Usare una password robusta è la base per la sicurezza online, attualmente esistono diversi programmi e servizi che generano password molto valide e l'utente ha solo l'imbarazzo della scelta. Ma se non ci si volesse affidare a software del genere è possibile sempre seguire delle linee guida per crearne una valida "in proprio". (more...)

Continua a leggere Verificare la sicurezza della password su Linux

Categoria: Linux

Tags:

Un altro anno è passato ma la lista delle password più usate continua a essere motivo di discussione, polemiche e, perché no, di studio per quanto riguarda le abitudini degli utenti durante la loro attività online. Rimane poi aperta la questione inerente l'operato degli admin meno accorti dal punto di vista della sicurezza, con la tendenza a farsi del male da soli "proteggendo" servizi e account di Rete nel modo peggiore possibile. (more...)

Continua a leggere Le password peggiori del 2015

Categoria: Sicurezza

Tags:

Non è più "password" ad avere lo scettro della peggior password del mondo. A scalzarla è "123456", che conquista il titolo di peggior password del 2013 secondo le analisi di SplashData. La società, che non a caso produce un password manager e dunque è addentro al problema, ha scandagliato gigabyte e gigabyte di password rubate e rese disponibili in Rete, come per esempio quelle dei clienti Adobe, arrivando ad una lista delle 25 peggiori password dell'anno passato. (more...)

Continua a leggere La password peggiore del 2013? 123456

Categoria: Sicurezza

Tags:

Non so se esistono studi sull'uso (e sulla percezione) da parte degli utenti dei sistemi di avviso sulla vulnerabilità  delle password create al momento dell'iscrizione ad un sito. Di certo non sono pochi quelli che ritengono tali sistemi inutili se non obbligano l'utente a seguire schemi precisi nella definizione delle password che vadano al di là  del semplice numero minimo di caratteri. Mi chiedo poi quanti, di fronte ad un messaggio che mette in guardia rispetto alla debolezza di una certa combinazione, modificano la stessa fino ad ottenerne una considerata sicura dal sistema. Personalmente lascio sempre quella che inserisco, a prescindere dal feedback che ricevo, cerco sempre cioè di combinare sicurezza e usabilità  della password anche se il risultato finale non corrisponde ai criteri definiti da chi gestisce il meccanismo di iscrizione. Nonostante cià, non metto in discussione la funzione positiva di questa soluzione (mettere in guardia, consigliare è comunque apprezzabile sempre quando si parla di sicurezza). Sarebbe però utile, a mio avviso, che il feedback non si limiti alla classica misurazione basata sull'uso di colori (in genere dal rosso al giallo al verde) o di termini chiave come 'vulnerabile', 'media', 'sicura', etc.: accanto a questi 'segnali' andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l'utente all'adozione di pattern complessi e considerati sicuri. Un po' come è possibile fare con il plugin Password Strength Meter per jQuery (demo).

Continua a leggere Sui misuratori di vulnerabilità  delle password

Categoria: Sicurezza

Il caso è simile a quello di cui si discuteva ieri a proposito del checkbox "Ricordati di me". Fu sollevato, come qualcuno ricorderà , da Jakob Nielsen, il quale in uno dei suoi celebri alertbox deprecà come inutile la pratica di mascherare i caratteri all'interno dei campi per le password. Due proposte sicuramente controverse, che se prese alla lettera forse aumentano i problemi piuttosto che risolverli. Già  nel post in cui parlavamo della presa di posizione di Nielsen, non erano mancati i suggerimenti per soluzioni di compromesso. Ricordo in particolare quanti hanno fatto riferimento alla tecnica adottata su certi dispositivi mobili, iPhone in primis. Vedo ora che Jeremy Keith ha appena pubblicato sul suo blog una soluzione Javascript (codice) ispirata a quella adottata in certi casi da Apple. Consiste nell'aggiunta di un checkbox che consente di rivelare i caratteri inseriti (potete vedere lo script in azione su questa pagina). La tecnica aderisce per certi versi al suggerimento contenuto nell'alertbox di Nielsen, ma con una differenza sostanziale: il nostro consigliava di aggiungere un checkbox per mascherare i caratteri, lasciandoli di default rivelati.

