I ricercatori di sicurezza ora affermano che la lunghezza, la forza e la complessità delle password sono irrilevanti.
Da anni ormai i siti tecnologici distribuiscono gli stessi suggerimenti per le password, incluso l’utilizzo password lunghe e complesse. La vergogna è che tutti questi consigli nel corso di molti anni hanno avuto poco o nessun effetto sul modo in cui l’utente domestico medio sceglie le proprie password. In quello che può essere descritto solo come un completo voltafaccia, l’attuale consenso tra i ricercatori di sicurezza è che, nel mondo reale, quanto forte, lunga o complessa sia quasi sempre una password non ha quasi mai importanza.
Completo divulgazione: parti di questo articolo si basano su questo articolo del blog di Malwarebytes
Il tipo più comune di attacco alla password è il credential stuffing, che utilizza le password rubate nelle violazioni dei dati. Funziona perché è così comune per le persone riutilizzare la stessa password in due posti ed è completamente indipendente dalla sicurezza della password. Il prossimo attacco più comune è la spruzzatura di password, in cui i criminali utilizzano brevi elenchi di password molto semplici su quanti più computer possibile. In entrambe le situazioni, una password ridicolmente semplice ma univoca è sufficiente per sconfiggere l’attacco.
Esistono rari tipi di attacco (indovinare la password offline) in cui una password complessa potrebbe essere d’aiuto, ma il compromesso è che le password complesse sono molto più difficili da ricordare per le persone, il che le porta a utilizzare la stessa password per tutto, il che le rende molto più vulnerabili al credential stuffing ~ <
Naturalmente, i gestori di password rappresentano una soluzione valida, ma la realtà è che nonostante tutti gli anni di recensioni e raccomandazioni favorevoli, la maggior parte degli utenti domestici medi non li utilizza ancora. Quindi qual è la risposta?
Autenticazione a due fattori (2FA)
Inizierò citando un estratto da un articolo del 2019 scritto da Alex Weinert di Microsoft, che afferma…” Sulla base dei nostri studi, il tuo account ha più del 99,9% di probabilità in meno di essere compromesso se utilizzi l’autenticazione a più fattori“.
Alex la chiama MFA (autenticazione a più fattori) e Google la chiama 2SV (verifica in due passaggi), ma significano tutti esattamente la stessa cosa: provare la tua identità in più di un modo.
Ovviamente è sempre richiesta una password, oltre a un mezzo di identificazione secondario, che è generalmente sotto forma di un codice univoco a 6 cifre inviato al tuo telefono. Ora, quando ho consigliato 2FA in passato, ho quasi sempre ricevuto un commento da qualcuno che è scettico riguardo alla divulgazione del proprio numero di cellulare e non posso dire di biasimarli. Tuttavia, ho impostato 2FA (tramite il mio numero di cellulare) su più account qualche tempo fa e non ho MAI ricevuto alcun tipo di spam o messaggi/chiamate indesiderate. L’unica volta che sento parlare di questi account è quando accedo ed entra in gioco la 2FA.
Il mio telefono cellulare è sempre in mio possesso e l’accesso è protetto, quindi è, a mio avviso, estremamente metodo sicuro per garantire che i miei account non siano accessibili a nessun altro. Sono sempre stato riluttante a utilizzare il telefono o il mio iPad per le transazioni finanziarie, ma con 2FA in atto non ho tali scrupoli. Se effettuo un pagamento tramite PayPal, ad esempio, mi verrà chiesto di procedere inserendo un codice di verifica. Sono felice di aderire, sapendo che, indipendentemente da quanto possa essere sicura la connessione, solo io posso ricevere e inserire quel codice.
BOTTOM LINE:
A quanto pare, il 4 maggio è stato il World Password Day, qualcosa di cui non ero a conoscenza. Tuttavia, se non fai nient’altro quest’anno, ti preghiamo di prendere in considerazione l’impostazione di 2FA su quanti più account possibile e il prima possibile. 2FA, MFA, 2SV, comunque lo vogliano chiamare, è assolutamente il metodo migliore per proteggere i tuoi account, molto più efficace di una sola password, indipendentemente dalla sua forza o complessità.
Alcuni account offrono 2FA come facoltativo, altri per niente ma, a mio modesto parere, 2FA dovrebbe essere un requisito obbligatorio per tutti gli account online.
—