"Perseverare è diabolico", recitava un detto. A quanto pare la perseveranza è una delle caratteristiche più diffuse fra gli utenti web. Con accezione negativa. Almeno a quanto emerge da una ricerca condotta dalla Carnegie Mellon University sul comportamento delle persone dopo che le loro password sono state compromesse da una violazione dei dati.

La maggior parte delle persone le ha cambiate con chiavi ancora più deboli o di pari sicurezza. Solo il 33% delle persone che aveva un account su domini violati ha cambiato password. Di questi, il 13% lo ha fatto entro tre mesi dall'annuncio. Gli altri hanno impiegato ancora più tempo.
A proposito delle nuove password, in media erano 1,3 volte più forti delle vecchie password. Tuttavia, la maggior parte era più debole o di pari sicurezza rispetto alle vecchie. Questo perché la scelta è caduta su chiavi molto simili, con solo lievi variazioni rispetto alle precedenti. La notizia peggiore è che pochi hanno cambiato le password su siti diversi da quello violato, anche se erano uguali o simili alla password compromessa.

Un futuro senza password - La biometria presto soppianterà l'uso delle password grazie al lavoro dei produttori di smartphone e della FiDO Alliance, che è stato determinate per un futuro senza password.

Le conclusioni

I ricercatori hanno tratto due conclusioni. La prima è che le notifiche di violazione delle password stanno fallendo drammaticamente. Non sembrano indurre un numero sufficiente di persone a cambiare le proprie password. E chi le cambia ne usa di simili. Da qui la seconda conclusione: i fornitori di servizi, a qualunque livello, devono adottare requisiti più stringenti per il cambio password a seguito di un data breach.

Inoltre, le authority di regolamentazione dovrebbero incentivare i fornitori di servizi a usare di più l'autenticazione a più fattori. Oltre che ad eseguire l'hashing e il salt delle password per evitare che le tecniche di credential stuffing vadano a segno.
Per essere chiari. Hashing e salt sono due tecniche per mascherare le password. Salt consiste nell'aggiunta di caratteri casuali alle chiavi digitate dall'utente. Hash è la conversione della password risultante in un lungo elenco di caratteri casuali. Tutto questo lavoro, che ovviamente viene eseguito in automatico da sistemi informatici, è finalizzato a evitare che i cyber criminali possano risalire alle password effettive nel momento in cui si impossessano del database che le contiene.

Il problema è che non si può fare affidamento solo su questo lavoro, che non tutti i servizi svolgono. Le password di partenza devono essere molto complesse. Soprattutto devono essere uniche, di modo che un sito violato non consenta ai cyber criminali di violarne altri.

Data la situazione, è sempre meno tollerabile la compiacenza sulla gestione delle password, a maggior ragione all'interno delle aziende dove una buona soluzione di sicurezza può essere compromessa da un singolo utente.