Hai un gestore di password? Bene, ma lo stai usando male
Pubblicato: 2022-01-29Congratulazioni! Hai seguito il nostro consiglio e hai installato un gestore di password! Forse lo hai persino addestrato a ricordare tutte le tue password. Ma hai sostituito le password errate con password uniche forti? Hai protetto tutte quelle password con una password principale complessa che nessun altro poteva indovinare? In breve: stai usando correttamente il tuo password manager?
Stuart Schechter, docente e responsabile del corso per il percorso di privacy e sicurezza utilizzabile di UC Berkeley, teme che tu non lo sia. Tanto che ha incoraggiato i suoi studenti laureati a scoprire cosa stai facendo. Alla conferenza virtuale sulla sicurezza RSA del 2021, Schechter e il dottorando David Ng hanno rivelato le loro scoperte.
La password è morta, lunga vita alla password
Schechter si è presentato come quel ragazzo che indossava una maschera N95 all'RSAC dell'anno scorso, uno strano in mezzo a un mare di facce nude. Ha notato che ciò non era dovuto a nessun tipo di preveggenza sulla pandemia di coronavirus, ma piuttosto all'avversione a fare ipotesi ottimistiche in assenza di dati. Allo stesso modo, senza alcun dato non può presumere che i consumatori utilizzino i gestori di password come dovrebbero.
Schechter ha richiamato una previsione del 2004 di Bill Gates, che diceva che avremmo usato le password sempre meno. "Microsoft ha parlato di sradicare le password, come se fossero una malattia, come il vaiolo", ha affermato Schechter. "Ma una scommessa camp separata sulla moltiplicazione delle password, non sulla scomparsa". Ha approfondito l'evoluzione dei gestori di password, insieme a eventi come la versione 2006 di CardSpace di Microsoft destinata a porre fine alle password (non lo fece) e la sua dichiarazione che Windows 10 significava la fine delle password (non lo faceva).
L'utilizzo di un gestore di password comporta un rischio intrinseco: hai messo tutte le uova in un unico paniere. Nell'improbabile eventualità che una squadra di hacker decida di violare il tuo gestore di password, sei nei guai. I vantaggi dell'utilizzo di un gestore di password sono una miriade, tra cui la protezione contro le truffe di phishing.
“Ti affidi al tuo gestore di password per inserire una password che non conosci nemmeno. Se colpisci un sito di phishing, il gestore delle password non lo riempirà", ha affermato Schechter. "Dovrai andare a cercarlo nel gestore delle password e questo da solo è un grande indizio del fatto che stai subendo un phishing."
I nostri migliori gestori di password
In uno studio precedente, Schechter e un collega hanno valutato la capacità delle persone di ricordare password complesse. Le buone notizie? Hanno determinato che quasi chiunque può memorizzare una password molto forte. La cattiva notizia, tuttavia, è che per farlo sono state necessarie 20-30 sessioni di allenamento a distanza di almeno mezz'ora e che la password potrebbe essere dimenticata se non utilizzata regolarmente.
Tutti i vantaggi dell'utilizzo di un gestore di password dipendono da tre presupposti: presupponiamo che gli utenti memorizzeranno una password complessa; che faranno affidamento sulla capacità del gestore delle password di generare password casuali; e che cambieranno le password deboli, riutilizzate o compromesse. Ma queste ipotesi sono corrette? Piuttosto che optare per l'ottimismo in assenza di dati, Schechter ha incoraggiato i suoi studenti laureati a cercare la verità.
Dati, Dati, Dati
Il dottorando David Ng è andato nei dettagli su come il gruppo ha trovato i partecipanti, vagliando un pool iniziale di quasi 2.500 persone fino a circa 100 che avevano utilizzato un gestore di password per più di cinque mesi; gestito almeno cinque password; ed erano disposti a fornire uno screenshot della dashboard di sicurezza del loro gestore di password.
Quindi, i partecipanti hanno utilizzato una password principale complessa? Pochissimi hanno avuto il password manager generarne uno che poi hanno memorizzato. Un gruppo molto più numeroso ha elaborato una password utilizzando un dispositivo mnemonico, come spesso suggeriamo noi di PCMag. Purtroppo, il gruppo più numeroso ha ammesso di aver riutilizzato una password familiare come chiave principale per i propri gestori di password.
Puoi usare un gestore di password per salvare le sequenze di tasti lasciando tutte le tue password impostate su 12345678 o qualche altra password terribile. L'uso corretto, ovviamente, richiede la modifica di quelle password deboli in qualcosa generato dall'utilità password. Lo studio ha rilevato che appena un quinto di coloro che si affidano al gestore di password integrato di Chrome gli ha mai permesso di generare password. Circa la metà di coloro che si affidano a utilità di terze parti ha sfruttato questa funzionalità.
Lo studio ha proseguito esaminando come (e se) i partecipanti hanno utilizzato la capacità della funzionalità del dashboard di sicurezza di identificare password deboli, duplicate e compromesse. I risultati sono stati scoraggianti. Anche i partecipanti che hanno convenuto che lo strumento per le password ha identificato correttamente le password da sostituire spesso non hanno fatto nulla per risolvere il problema. I motivi includevano che era troppo lavoro o che temevano che l'aggiornamento della password potesse causare un problema.
Non dare per scontato che le persone sappiano cosa stanno facendo
Ng ha concluso la presentazione con un avviso agli esperti di sicurezza e alle persone. Solo perché le persone hanno gestori di password non significa che siano completamente protette.
"Non dare per scontato che le persone sceglieranno password principali complesse", ha affermato. "Non dare per scontato che utilizzeranno password create dal gestore delle password. E non dare per scontato che sostituiranno password deboli, riutilizzate o compromesse, anche quando gli viene ricordato.
Consigliato dai nostri editori
Come eseguire correttamente le password
Hai visto che troppe persone installano un gestore di password e poi non ne fanno un uso corretto. Non essere come loro! Lascia che i loro errori diventino i tuoi momenti di insegnamento.
Inizia con quella password principale. Come notato, protegge il tuo tesoro di credenziali di accesso, quindi deve essere qualcosa che puoi ricordare, ma che nessuno indovinerebbe. Segui i nostri consigli per trasformare una poesia o una canzone preferita in una password o scegli qualcosa di inimmaginabile dalla tua vita personale.
Non fermarti qui! Migliora la protezione delle tue preziose password abilitando l'autenticazione a più fattori. Tutti i migliori gestori di password ce l'hanno. Ora anche un malfattore che ti ruba la tua password inimmaginabile non può entrare, perché solo tu hai l'altro fattore di autenticazione. Quel fattore potrebbe essere biometrico o potrebbe funzionare tramite un'app sul telefono in tasca (e di nessun altro).
Molti gestori di password valutano le tue password salvate, segnalando quelle zoppicanti, che hai utilizzato più volte o che sono state esposte in una violazione dei dati. So che è noioso, ma devi risolverli e sostituirli tutti con nuove password lunghe e forti. Inizia con le peggiori e falle alcune alla volta, finché tutte le tue password non saranno perfette. Non devi pensare a quelle nuove password; il tuo gestore di password le genererà per te.
Forse hai resistito all'uso di password complesse perché non vuoi digitarle sulla minuscola tastiera del tuo telefono? Non resistere più! Installa l'app mobile del tuo gestore di password e collegala al tuo account. Ora l'accesso al telefono è un gioco da ragazzi.
Accetta la sfida e impara a usare correttamente il tuo gestore di password. Se abbastanza di voi, forse il prossimo studio dimostrerà che alcune persone sono abbastanza intelligenti da ottenere il massimo beneficio da questi utili programmi.