Smettila di incolpare le persone per aver scelto password errate: è ora che i siti web facciano di più per aiutare

Credito: Damir Khabirov / Shutterstock

Anno dopo anno, password come “123456”, “qwerty” e persino “password” risultano essere le scelte più popolari e il 2021 non ha fatto eccezione.

Questi rapporti in genere vengono forniti con lo stesso consiglio agli utenti: crea password migliori per proteggere la tua sicurezza online. Anche se questo potrebbe essere vero, è anche il momento di rendersi conto che anni di promozione di questo messaggio hanno avuto poco o nessun effetto.

Per migliorare le cose, credo che dobbiamo smettere di incolpare le persone e invece affidare l’onere ai siti Web e ai servizi per incoraggiare e imporre una migliore “igiene informatica”.

Certo, è facile puntare il dito contro gli utenti: in definitiva sono loro a fare le scelte sbagliate della password. Ma allo stesso tempo, è ormai risaputo che le persone comunemente fanno queste scelte. Quindi è giusto presumere che senza una guida o restrizioni per prevenire password deboli, è probabile che continuino con le stesse abitudini.

Tuttavia, abbiamo generazioni successive di utenti a cui non viene detto che aspetto ha una buona password, né gli viene impedito di fare scelte pigre. Non è difficile trovare esempi di siti Web che accetteranno le peggiori password senza lamentarsi. È altrettanto facile trovare siti che richiedono agli utenti di creare password, ma non forniscono loro alcuna guida per farlo. O siti che forniranno feedback sul fatto che la scelta della password di un utente è debole, ma lo consentono comunque.

Come i fornitori possono fare di meglio

Se sei responsabile dell’esecuzione di un sito Web o di un servizio che accetterà “123456”, “qwerty” o “password”, è tempo di ripensare al tuo sistema. Se permetti agli utenti di farla franca con scelte sbagliate, crederanno che siano accettabili e continueranno questa cattiva pratica.

Al contrario, implementando protocolli più forti, puoi aiutare ad affrontare il problema alla fonte. I siti Web dovrebbero disporre di processi per filtrare le password scadenti, una “lista nera” di scelte comuni.

E mentre può essere utile offrire una guida per gli utenti al momento della creazione della password, i siti dovrebbero smettere di insistere su cose che organizzazioni autorevoli come il National Cyber ​​​​Security Center del Regno Unito e il National Institute of Standards and Technology degli Stati Uniti ora dicono che non dovrebbero essere imposto. Ad esempio, sconsigliano il requisito della complessità della password (come l’inclusione di lettere maiuscole e minuscole, numeri e simboli di punteggiatura).

Entrambe le organizzazioni indicano che l’aumento della lunghezza della password è più importante della complessità. Questo perché le password più lunghe sono più resistenti al cracking della forza bruta (in cui gli aggressori provano tutte le combinazioni di lettere, numeri e simboli per trovare una corrispondenza) e le password meno complesse possono essere più facili da ricordare.

Eppure molti siti continuano a richiedere complessità e impongono limiti massimi di lunghezza, bloccando spesso scelte di password perfettamente ragionevoli che i nostri browser e altri strumenti possono generare automaticamente per noi.

Potresti chiederti perché questo è importante. Se le persone vogliono scegliere password deboli e mettersi a rischio, perché questo dovrebbe diventare il problema del provider? Un argomento è che se un servizio è incaricato di proteggere i dati personali degli utenti (come fanno i fornitori tramite il GDPR), non ha molto senso consentire agli utenti di rendersi vulnerabili scegliendo password deboli.

Vale anche la pena notare che in alcuni casi la password debole di un utente potrebbe fornire a un utente malintenzionato un punto d’appoggio nel sistema da cui sfruttare altri punti deboli e aumentare il proprio accesso. Quindi è probabilmente nell’interesse del provider ridurre al minimo queste opportunità e proteggere i dati di altre persone nel processo.

Le password non vanno da nessuna parte

Stiamo assistendo a un passaggio verso l’autenticazione senza password, ma questo nome di per sé enfatizza il predominio dei metodi basati su password. La loro morte è stata prevista più di 15 anni fa, eppure sono ancora qui. È lecito ritenere che staranno con noi ancora per un po’ di tempo.

Quindi abbiamo una scelta: assumerci la responsabilità collettiva di ottenere le basi giuste – che implica l’azione di utenti e fornitori – o mantenere lo sforzo collettivo di alzare le spalle e lamentarci del comportamento degli utenti.

Per coloro che forniscono e gestiscono sistemi, siti e servizi basati su password, si spera che l’invito all’azione sia chiaro: controlla cosa consente il tuo sito e vedi se dovrebbe fare meglio. Se consente il passaggio di password deboli, modifica questa impostazione o almeno fai qualcosa che tenti di dissuadere gli utenti dal sceglierle.

Se stai leggendo questo come utente e stai cercando qualche buon consiglio su come creare password migliori, il National Cyber ​​Security Center del Regno Unito fornisce alcuni suggerimenti utili. Questi includono la combinazione di tre parole casuali per ottenere password più lunghe ma più memorabili e il salvataggio sicuro delle password nel browser per ridurre ulteriormente l’onere di ricordare le password su più siti. Quindi, anche se i fornitori non stanno facendo abbastanza, ci sono ancora alcune cose che puoi fare per proteggerti.


Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l’articolo originale.La conversazione

Articolo precedenteUna nuova ricerca afferma che una migliore cura della frattura dell’anca in Cina può salvare vite umane
Articolo successivoRobot medici: le loro espressioni facciali aiuteranno gli umani a fidarsi di loro