Le password sono obsolete secondo il CISO di PayPal
L'autenticazione basata su nome utente e password è ormai obsoleta: è necessario muoversi verso un concetto nuovo che porti più sicurezza per l'utente ma anche una maggior facilità d'uso
di Andrea Bai pubblicata il 14 Maggio 2013, alle 09:01 nel canale SicurezzaIn occasione dell'edizione 2013 di Interop, il Chief Information Security Officer di PayPal, Michael Barret, afferma che il 2013 sarà l'anno in cui il mondo seppellirà il sistema di autenticazione basato su nome utente e password: "Ecco la lapide per le password. Quando vengono usate ovunque su internet falliscono nel loro intento" ha dichiarato Barrett mostrando una slide recante una pietra tombale con incisi gli anni 1961-2013.
L'esternazione di Barret è forse un po' esagerata, ma come spesso capita parlando di sicurezza informatica è necessario essere un po' provocatori per delineare il problema: gli utenti della rete si devono destreggiare ormai tra molteplici account online tra email, social media, negozi online e via discorrendo finendo con l'utilizzare lo stesso abbinamento di username e password per ogni account che devono gestire.
Spesso, poi, gli utenti utilizzano password piuttosto deboli, per non parlare dell'abuso di password come "12345" o "password" che purtroppo risultano essere le scelte più comuni tra il pubblico della rete. "Gli utenti scelgono password poco efficaci e le utilizzano ovunque. Ciò ha l'effetto di abbassare il livello di sicurezza dei loro account a quello del sito meno sicuro che visitano su internet" ha dichiarato Barrett.
Le dichiarazioni di Barrett non sono disinteressate: egli è infatti anche presidente di Fast Identity Online Alliance (FIDO), organizzazione nata qualche anno fa con l'obiettivo di rivoluzionare le tecniche di autenticazione online utilizzando protocolli aperti e basati su standard del settore, in maniera tale da rendere più sicuri gli account utenti e risulti al contempo più semplice da utilizzare.
Il concetto su cui si basa il sistema di autenticazione sviluppato dalla FIDO Alliance è quello di utilizzare due diversi elementi (two-step authentication) che possano consentire all'utente di confermare la sua reale identità in maniera semplice e sicura. La FIDO alliance ha previsto un sistema combinato che usa elementi hardware, sofware e biometrici per assicurare l'identità dell'utente, chiedendo a quest'ultimo una minima interazione. In futuro i vari servizi online che richiedono un sistema di autenticazione potranno decidere di supportare il sistema di FIDO Alliance per semplificare le procedure di autenticazione.
Barrett afferma inoltre che un'importante azienda di Cupertino (qualcuno ha pensato ad una mela mordicchiata?) introdurrà entro la fine dell'anno uno smartphone capace di leggere le impronte digitali dell'utente, aiutando così a diffondere i sistemi di autenticazione FIDO alliance. Quanto dichiarato da Barret alimenta ulteriormente le indiscrezioni secondo le quali l'acquisizione di Autentec da parte di Apple, avvenuta lo scorso mese di luglio, sia stata portata a termine proprio con l'obiettivo di realizzare un nuovo iPhone dotato di sistemi di verifica biometrica.
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
Sta per succedere! La prima gara a guida autonoma sarà il 27 aprile: come vederla online
Parthenope: un nuovo RPG investigativo tutto italiano e ambientato a Napoli
Urbanista Malibu: ecco come va la cassa Bluetooth con ricarica solare
Gas Station Simulator è costato 110 mila euro e ha guadagnato più di 10 milioni su Steam
AOC Graphic Pro U3, tre nuovi monitor per i professionisti creativi
Wacom Movink: per la prima volta il display interattivo ha uno schermo OLED
HPE Aruba presenta i nuovi access point serie 730: oltre il Wi-Fi 7, arriva anche l'IoT
Lamborghini presenta Urus SE, prima versione ibrida plug-in del Super SUV
Scuderia Ferrari e HP insieme: ufficiale il nuovo accordo per la Formula 1
Snapdragon X Plus, un nuovo SoC per i notebook Windows
L'iPad 10,9'' 64 GB è sceso a meno di 400 euro. E occhio anche al modello con 256 GB
Steam: basta ai furbetti dell'accesso anticipato, niente rimborsi dopo due ore di gioco in ogni caso
Motorola Edge 40 Neo con fotocamera da 50 MP OIS e display OLED a 291 euro su Amazon. E occhio alle altre offerte Motorola
Arriva Kasperksy Next, la nuova gamma di soluzioni di sicurezza per le imprese 
46 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoQuando per ogni cosa ci vogliono troppe password:
quella del pc, della posta, dell inps dell'agenzia delle entrare, del forum, del sito facebook alitalia. eccc
o uno ha una memoria eccezionale o si tende ad usare sempre la stessa e facile.
