Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Dumb Password Rules: regole per creare password violabili

Dumb Password Rules è una risorsa online che raccoglie diversi esempi di sistemi che consentono di creare password facilmente violabili.
Dumb Password Rules: regole per creare password violabili
Dumb Password Rules è una risorsa online che raccoglie diversi esempi di sistemi che consentono di creare password facilmente violabili.
Claudio Davide Ferrara
Pubblicato il 9 set 2019
Link copiato negli appunti

Dumb Password Rules è un piccolo progetto open source che propone una lista di siti web, alcuni dei quali di proprietà di aziende importanti, che a parere dei suoi curatori adotterebbero regole di creazione delle password obsolete e non particolarmente sicure. Per proporre un esempio, viene proposto tra gli altri il caso della pagina di login della statunitense American Express:

american-express

In questo caso non sarebbe stata definita alcuna regola riguardo all'uso dei caratteri maiuscoli, segno che probabilmente il sistema di sicurezza non sia stato concepito per tenere conto di tale aspetto.

Un ulteriore esempio di gestione poco attenta nella registrazione delle credenziali sarebbe poi il sistema utilizzato dal sito Web dell'ISP americano AT&T:

att

Gli unici caratteri speciali ammessi sarebbero quindi gli underscore ed i trattini, riducendo la complessità delle password utilizzabili.

Il sito Battle.net, noto store di videogiochi, presenterebbe invece un altro difetto:

battlenet

Durante la creazione del proprio account sarebbe consentito inserire nella password solo un numero o un carattere alfabetico e non i caratteri speciali.

Nella pagina di Github di Dumb Password Rules è possibile trovare quasi un centinaio di esempi del genere. Sembrerebbe quindi che un gran numero di grandi aziende non abbia consapevolezza dei rischi di sicurezza a cui si va incontro permettendo agli utenti di usare password poco sicure.

Creare una password robusta è un'operazione relativamente semplice, basta affidarsi ad uno dei numerosi Passowrd Manager presenti sul mercato. Questi applicativi possono generare automaticamente delle nuove password molto difficili da violare, anche con più di 30 caratteri, ed spesso offrono anche un servizio di sincronizzazione tra più device in modo da tenere le proprie credenziali sempre con sé.

Inoltre moltissimi password manager supportano il login tramite impronta digitale oppure con il riconoscimento del volto.

I siti web dal canto loro dovrebbero iniziare ad applicare regole più severe per la creazione delle credenziali d'accesso e magari iniziare anche ad adottare dei sistemi di autenticazione standard come webauthn API.

Via GitHub

Ti consigliamo anche

Hacker cinesi sfruttano una falla zero-day di FortiClient VPN
Sicurezza

Hacker cinesi sfruttano una falla zero-day di FortiClient VPN
Truffe tramite QR code in aumento: come riconoscerle e difendersi
Sicurezza

Truffe tramite QR code in aumento: come riconoscerle e difendersi
Pirateria: chiusa una rete IPTV illegale, 1,3 milioni di utenti colpiti
Sicurezza

Pirateria: chiusa una rete IPTV illegale, 1,3 milioni di utenti colpiti
Hacker cinesi infiltrano T-Mobile: esposti dati sensibili negli USA
Sicurezza

Hacker cinesi infiltrano T-Mobile: esposti dati sensibili negli USA