Sei in Hi tech

Google e l'annoso problema delle password

di Riccardo Anselmi -

16 agosto 2019, 19:21

Google e l'annoso problema delle password

Google torna sull’annoso problema delle password, il sistema ancora oggi più utilizzato per autenticarsi online che però, agli occhi degli esperti, garantisce sempre meno sicurezza. Affinché possa dirsi abbastanza forte, una parola d’ordine ha raggiunto ormai livelli di complessità tali da essere poco praticabile, al di fuori dei password manager, quei programmi che raccolgono i vari login e ce li ricordano quando serve. La via d’uscita più immediata secondo molti addetti è la cosiddetta autenticazione a due fattori, con la quale autorizzare di volta in volta un accesso attraverso l’invio di un codice temporaneo su un determinato dispositivo. Si tratta dell’unica barriera in grado di rendere in questo momento la vita difficile a chi sta provando a violare un account. La password da sola, per quanto creata in maniera rigorosa, non viene più considerata sufficiente. Esistono numerosi modi per rubarla, tra cui quello alla fonte: i famosi data breach che espongono al mercato nero le credenziali di milioni di ignari utenti. Oltre al sito Have I been opwned, creato già da alcuni anni dall’esperto di sicurezza informatica Troy Hunt per monitorare il fenomeno, adesso si possono installare direttamente nel browser estensioni ufficiali che verificano se gli account ai quali accediamo figurano negli elenchi di quelli compromessi. L’add-on di Mozilla si chiama Firefox monitor, mentre Google ha sviluppato per Chrome il Password checkup. Fanno all’incirca la stessa cosa, incrociano cioè i dati e avvisano nel caso in cui ciò che digitiamo risulti in una delle rubriche conosciute del sottobosco hacker, un database semi-pubblico che attualmente conta qualcosa come quattro miliardi di credenziali rubate. Chi rientra tra gli account compromessi è bene corra subito ai ripari, cambiando in primis la password con una nuova, che deve essere univoca, ossia diversa per ciascun sito o servizio al quale si accede (in modo che con una stessa chiave i malintenzionati non possano aprire tutte le porte), e non scontata, quindi niente date, parole di senso compiuto o codici semplici, optando piuttosto per sequenze alfanumeriche di almeno una quindicina di caratteri. Certo, ci si può organizzare con vari escamotage (a cominciare dai classici foglietti), ma appare chiaro il motivo per cui Google proprio in questi giorni abbia ribadito la volontà di dire addio al concetto stesso di password, in favore di altri metodi, più sicuri anche perché più facili da gestire da qualsiasi utente: con Android 7 e successivi, per accedere ai servizi online di big G e man mano di altri fornitori, basteranno d’ora in avanti i sistemi di autenticazione del telefonino, come l’impronta digitale, con il dispositivo fisico che si trasforma in una sorta di chiave universale del web.