Non so se esistono studi sull'uso (e sulla percezione) da parte degli utenti dei sistemi di avviso sulla vulnerabilità  delle password create al momento dell'iscrizione ad un sito. Di certo non sono pochi quelli che ritengono tali sistemi inutili se non obbligano l'utente a seguire schemi precisi nella definizione delle password che vadano al di là  del semplice numero minimo di caratteri.

Mi chiedo poi quanti, di fronte ad un messaggio che mette in guardia rispetto alla debolezza di una certa combinazione, modificano la stessa fino ad ottenerne una considerata sicura dal sistema. Personalmente lascio sempre quella che inserisco, a prescindere dal feedback che ricevo, cerco sempre cioè di combinare sicurezza e usabilità  della password anche se il risultato finale non corrisponde ai criteri definiti da chi gestisce il meccanismo di iscrizione.

Nonostante cià, non metto in discussione la funzione positiva di questa soluzione (mettere in guardia, consigliare è comunque apprezzabile sempre quando si parla di sicurezza). Sarebbe però utile, a mio avviso, che il feedback non si limiti alla classica misurazione basata sull'uso di colori (in genere dal rosso al giallo al verde) o di termini chiave come 'vulnerabile', 'media', 'sicura', etc.: accanto a questi 'segnali' andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l'utente all'adozione di pattern complessi e considerati sicuri. Un po' come è possibile fare con il plugin Password Strength Meter per jQuery (demo).

10 CommentiDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *

[...] Complexify è il nome di un nuovo plugin di jQuery che assolve a una funzione troppo spesso messa pericolosamente in secondo piano da chi si occupa di programmazione in ambito Web: testare la forza di una password. Molti siti integrano algoritmi in grado di restituire all’utente un feedback visivo che indica il grado di affidabilità o vulnerabilità della parola segreta scelta in fase di registrazione, molte volte senza però tenere conto dei criteri più corretti, basando la stima esclusivamente sulla lunghezza di quanto digitato oppure sulla presenza di caratteri alfanumerici. [...]

Complexify, plugin jQuery per testare la forza di una password | Edit - Il blog di HTML.it
Complexify, plugin jQuery per testare la forza di una password | Edit - Il blog di HTML.it

La scelta della password é una questione psicologica.. ;-) http://andreachiarelli.wordpress.com/2006/09/18/psicopatologia-della-password-quotidiana/

Andrea
Andrea

Il problema io credo sia piuttosto quello di ricordarsele poi tutte queste password. Io ho trovato la soluzione in questo sito http://www.clipperz.com Il sito che gestisce le passoword e che ti permette di crearle, gestirle e loggarti sui siti con un solo click. Molto molto utile! Il problema é anche quello di far capire alle persone a che serve una password e far capire perché deve essere sicura, qual é il pericolo di una password caduta nelle mani sbagliate, FORMARE GLI UTONTI per farli diventare UTENTI. C'é molta ignoranza sull'uso del computer e le password non sono che l'inizio.

Aerendir
Aerendir

sui pc in dominio/active directory con w2k3 o w2k8 server i criteri per l'immissione delle password sono pensati per password complesse ma nonostante ciò é la cosa più odiata dagli utenti. Ci vuole buon senso. Un utente che ha subito un "furto" della password starà  certamente più attento la volta dopo... solo che prima nessuno crede a questi pericoli informatici...

montedoro
montedoro

Esistono metodi molto più sicuri per autenticarsi, ma sono anche molto più costosi. La robustezza di una password é sempre la stessa, semmai sono gli avvisi che cambiano. Una password al massimo dell'efficacia deve contare più di 14 caratteri (infatti si parla ormai di passphrase) e il motivo per cui delle volte consigliano di avere almeno 1 numero all'interno é perché molti utenti usano parole prese dal vocabolario, che rende molto più facile identificare le password. Fortunatamente stanno prendendo piede servizi centralizzati. Basta 1 password con cui ci si "iscrive" a questo servizio e poi tutti gli altri siti (da gmail a facebook ecc) chiederanno a questo sito invece che all'utente di garantire la sua identità 

C
C

Quel tool effettivamente ha dei criteri del cavolo, 4ever! é giudicata una password forte, così come l'indirizzo e-mail, come ha segnalato Erich. Un altro buco di sicurezza é che gli utenti tendono ad usare una unica password per tutti i siti e le applicazioni.

Mik
Mik

Il plugin e' davvero molto discreto e immediato, bisogna dire pero' che l'algoritmo e' piuttosto semplice e fa passare per password sicure anche quelle che non lo sono. Un esempio su tutti: usando come username l'email (oppure anche solo nome.cognome) e aggiungendo un numero alla fina la passwd viene valutata come molto sicura.

Erich
Erich

Vado controcorrente ma mi sono rotto di tutte 'ste password assurde. C'é quello che deve essere lunga 6, quello almeno 8, quello 8 precise con almeno un numero, quello tutte maiuscole, quello solo minuscole, quelle con i punti e quelle senza punti, quelle che devi cambiarle ogni 3 giorni, quelle che le devi leggere su una schedina, quelli che ti danno l'aggeggio che se la inventa. Possibile che l'homo sapiens non abbia ancora trovato un metodo un po' + furbo per autenticarsi?

Senamion
Senamion

... Mmm... Attualmente persino persone "esperte" e "competenti" si ostinano ad inserire come password la propria data di nascita o il nome della propria ragazza... E' inutile complicarsi la vita, secondo me persino inserendo un meccanismo che blocchi l'iscrizione qualora la password non fosse considerata "sicura", sono certo che questi uzzoni troverebbero il modo di inserire una ciofeca di password... :-D

Giuseppe G
Giuseppe G

accanto a questi ’segnali’ andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l’utente all’adozione di...
hai ragione, però dipende anche dai contesti... per alcuni utenti (esperti su pagine per esperti) non serve nemmeno il feedback... certo che comunque questo plugin é molto ben fatto e, discreto com'é, può essere utilizzato dovunque...

EsseZeta
EsseZeta