Tag: sicurezza

Usabilità delle Password

Intro

In crescita l’utilizzo delle password. Di pari passo al successo di servizi e portali internet di varia natura cresce il numero di password che ognuno di noi si trova a dover gestire. Password che scadono, nuove password, troppe password … un trend che nel breve periodo non è destinato a calare.
Ogni sito web ha bisogno di una qualche forma di autenticazione e, in mancanza di standard universalmente accettati (OpenID non ha avuto il successo auspicato), spesso si ricorre alla usuale combinazione email/password per riconoscere un utente.

Quindi password, tante password, con dati sempre più sensibili ed importanti depositati online, e di conseguenza problemi di privacy, sicurezza e di gestione delle stesse.

Ma quanto è sicura una password ? e come deve essere fatta una password veramente sicura ?

Nella speranza che gli utenti utilizzino password adeguatamente sicure, gli amministratori di sistema spesso ci obbligano ad utilizzare numeri, simboli, maiuscole … in questo modo si forza l’utente ad avere password con determinate caratteristiche, ma che allo stesso tempo risultano più difficili da memorizzare e gestire …

Le conseguenze, non positive, che sperimentiamo sono:
1) servizi online a cui non si riesce ad accedere la prima volta che si utilizza un pc diverso dal proprio;
2) un bel post-it da qualche parte con la password a portata di mano …
3) password che formalmente rispettano i requisiti, ma che in realtà sono semplici da indovinare: Rossi123
4) utilizzo della stessa password per diversi siti/servizi;

Riferimenti

Ma realmente una password deve essere complessa per essere efficace ? e cos’è una password efficace ?
A queste domande cerca, con un pò di humor, di rispondere questa vignetta (in inglese).
Molto più formalmente questo post (in inglese) analizza la sicurezza di varie tipologie di password.

Conclusione (in breve) ? è la lunghezza della password che la rende veramente sicura, e quindi possiamo senz’altro utilizzare password più semplici da memorizzare (tre o quattro parole, senza numeri e simboli) senza nulla sacrificare alla sicurezza.

Questo tipologia di password rimane in effetti sicura anche ad un attacco basato su dizionario, ed è di gran lunga più semplice da memorizzare e gestire.

In essenza l’articolo dimostra come, dal punto di vista tecnico, una password formata da 3 o più parole come “verde cavallo cattivo” sia molto più sicura di una password come “J4fS<2″ e contemporaneamente sia anche più semplice da memorizzare e gestire (usability).

Conclusioni

Tecnicamente parlando quindi non c’è nessun bisogno di vessare l’utente imponendo criteri particolarmente rigidi sui tipi di caratteri contenuti nelle password. Questo riduce l’usabilità delle password, e quindi, in ultima analisi, anche quella dello stesso sito. L’unico criterio degno di nota dovrebbe essere la lunghezza della password stessa.

Ancora più importante non dovrebbero esistere sistemi (pubblici) che non limitano il numero di tentativi falliti di accesso al secondo. Dovrebbe sempre esistere un sistema automatico di blocco del client dopo alcuni tentativi falliti (esistono diverse metodi, basati sul tempo, sull’indirizzo ip) in modo da dissuadere un eventuale attacco sistematico.

In tutti i portali web XPSoft si impegnerà a rispettare queste semplici, ma efficaci regole.