Siamo abituati a pensare che i siti più famosi del Web siano anche i più sicuri, eppure forse ci sbagliamo. Steven Furnell, professore dell’Università di Plymouth, conduce da undici anni una ricerca volta a studiare le abitudini degli utenti in materia di password. Il campione di indagine comprende dieci tra i migliori siti in inglese: Google, Wikipedia, Facebook, Reddit, Twitter, Instagram, Amazon, Yahoo, Microsoft Live e Netflix. Secondo la testata Techcrunch, che ha divulgato il report di Furnell, i tre portali con le “best password practices” sarebbero Google, Microsoft e Yahoo. Di contro, tra i peggiori figurano Reddit, Wikipedia e, a sorpresa, Amazon. Sembrerebbe infatti che la piattaforma di Jeff Bezos accetti qualsiasi tipologia di chiave, incluso username, il cognome dell’utente e l’immarcescibile “password”.
Tali mancanze lasciano alquanto perplessi, dal momento che un accesso da parte di attori malintenzionati rappresenta un pericolo molto maggiore se effettuato su un account Amazon rispetto a Wikipedia, che non registra dati sensibili come le carte di credito. Secondo la ricerca, anche Netflix e Reddit accettano la parola “password” in fase di registrazione, mentre l’enciclopedia libera non richiede un numero minimo di caratteri.
Il problema comune a tutti i siti analizzati è, però, la mancanza di istruzioni per gli utenti, che si ritrovano a inserire una stringa e a doverla modificare di volta in volta in base alle richieste della piattaforma. Sarebbe invece molto più utile, ad esempio, che elencassero sempre i requisiti richiesti per la creazione della chiave, spiegano anche le ragioni alla base di tali richieste. In questo modo le persone sarebbero spronate a inventare codici alfanumerici più complessi.
Fonte: Università di Plymouth
D’altro canto, il progetto di Furnell evidenzia passi da gigante nell’autenticazione a due fattori, che si spera si sposti agli Sms o ad applicazioni specifiche (come Google Auth) in quanto considerati strumenti più efficaci della sola password. La conclusione del report è, comunque, la stessa degli anni precedenti: sebbene l’utilizzo dei due fattori sia un inizio, quello della sicurezza dei codici di autenticazione è un serio problema, per il quale si continua a “incolpare gli utenti” per il modo in cui li elaborano e non le piattaforme che, invece, li approvano senza battere ciglio.