usare parole complesse, ancor meglio una serie di caratteri privi di significato e soprattutto per ogni servizio bisognerebbe utilizzare una password diversa. La ciliegina sulla torta è sempre utilizzare un sistema di autenticazione a due fattori, che rende molto difficili eventuali tentativi di manomissione dell'account. Possono sembrare consigli scontati, ma evidentemente non lo sono considerando che la tendenza di utilizzare password deboli è di vecchia data, e nel 2022 tutt'altro che risolta.

Gli utenti faticano ancora oggi a inserire password complesse nei propri account e le big tech stanno pensando di passare a un approccio completamente diverso: l'autenticazione passwordless. E' questo l'annuncio che ha fatto Google durante questo Password Day 2022, anticipando una strada che verrà percorsa sia su Chrome sia su Android. Una strada di cui hanno di recente parlato anche altri big, fra cui Apple e Microsoft, con quest'ultima che già è passata verso un approccio passwordless. E' infatti possibile configurare un account Microsoft senza inserire alcuna password.

L'impegno delle big tech è quello di sfruttare gli standard ratificati dalla FIDO Alliance e dal World Wide Web Consortium per accedere ai servizi in maniera sicura senza aver bisogno di inserire password che possono essere estorte. Nell'annuncio Google scrive che il futuro passwordless è vicinissimo: già nel 2023 gli utenti Android potranno accedere ad app e siti web aggiornati semplicemente sbloccando il proprio dispositivo. Su computer, analogamente, l'accesso potrà essere garantito attraverso una notifica sullo smartphone collegato allo stesso account.

Lo smartphone diventerà quindi la propria chiave d'accesso configurandosi come una soluzione più sicura della tradizionale password: solo nello scorso anno, infatti, le password finite sul dark web sono state ben 15 miliardi. Utilizzando una chiave d'accesso fisica, e non "qualcosa che l'utente conosce", potrebbe diventare molto più difficile (certo, non impossibile) estorcere l'accesso a un servizio di cui non si possiede la proprietà.

Idee regalo, perché perdere tempo e rischiare di sbagliare?
REGALA UN BUONO AMAZON!
41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
yeppala06 Maggio 2022, 11:35 #1
In arrivo con iOS 15.5la tecnologia Passkey per entrare nei siti senza usare le password:
https://developer.apple.com/documen...5-release-notes
New Features
Il supporto alla tecnologia Passkey (anteprima) è stato aggiunto, consentendo l'accesso a siti Web e app compatibili con passkey su Mac e iPad utilizzando un iPhone con una passkey salvata.
io78bis06 Maggio 2022, 11:44 #2
Fantastico quindi per colpa di qualche mentecatto tecnologico avrò bisogno sempre di avere il cellulare accanto a me altrimenti non riesco entrare da nessuna parte.

I siti che sono effettivamente cruciali non permettono ormai da anni l'inserimento di password stupide. Che mi freghino la password del profilo di HU non mi frega niente anche se 123456.
djfix1306 Maggio 2022, 11:53 #3
il famoso accesso con profilo FB o Google c'è da anni ed ha sempre più affiliati e non richiede registrazione (spesso); se è tutto così meglio.
dav1deser06 Maggio 2022, 11:57 #4
E se mi rubano il cellulare? Per bloccarne l'utilizzo da remoto devo accedere al mio account, ma se non ho password e l'autenticazione è il cellulare stesso come faccio? Vabe' non lo blocco, al limite qualcuno avrà accesso ad ogni mio singolo dato...poco male.

Ma io poi dico, perchè questa mania di dover usare il cellulare come sblocco? Servizi tipo Steam è da anni che riconoscono il dispositivo di accesso, e non ti fanno accedere se utilizzi un dispositivo nuovo, se non verifichi anche tramite codice inviato via mail. E' così difficile implementare questa funzione anche su altre applicazioni?
Collision06 Maggio 2022, 12:19 #5
Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.
rocksolid06 Maggio 2022, 12:36 #6
Originariamente inviato da: Collision
Che folle corsa a chi si inventa i sistemi più fantasiosi per proteggere account e utenze.. quando nel 99% dei casi basta collegare il cervello e creare una password come si deve.


la vedo anche io così, con poche eccezioni: accesso ad account bancari e cose a quei livelli.

inoltre non approvo il sito della bocciofila che obbliga a cambiare password ogni 6 mesi con una sempre diversa
aqua8406 Maggio 2022, 12:42 #7
Ma non sarebbe MOLTO PIU FACILE impedire l utilizzo di quelle password??

A parte che da anni quasi ovunque il limite Minimo per una password è di 8 caratteri quindi non riesco a capacitarmi di come 12345 e 123456 siano le piu usate... (ovvio che anche 12345678 sarebbe da stupidi)

Ma a parte questo, fare una banale BlackList di stringhe che non possono essere usate no??
Cosi se anche l utente prova a mettere 12345678 gli viene fuori una scritta che avvisa di non accettare password cosi stupide.

Penso sia la soluzione migliore invece di inventarsi altre cose.

Unito poi all obbligo di usare sempre almeno un numero e un carattere speciale, direi che rende la password quasi impossibile da essere "indovinata"

Gia tanti siti impediscono di usare Nome e Cognome nella password, quindi non credo ci voglia chissà quale tecnologia per fare una lista di password NON-accettate
matsnake8606 Maggio 2022, 12:42 #8
Il problema fondamentale è che la gente è informaticamente analfabeta tendenzialmente (ed in larga parte anche analfabeta funzionale).

La sicurezza informatica per queste persone non esiste. Le password i più svegli le annotano su un taccuino mentre gli altri mettono sempre la data di nascita del figlio o il compleanno del compagno/a.

Capisco bene il problema che cercano di risolvere.
Ma la radice di tutti i mali è che è stato dato in mano a miliardi di persone uno strumento (lo smartphone) che è potenzialmente una bomba ad orologeria se non lo si sa usare.

Gli scam sono all'ordine del giorno ed i furti di dati personali sono diffusissimi.

Accentrare tutto questo "potere" in un unico dispositivo lo farebbe diventare un sorta di portafogli digitale. Questo non va bene. Almeno finchè non si avrà una maggiore consapevolezza di che cosa comporta possedere uno smartphone.


Inoltre non voglio essere dipendente da questi dispositivi per accedere ai miei account bancari di posta ecc....
Voglio poter decidere io se associare o meno lo smartphone.
Anche se già ultimamente la cosa diventa sempre più imprescindibile per molti servizi.
Gundam.7506 Maggio 2022, 12:51 #9
Io scelgo sempre password complesse che NON ricordo e con un semplice gestore di password accedo ai vari siti, sia sul pc che sullo smartphone.
Dove possibile, utilizzo sempre l'authenticator di google o microsoft per maggiore sicurezza.
frankie06 Maggio 2022, 12:53 #10
la tecnologia SAML è la soluzione.

Poi ovvio la soluzione a 123456 c'è ed è l'aggiunta a di 7890
No serve un simbolo
7890'
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^