Perché le restrizioni sulle password dei siti web non ti tengono al sicuro

Se hai creato un account o due negli ultimi anni, probabilmente hai notato che molti di questi siti ti rimproverano per aver utilizzato una password “non sicura” in determinate condizioni. A volte non devi nemmeno premere il pulsante “Registrati” prima di ricevere un piccolo messaggio accanto al campo della password che dice che stai usando una password debole.

Sebbene alcuni siti possano impedirti di registrarti con quella che considerano una password debole, altri ti avvertono e ti lasciano fare ciò che vuoi di tua volontà. In ogni caso, questi siti (per lo più) hanno una cosa in comune: i loro criteri per le “password sicure” non ti terranno al sicuro.

Forgiare cattive abitudini

websitepassword-badpass

Una delle prime cose che noterai sulla maggior parte dei siti web è che sembrano avere criteri simili per ciò che sarebbe considerato una password “forte”. Su la maggior parte dei siti, i criteri sono i seguenti:

Un minimo di 6 o 8 caratteri
Un minimo di un numero e una lettera
A volte almeno una lettera maiuscola.

In questo caso, una password come “Ironclad1” è perfetta e soddisfa i requisiti di quel particolare sito web. Poiché la maggior parte dei siti ha solo questi requisiti, le persone possono abituarsi al fatto che “Ironclad1”, “Sallyepstein4”, “Michael1985”, ecc. siano buone password. Chiunque abbia mai letto le prime tre pagine di un libro sulla sicurezza informatica sa che questo è incredibilmente insicuro, eppure viene tacitamente stabilito come norma da milioni di siti in tutto il web dove la sicurezza è un pensiero secondario che vale cinque righe di codice.

Un hacker potrebbe semplicemente utilizzare un attacco dizionario per decifrare la tua password e questo è tutto.

Alcuni servizi web (come Google) richiedono anche che venga utilizzato un simbolo (come “!” o “$”) per creare una password. Questo rende valide password come “ $allyepstein4”, e gli attacchi dizionario sono diventati più sofisticati nel corso degli anni.

Qual è una buona abitudine per le password?

websitepassword-lock

C’è un sacco di dibattito su cosa renda una buona password, ma piuttosto che approfondire e spiegare tutte le sfumature, daremo solo un’occhiata ad alcune delle cose su cui tutti generalmente concordano. Una buona password:

Include una vasta gamma di variazioni alfanumeriche come lettere maiuscole, numeri e lettere minuscole
Ha simboli in posti imprevedibili (“@shley” è meno sicura di “@$_hley” perché c’è un underscore nel mezzo della parola, dove un attacco dizionario normalmente cercherebbe “@” sostituendo “a” e “$” sostituendo “s”)
Contiene spazi (come “I @te a S4nDw1ch”)
Raggiunge il limite superiore dei limiti di caratteri ragionevoli (“ I l0v3 LuC#Y “ è meno sicura di “ Th1S p4ssword sH_oulD b3 h@rd to cr@ck “)
Contiene un errore di ortografia non convenzionale delle parole (ad es., “schuld” invece di “should”, “beffe” invece di “beef”, “inszteda” invece di “instead”, “mektekezier” invece di “maketecheasier”, ecc.)

Naturalmente, una delle migliori password che potresti avere non è molto facile da memorizzare (ad esempio: “ ifjecBucE083$&&8c ociefjC#&$6c iof0e0($# “). Nota come l’esempio fornito sia solo un completo nonsense che utilizza tutte le regole sopra, inclusa l’introduzione di spazi. Questo è altamente non convenzionale anche per gli attacchi dizionario più sofisticati. A condizione che il database che memorizza l’hash della tua password sia sicuro e che le chiavi di crittografia siano gestite correttamente, renderebbe il tuo account meno interessante per un hacker da decifrare.

Naturalmente, non tutti i server sono sicuri, e un servizio che utilizzi potrebbe subire una violazione rivelando la tua password. Questo è il motivo per cui è importante avere una password diversa per ogni servizio.

Ma non puoi davvero memorizzare 15 password, figuriamoci quella che ho fornito come esempio di “una delle migliori password che potresti avere”. Per contrastare questo, potresti utilizzare un servizio di accesso unico altamente sicuro (noto anche come “gestione dell’identità”) che tiene traccia delle tue password per te in modo che tu non debba memorizzarle. Sebbene esistano da diversi anni, il concetto è ancora un territorio inesplorato (almeno nella mia opinione professionale), quindi procedi con cautela. Fai le tue ricerche e cerca il nome di un servizio seguito dalla parola “violazione” per scoprire se è mai stato hackerato.

Come può essere risolto il problema

websitepassword-chainlock

Il problema che stiamo cercando di risolvere qui è far capire al numero enorme di persone che creano account sul Web quali siano le migliori pratiche per la creazione di password. Questo sembra un compito monumentale, vero?

In realtà, è tanto facile quanto fornire le informazioni da qualche parte. Google fa un buon lavoro in questo con le sue linee guida, ma non va abbastanza lontano.

Nonostante i complimenti, penso che sarebbe meglio includere un link a queste linee guida accanto al campo della password, dando all’utente un facile accesso durante la fase di registrazione dell’account. Se qualcuno ignora questo, è prerogativa sua, ma nessuno a quel punto potrebbe dire di non aver mai avuto la possibilità di leggere del materiale educativo sull’argomento.

L’unica parte difficile di questo è convincere i milioni di siti web che detengono database di account a adottare questa pratica. Tuttavia, poiché la maggior parte di questi siti utilizza software di grandi dimensioni (come WordPress o Drupal), è probabilmente una migliore idea contattare gli sviluppatori di questo software per fornire questo tipo di cosa nei loro futuri aggiornamenti. Non appena i siti web aggiornano il loro software, riceveranno automaticamente queste linee guida sulle loro pagine di registrazione!

Cosa pensi che possiamo fare per diffondere la consapevolezza per buone password? Discutiamone nei commenti!