Quando creiamo una password per un altro nuovo account, ci capita spesso di imbatterci in regole progettate per rendere più difficile l’accesso agli hacker, come usare lettere maiuscole, numeri e caratteri speciali. Questi requisiti, tuttavia, non rendono la password più forte, secondo quanto rivelato dai ricercatori della Carnegie Mellon University.
Lorrie Cranor, direttrice del CyLab Usable Security and Privacy Laboratory presso la CMU, afferma che il suo team ha un modo migliore, un misuratore che i siti web possono utilizzare per chiederci di creare password più sicure. Dopo che un utente ha creato una password di almeno 10 caratteri, lo strumento inizierà a fornire suggerimenti, come spezzare le parole comuni con barre o lettere casuali, per rendere la password più forte.
Questi suggerimenti impostano il misuratore di sicurezza della password ben oltre i comuni misuratori, che invece forniscono una stima della sicurezza della password spesso utilizzando colori. I suggerimenti provengono da insidie comuni che il team di Cranor ha rilevato dai tentativi di utenti comuni, quando questi impostavano le password durante gli esperimenti condotti in laboratorio.
Uno dei problemi con molte password è che spassano tutti i controlli di sicurezza ma sono ancora facili da indovinare perché la maggior parte di noi segue sempre gli stessi schemi, secondo quanto scoperto dal laboratorio. Numeri? Probabilmente aggingeremo un “1” alla fine. Lettere maiuscole? Probabilmente sarà la prima lettera nella password. E caratteri speciali? Spesso sono punti esclamativi alla fine.
Il misuratore di password di CMU offrirà consigli per rafforzare una password come “ILoveYou2!” – che comunque soddisfa i requisiti standard. Lo strumento offre anche altri consigli basati su ciò che digitiamo, come ricordarci di non usare il nostro nome o di inserire caratteri speciali al centro della password, anziché alla fine.
In un esperimento, gli utenti hanno creato password su un sistema che richiedeva semplicemente di inserire 10 caratteri. Il sistema ha quindi valutato le password con il misuratore di sicurezza del laboratorio e ha fornito suggerimenti personalizzati per password più efficaci. I soggetti del test sono stati in grado di fornire password sicure che potevano richiamare fino a cinque giorni dopo. Ha funzionato meglio che mostrare agli utenti elenchi di regole preimpostati o semplicemente vietare gli errori più comuni.
Cranor e i coautori Joshua Tan, Lujo Bauer e Nicolas Christin hanno presentato le loro ultime scoperte sulle password alla Conferenza ACM sulla sicurezza informatica e delle comunicazioni. Il team spera che i suoi strumenti saranno adottati dai creatori di siti web in futuro.
Nel frattempo, Cranor afferma che il modo migliore per creare e ricordare password sicure è utilizzare un gestore di password. Non sono ancora ampiamente adottati, tuttavia consentono di creare una password univoca e casuale per ogni account e le ricordano per noi.
Fonte Fastweb.it