Google dichiara guerra alle password

Per Google il sistema attuale è troppo insicuro: la soluzione è una chiavetta con tutti i dati per l'identificazione. E assolutamente da non perdere.



[ZEUS News - www.zeusnews.it - 21-01-2013]

Yubico Google

Può forse sembrare strano a dirsi, ma uno dei punti deboli che maggiormente necessitano di attenzione, quando si tratta di sicurezza, è rappresentato dalle password.

Scegliere password banali, o riutilizzare più volte la stessa password sono due delle pratiche più pericolose e allo stesso tempo diffuse che si possano riscontrare tra i frequentatori della Rete e a cui bisogna aggiungere i sempre frequenti tentativi di phishing.

Anche Google è sempre più consapevole del fatto che lo strumento cui è affidata la sicurezza degli account è anche una debolezza e, per questo motivo, ha deciso di iniziare a muovere i primi passi verso sistemi alternativi.

Ti raccomandiamo anche:
Apple, Google e Microsoft svelano il sistema che eliminerà le password
Google, lenti a contatto al posto delle password
Google identifica l'utente con una chiavetta USB
Password facili da ricordare ma sicure

Non che non ci abbia già provato in passato: un paio d'anni fa introdusse il login in due passaggi, che prevede l'invio di un codice segreto, via SMS, all'utente che effettua il login e che deve inserire tale codice insieme alla password.

Anche questo escamotage, però, si è rivelato vulnerabile agli attacchi di phishing, perché in questi casi è l'utente che deve fare attenzione e un sistema basato sull'inserimento di codici e password non può fare niente per proteggerlo, se decide di inserire tali codici e tali password dove non deve.

Con uno studio che verrà pubblicato nel corso di questo mese sullo IEEE Security & Privacy Magazine, Google propone una soluzione alternativa al tempo stesso nuova e vecchia.

Leggi anche:
Da Mastercard la carta di credito con display e tastiera
Internet, sempre più teenager tengono i genitori all'oscuro
Violano i computer della scuola per alzarsi i voti
Quanto è difficile scegliere una password complessa

L'azienda di Mountain View propone infatti - e in realtà sta già sperimentando - di sostituire l'accoppiata username/password con dei dispositivi fisici per l'identificazione, in pratica dando nuova vita all'idea - non esattamente nuova - dei token hardware.

Nell'edizione 2013 e marchiata Google, i token per l'identificazione possono assumere varie forme. Una è quella di chiavetta USB come quelle prodotte dalla Yubico e contenenti i dati necessari: per identificarsi presso i servizi web (come Gmail, Google+, Google Drive e via di seguito), l'utente non dovrebbe fare altro che inserire la chiave in una porta USB.

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (6150 voti)
Leggi i commenti (17)
Articoli suggeriti:
Coltellino svizzero USB, dati inaccessibili dal 15 settembre
Dropbox, confermate le violazioni degli account
Mamma diventa hacker per salvare la figlia dalla bocciatura
Sette suggerimenti per il tuo smartphone

Questo sistema è già stato provato da Google adoperando una versione di Chrome modificata per poter funzionare con le chiavi di Youbico. Il vantaggio sta nel fatto che la soluzione è multipiattaforma perché non occorre scaricare software aggiuntivo ma è sufficiente il supporto da parte del browser: potenzialmente, dunque, ogni browser potrebbe adottarla.

L'evoluzione poi può portare il token ad assumere altre forme e altre modalità dei trasmissione dei dati: non è obbligatorio avere una chiavetta da inserire nella porta USB, si può avere un oggetto di qualsiasi forma (Google ipotizza un anello contente il chip di memoria coi dati, così da avere il token sempre con sé) che comunica senza fili, per esempio tramite Bluetooth.

In questo modo si elimina alla radice il rischio del phishing, dato che non c'è nulla da inserire via tastiera, ma ovviamente il rovescio della medaglia sta ancora una volta nella sbadataggine dell'utente, che dovrà fare attenzione a non perdere la preziosa chiavetta, il prezioso anello (al netto di reminiscenze di letteratura fantasy) o che altro.

Proposte di lettura:
Quindici consigli per rendere le proprie password sicure
Furto di password da Yahoo! ma non solo
Vacanze hi-tech, come sopravvivere all'estate
MySQL, accesso root in pochi secondi

«Ci piacerebbe» - scrivono gli autori della ricerca - «che lo smartphone o l'anello con smartcard integrata possano autorizzare l'accesso da un nuovo computer con un semplice tocco al computer stesso, anche in situazioni in cui il telefono può non avere una connessione cellulare disponibile».

Uno scenario di questo tipo può diventare realtà solo se viene adottato su larga scala: ecco perché Google sta cercando altri siti che vogliano unirsi alla sperimentazione e perché ha sviluppato un protocollo (di cui ancora non conosce il nome) per gestire l'autenticazione basata su token che non solo, come detto già per le chiavette di cui abbiamo parlato, non richiede software aggiuntivo ma solo il supporto da parte del browser ma impedisce anche ai siti di adoperare questa tecnologia per tracciare gli utenti.

