Molti ancora rendono le loro password troppo semplici. Shutterstock / Vitalii Vodolazskyi

Per più di 15 anni, ci sono state varie previsioni dei leader tecnologici sulla morte delle password. Bill Gates lo aveva predetto indietro nel 2004 e Microsoft hanno previsto per il 2021. Ci sono stati numerosi proclami simili nel frattempo, accanto alle continue critiche alle password come mezzo di protezione inadeguato.

Eppure le password rimangono un aspetto comune della sicurezza informatica, qualcosa che le persone usano ogni giorno. Inoltre, le password mostrano ancora pochi segni di scomparire. Ma molte persone ancora li uso male e sembrano inconsapevoli delle buone pratiche consigliate.

È molto comune per gli esperti di sicurezza informatica e le aziende incolpano gli utenti per usare le password in modo inadeguato, senza riconoscere che i sistemi consentono le loro scelte sbagliate.

Molti siti Web non offrono indicazioni anticipate su come scegliere le password che ci richiedono di avere, forse supponendo che sappiamo già queste cose o che possiamo scoprirle altrove. Ma il fatto che le persone persistano nell'utilizzo di password deboli suggerisce che questa è una visione ottimistica.

Consiglio obsoleto

Oltre a mancare di indicazioni, è comune trovare siti Web che applicano requisiti di password obsoleti. Probabilmente hai familiarità con i sistemi che insistono sulla complessità della password, richiedendo lettere maiuscole, numeri o caratteri speciali per rendere le password più forti (la nostra risposta a cui spesso rispecchia il video qui sotto).

Però, i la guida attuale è quello di consentire la complessità ma non di richiederla, e fondamentalmente considerare la forza della password come sinonimo di lunghezza della password.

I Centro nazionale di sicurezza informatica consiglia di creare una password lunga combinando tre parole casuali, consentendo qualcosa di più lungo e più facile da ricordare rispetto a molte scelte standard.

La mia password tenta

Anche inutile è che, piuttosto che fornire indicazioni e requisiti all'inizio, molti siti rivelano regole solo in risposta a noi che proviamo cose che non sono consentite. Ho provato a creare una password per uno di questi siti. La maggior parte dei miei tentativi ha ricevuto feedback che richiedevano ulteriori azioni, fino a quando non ho deciso una scelta finale, che è stata accettata senza lamentele. Ma la password accettata, steve !, era breve e piuttosto prevedibile.

Lottare con le regole. Steven Furnell, Autore previsto

Quando ho giocato un po 'di più, sono state accettate varie altre scelte deboli. Ad esempio 1234a !, abcde1 e qwert! tutti soddisfacevano le regole, così come Furnell1, che non è particolarmente forte, soprattutto perché ho già inserito Furnell come cognome altrove nel modulo di iscrizione.

Nel frattempo, le regole spesso significano che non possiamo usare le password che i nostri dispositivi generano automaticamente per noi, o quelle che potremmo creare per noi stessi seguendo le indicazioni correnti.

Molti siti Web non consentono la creazione di password. Steven Furnell

Alcuni siti sembrano pensare di poter compensare la mancanza di indicazioni utilizzando tecniche come i contatori di password per valutare le nostre scelte. Tuttavia, sebbene forniscano un feedback, non sostituiscono il fornire indicazioni su ciò che è bello.

Utilizzando un altro sito, ho inserito una password scadente (la parola password) e l'unico feedback che ho ricevuto è stato che la password è molto debole. Se un utente stava davvero offrendo questa password come tentativo, ciò di cui ha bisogno che gli venga detto è perché è debole. Sebbene sia possibile trovare senza dubbio alcuni siti che forniscono un feedback migliore e più informativo, questo esempio è purtroppo rappresentativo di molti altri.

Regole da seguire

Naturalmente, dopo aver evidenziato la mancanza di una guida efficace, sarebbe negligente finire senza offrirne effettivamente alcuni. La guida dell'NCSC sulla scelta e l'utilizzo delle password sono elencate e spiegate brevemente di seguito:

1. Usa una password complessa e separata per la tua posta elettronica, poiché questa è spesso la tua strada per accedere ad altri account.
2. Crea password complesse utilizzando tre parole casuali: questo ti darà password più forti e facili da ricordare.
3. Salva le tue password nel tuo browser: questo ti impedisce di dimenticarle o di perderle.
4. Attiva l'autenticazione a due fattori: questo aggiunge un ulteriore elemento di protezione anche se la tua password è compromessa.

È utile integrare questo con promemoria aggiuntivi di non farlo utilizzare la stessa password su più account per paura che la violazione di uno porti alla violazione di tutti, non condividerli con altre persone perché in tal caso non è più la tua password e non tenerne traccia rilevabile. Conservarli in una posizione protetta, come uno strumento di gestione delle password, va bene.

È preoccupante pensare che le password esistono da decenni e che stiamo ancora sbagliando. E sono solo un aspetto della sicurezza informatica che dobbiamo utilizzare correttamente. Questo non è di buon auspicio per la sicurezza informatica più ampiamente.

Circa l'autore

Steven Furnell, Professore di Cyber ​​Security, Università di Nottingham

libri_sicurezza

Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.