Continua a leggere Rivelare la password, Apple style

Categoria: Web Design

Nei commenti al post 'Nielsen e le password', molti commentatori hanno giustamente fatto riferimento al sistema di immissione delle password presente su alcuni browser per il mobile, nello specifico quelli degli smartphone Nokia e dell'iPhone. In entrambi i casi, senza rinunciare alla mascheratura dei caratteri inseriti, i browser consentono di visualizzare per pochi secondi in chiaro il carattere. Su CSSTricks Chris Coyier ha presentato un articolo che espone due metodi per ottenere lo stesso effetto con jQuery. Non mancano naturalmente le demo. In particolare, per il secondo esempio, è stato usato il plugin dPassword.

Continua a leggere Password stile iPhone con jQuery

Categoria: Scripting

Tags: ,

Leggo solo ora dell'ultimo (stimolante? provocatorio?) Alertbox di Jakob Nielsen. Tema: l'uso di mascherare i caratteri nei campi di inserimento delle password. Nella visione di quello che è forse l'unico uomo al mondo che di default viene definito guru, tale pratica andrebbe abolita. Via libera ai caratteri in chiaro. Per dare sostanza alla sua opinione, Nielsen non porta questa volta a sostegno i risultati di approfonditi studi e ricerche. Molto più semplicemente: quando uno fa il login su un sito è altissima la probabilità  che non ci sia nessuno alle sue spalle a spiare, pertanto mascherare la password è inutile. E perché, visto che è inutile, continuare ad adottare il sistema con tutti i problemi in termini di usabilità  che pone? Ovviamente il nostro non può non tenere conto di situazioni particolari, come quelle in cui ci si trova in luoghi pubblici o quelle in cui il login avviene su siti come quelli delle banche. La soluzione proposta è quella di aggiungere accanto al campo un checkbox tramite cui scegliere se mascherare la password o no. Sagace... Oppure no?

Continua a leggere Nielsen e le password

Categoria: Web Design

Non so se usare il termine leggi sia o meno esagerato, ma sono sicuramente buoni consigli quelli presentati da George Reese. E allora quali sono secondo il nostro i 5 requisiti di base di un sistema di autenticazione davvero efficace e sicuro? Criptare sempre le password Non porre limiti massimi sul numero di caratteri che è possibile usare per creare una password Non limitare il tipo di caratteri che è possibile usare in una password Non mandare mai all'utente via mail la password in chiaro, ma adottare altri sistemi di recupero Quando è possibile usare OpenId

Continua a leggere Il sistema di login ideale

Categoria: Sicurezza

Puà una password essere al tempo stesso sicura e usabile (leggi: facile da ricordare)? Detto altrimenti: per garantirci da attacchi e tentativi di hacking siamo condannati a scegliere cose come "J4fS

Continua a leggere Password sicure e usabili

Categoria: Sicurezza

Sono poche le offerte che mi permetto di pubblicare su questo blog, per il mio modo di vedere questo non è certamente un mercatino. Tuttavia, questa è una di quelle che senza dubbio vale la pena di citare. Per oggi, e solo per oggi, in occasione di Halloween 1Password è venduto al 50% del prezzo di licenza: $20. Ma non è tutto. Ogni decimo acquirente riceverà  in regalo una seconda licenza da offrire ad un altro utente Mac. Per usufruire dell'offerta è necessario accedere allo store online da questa pagina speciale. Altra nota di tutto rispetto, la licenza è personale dunque consente l'installazione su un qualsiasi Mac in uso all'utente che l'ha acquistata: casa, ufficio, notebook.... 1Password è uno di quei software dei quali non potrei più fare a meno. E' senza dubbio il miglior gestore di password per Mac che abbia mai usato ed ora che è possibile sincronizzare i dati via servizi esterni come DropBox (cos'è DropBox?), ha nettamente consolidato la sua leadership.

Continua a leggere 1Password al 50% solo per oggi!

Categoria: Software e Servizi