Ti raccomandiamo anche:
LinkedIn, compromessi 5 account su 100
Protezione biometrica a telefonino, tablet, Pc
WiFi Pineapple sniffa le password e molto altro
Le password al sicuro nel cloud

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
LinkedIn, compromessi 5 account su 100
Protezione biometrica a telefonino, tablet, Pc
WiFi Pineapple sniffa le password e molto altro
Le password al sicuro nel cloud
Smarrire il telefonino, brutto affare
Dodicenne fa causa alla scuola per ricerca su Facebook

Commenti all'articolo (ultimi 5 di 32)


mda
Ciao che è meglio tanto siamo OT!
30-1-2013 18:46
spacexplorer
le "mie notizie" sono parziali?! Mda io non voglio flame ma tu li cerchi proprio! Hai scritto una massa di idiozie in pseudoitaliano smentendoti da solo da un post all'altro, fai tu. Qui non c'è da rimanere sulle proprie posizioni, qui c'è da separare ciò che esiste da ciò che è elaborazione fantasiosa!
30-1-2013 14:48

mda
Adesso capisco il perchè dici quello che dici. le tue notizie sono parziali e quindi pensi che siano complete. Va bé allora è inutile parlarne dato anche che ognuno rimane su sue posizioni. Ciao
30-1-2013 14:38
spacexplorer
mda, io son sempre disposto a parlare, ma io tuo stile e le notizie che porti non rendono molto facile il dialogo... Alcune precisazioni: Eclipse e Netbeans sono IDE e più in generale delle piattaforme di sviluppo scritte in Java. Non in C in alcuna loro parte se non eventuali plugin o progetti di terze parti che usino librerie JNI.... Leggi tutto
29-1-2013 13:27

mda
No. È SOLO PER PARLARE. Anch'io dicevo che la costruzione di Eclipse e Netbin erano derivazioni AWT, ma poi si dovono dovute basare su librerie in C. JavaFX è diverso è l'unico caso in cui Java implementa codice sia per il web che per GUI locali, non lo vedo ancora pronto ma lo sviluppo promette bene. QtQuick è una riscrittura... Leggi tutto
28-1-2013 19:36
Leggi gli altri 27 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la più pericolosa?
1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non è ciò che sembra: sono tutti sistemi che possono installare malware nei PC.
3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
4. Il social engineering è causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finché questi non paga una somma per sbloccarli.

Mostra i risultati (2595 voti)
Febbraio 2025
n. 3888 del 21-02-2025
Majorana 1, il rivoluzionario chip quantistico di Microsoft
n. 3887 del 19-02-2025
TIM, altri aumenti in vista
n. 3886 del 17-02-2025
Musk + Cobol = cigno nero
n. 3885 del 13-02-2025
Satispay, commissioni anche per gli acquisti sotto i 10 euro
n. 3884 del 11-02-2025
Il Governo potrebbe usare le Poste per fermare l'arrivo di Iliad in TIM
n. 3883 del 08-02-2025
Iliad, voci di fusione con TIM
n. 3882 del 05-02-2025
Windows 11, Microsoft rimuove le istruzioni per aggirare i requisiti
Gennaio 2025
n. 3881 del 31-01-2025
Iliad, è arrivata l'app per smartphone
n. 3880 del 29-01-2025
DeepSeek, la IA cinese che fa tremare le aziende occidentali
n. 3879 del 24-01-2025
Intelligenza artificiale usata bene
n. 3878 del 22-01-2025
Google Maps diventa meno ficcanaso
n. 3877 del 19-01-2025
Windows 11 24H2, iniziano le installazioni automatiche
n. 3876 del 16-01-2025
Windows 10, il nuovo Outlook si installa a forza
n. 3875 del 13-01-2025
WEF: in cinque anni la IA si prenderà il vostro lavoro
n. 3874 del 10-01-2025
L'Unione Europea multa sé stessa
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 23 febbraio
2024
Gemini si copre di ridicolo con la generazione di immagini
2023
WhatsApp, utente cambia numero e si ritrova i messaggi di qualcun altro
2022
Facebook brucia 500 miliardi di dollari: è l'inizio della fine?
2021
Elettrodomestici, A+++ può diventare B o C
2019
Il ransomware che prende di mira i NAS D-Link (e presto i PC con Windows)
2017
Chi controlla la tua macchina a tua insaputa?
2016
Ospedale USA paga 17.000 dollari di riscatto
2015
Quando non usare smartphone e cellulari
2014
L'Agcom e quella voglia insopprimibile di censurare il web
2013
Usa, centomila firme per lo sblocco legale degli smartphone
2012
YouPorn, oltre 6.000 utenti alla berlina
2011
L'organo a floppy suona la Toccata e Fuga in re minore
2010
La mappa delle videocamere è sul Web
2009
Nemmeno Microsoft.com è compatibile con Internet Explorer 8
2008
Zio Sam ha preso due piccioni con una sola fava
2007
Phishing e Pharming, i gemelli terribili
2005
Anche al Papa piace Internet
2004
Yahoo Italia sciopera
2002
Un sito per Mani Pulite
Olimpo Informatico


 
web metrics