Io ho paypal e ho collegato ad esso la carta di credito, preferisco fare aqisti con paypal non solo per la praticità ed immediatezza ma anche perchè così è solo paypal che accede alla mia carta e non cani e porci.
Ovvio che per la password di paypal ho avuto un occhio di riguardo, è lunga, coi numeri e non riconducubile a parole esistenti.
E chiaramente la uso SOLO con paypal.
Altro discorso per le password stupide per il login ai vari siti di ecommerce..
------------------------
Mah, IMHO i lettori di impronte sono una str*nzata.
Le impronte digitali non garantiscono una sicurezza particolarmente più elevata rispetto alle tradizionali password. Infatti, per quanto l'impronta del mio indice sia unica, la imprimo sul lucido telaio del mio smartphone quando lo afferro.
Lasciamo impronte digitali ovunque, quindi anche la nostra è facilmente reperibile.
Inoltre, il riconoscimento impone un confronto, ovvero la nostra impronta da confrontare dovrà essere salvata da qualche parte. E anche se criptata, ci sarà sempre un modo di penetrare nel sistema.
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.
Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel
D'altronde se è troppo facile sara' facilmente crackabile, se è troppo difficile non ce la ricorderemo mai a memoria e siamo costretti a scrivercela da qualche parte, che non è il massimo della sicurezza.
Io poi che ho una pessima memoria, tutte le volte ceh accedo a qualche sito a cui non accedevo da un po, e ho usato una PW diversa dal solito, devo sempre ricorrere al sistema di recupero PW perche' non me la ricordo mai.
E se come e' gia' successo dimentico anche la parola segreta ce l'ho nel
Io ad esempio ho un'ottima memoria, ma ormai le password sono diventate talmente tante che un paio me le sono dovute scrivere
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.
Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.
@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.
Sul fatto che...
...sia regolamentata pesantemente...questo al giorno d`oggi e` il freno minore alla eventuale gola che una marea di dati biometrici fa/farebbe.Sull`uso di crittografia asimmetrica...anche qui non metterei la mano sul fuoco come noto romano.
Marco1971.
Se devo accedere all'account di un parente (caso tutt'altro che sporadico, quando alcuni di loro non capiscono una cippa di computer) o in qualsiasi altro caso in cui debba accedere agli account di persone che conosco, non posso farlo se loro non sono presenti.
Occorrerebbe un sistema più versatile, ma allo stesso tempo capace di evitare i comportamenti a rischio tanto diffusi come l'uso di password semplici o simili/identiche tra loro.
@Muppolo
Guarda che nessuno archivia le tue impronte, la cosa è pesantemente regolamentata e fa uso di tecniche di crittografia asimmetrica.
Questa per la sicurezza sarebbe proprio la prima cosa da evitare...
La maggior parte delle frodi sui conti bancari online, alla fine si scopre che sono fatti da figli o parenti della vittima, che erano a conoscenza della PW...
Spesso scopri che nella tua password non puoi mettere segni di punteggiatura o, ancora meglio, spazi. Il che è demenziale, come aveva ben argomentato XKCD
http://xkcd.com/936/
Pensate ad una password come "Io guido una 500!" (una maiuscola, tre spazi, cifre e segno di punteggiatura)
Difficoltà di memorizzazione: nulla
Difficoltà di decrittazione: la lascio agli esperti
... [snip]
Ma usare un [U]gestore di password[/U] no?
Ad esempio: KeepPass (quello che uso io).
- Genera la password automaticamente secondo pattern personalizzabili (e così evitiamo di generare a manina password "stupide"
- Le associa ai siti e se le ricorda lui per te.
- Quando devi fare il login a qualche sito/servizio/applicazione: un click e lui si connette, un click per dare il focus dove devi fare login (tipicamente un campo di testo) e un click per fare in modo che KeePass faccia lui il login (in modo sicuro)
Oramai lo uso da quasi 8 mesi, rinnovo le password con cadenza regolare gestendo i miei venti account ognuno con la sua bella password unica (e abbastanza "sicura"
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".