Sui misuratori di vulnerabilità  delle password

venerdì 8 gennaio 2010 - 12:45

di Cesare Lamanna

Non so se esistono studi sull’uso (e sulla percezione) da parte degli utenti dei sistemi di avviso sulla vulnerabilità  delle password create al momento dell’iscrizione ad un sito. Di certo non sono pochi quelli che ritengono tali sistemi inutili se non obbligano l’utente a seguire schemi precisi nella definizione delle password che vadano al di là  del semplice numero minimo di caratteri.

Mi chiedo poi quanti, di fronte ad un messaggio che mette in guardia rispetto alla debolezza di una certa combinazione, modificano la stessa fino ad ottenerne una considerata sicura dal sistema. Personalmente lascio sempre quella che inserisco, a prescindere dal feedback che ricevo, cerco sempre cioè di combinare sicurezza e usabilità  della password anche se il risultato finale non corrisponde ai criteri definiti da chi gestisce il meccanismo di iscrizione.

Nonostante cià, non metto in discussione la funzione positiva di questa soluzione (mettere in guardia, consigliare è comunque apprezzabile sempre quando si parla di sicurezza). Sarebbe però utile, a mio avviso, che il feedback non si limiti alla classica misurazione basata sull’uso di colori (in genere dal rosso al giallo al verde) o di termini chiave come ‘vulnerabile’, ‘media’, ‘sicura’, etc.: accanto a questi ‘segnali’ andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l’utente all’adozione di pattern complessi e considerati sicuri. Un po’ come è possibile fare con il plugin Password Strength Meter per jQuery (demo).

Tags:, ,

Categoria: Sicurezza | Commenta

Commenti per Sui misuratori di vulnerabilità  delle password

accanto a questi ’segnali’ andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l’utente all’adozione di…

hai ragione, però dipende anche dai contesti…
per alcuni utenti (esperti su pagine per esperti) non serve nemmeno il feedback…
certo che comunque questo plugin é molto ben fatto e, discreto com’é, può essere utilizzato dovunque…

# - Postato da EsseZeta 8 gennaio 2010 alle 13:09

… Mmm… Attualmente persino persone “esperte” e “competenti” si ostinano ad inserire come password la propria data di nascita o il nome della propria ragazza… E’ inutile complicarsi la vita, secondo me persino inserendo un meccanismo che blocchi l’iscrizione qualora la password non fosse considerata “sicura”, sono certo che questi uzzoni troverebbero il modo di inserire una ciofeca di password… :-D

# - Postato da Giuseppe G 8 gennaio 2010 alle 14:00

Vado controcorrente ma mi sono rotto di tutte ‘ste password assurde. C’é quello che deve essere lunga 6, quello almeno 8, quello 8 precise con almeno un numero, quello tutte maiuscole, quello solo minuscole, quelle con i punti e quelle senza punti, quelle che devi cambiarle ogni 3 giorni, quelle che le devi leggere su una schedina, quelli che ti danno l’aggeggio che se la inventa. Possibile che l’homo sapiens non abbia ancora trovato un metodo un po’ + furbo per autenticarsi?

# - Postato da Senamion 8 gennaio 2010 alle 14:18

Il plugin e’ davvero molto discreto e immediato, bisogna dire pero’ che l’algoritmo e’ piuttosto semplice e fa passare per password sicure anche quelle che non lo sono.
Un esempio su tutti: usando come username l’email (oppure anche solo nome.cognome) e aggiungendo un numero alla fina la passwd viene valutata come molto sicura.

# - Postato da Erich 8 gennaio 2010 alle 14:23

Quel tool effettivamente ha dei criteri del cavolo, 4ever! é giudicata una password forte, così come l’indirizzo e-mail, come ha segnalato Erich.

Un altro buco di sicurezza é che gli utenti tendono ad usare una unica password per tutti i siti e le applicazioni.

# - Postato da Mik 8 gennaio 2010 alle 21:59

Esistono metodi molto più sicuri per autenticarsi, ma sono anche molto più costosi. La robustezza di una password é sempre la stessa, semmai sono gli avvisi che cambiano. Una password al massimo dell’efficacia deve contare più di 14 caratteri (infatti si parla ormai di passphrase) e il motivo per cui delle volte consigliano di avere almeno 1 numero all’interno é perché molti utenti usano parole prese dal vocabolario, che rende molto più facile identificare le password. Fortunatamente stanno prendendo piede servizi centralizzati. Basta 1 password con cui ci si “iscrive” a questo servizio e poi tutti gli altri siti (da gmail a facebook ecc) chiederanno a questo sito invece che all’utente di garantire la sua identità 

# - Postato da C 9 gennaio 2010 alle 17:18

sui pc in dominio/active directory con w2k3 o w2k8 server i criteri per l’immissione delle password sono pensati per password complesse ma nonostante ciò é la cosa più odiata dagli utenti.

Ci vuole buon senso. Un utente che ha subito un “furto” della password starà  certamente più attento la volta dopo… solo che prima nessuno crede a questi pericoli informatici…

# - Postato da montedoro 10 gennaio 2010 alle 21:25

Il problema io credo sia piuttosto quello di ricordarsele poi tutte queste password.
Io ho trovato la soluzione in questo sito

http://www.clipperz.com

Il sito che gestisce le passoword e che ti permette di crearle, gestirle e loggarti sui siti con un solo click. Molto molto utile!

Il problema é anche quello di far capire alle persone a che serve una password e far capire perché deve essere sicura, qual é il pericolo di una password caduta nelle mani sbagliate, FORMARE GLI UTONTI per farli diventare UTENTI.
C’é molta ignoranza sull’uso del computer e le password non sono che l’inizio.

# - Postato da Aerendir 11 gennaio 2010 alle 09:19

La scelta della password é una questione psicologica.. ;-)

http://andreachiarelli.wordpress.com/2006/09/18/psicopatologia-della-password-quotidiana/

# - Postato da Andrea 14 gennaio 2010 alle 11:53

Pingback: Complexify, plugin jQuery per testare la forza di una password | Edit - Il blog di HTML.it

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>