password

La missione di Google: no alle password riutilizzate

Google sta lanciando uno strumento chiamato Password Checkup per impedire agli utenti di utilizzare la stessa password su più servizi
La missione di Google: no alle password riutilizzate FASTWEB S.p.A.

"Le password sono una delle peggiori cose su Internet", ha dichiarato a The Verge Mark Risher, direttore senior di Google per la sicurezza degli account, identità e abusi. Sebbene siano essenziali per la sicurezza e per aiutare le persone ad accedere a molte app e siti Web, "sono uno dei modi principali, se non quelli primari, in cui le persone finiscono per essere compromesse".

È un'affermazione quantomeno strana, per un dirigente della sicurezza di Google, anche perché l'ultima volta che avete effettuato un accesso a Gmail, probabilmente avete inserito una password. Ma l'azienda ha cercato di allontanare gli utenti da questo modello per anni, o almeno minimizzare il danno. E nelle prossime settimane, uno degli strumenti più silenziosi di Google in questa lotta - la funzione Password Checkup - otterrà un profilo più elevato, poiché si unirà alla dashboard di Security Checkup integrata in ogni account Google.

Risher ha ragione a essere preoccupato. Sebbene sia possibile utilizzare uno strumento come un gestore di password per tenere traccia degli accessi, molte persone finiscono per riutilizzare le stesse password. Il 52% delle persone riutilizza la stessa password per più account, secondo i risultati di un sondaggio pubblicato nel febbraio 2019 da Google e dalla società di sondaggi Harris. Il 13% ha riutilizzato quella password per tutti i propri account. E Microsoft ha dichiarato nel 2019 che 44 milioni di account Microsoft hanno utilizzato accessi che erano già trapelati online.

Sebbene il riutilizzo delle password possa essere un modo per ricordarla facilmente, questa pratica può mettere in pericolo le vostre informazioni personali. Se la password riutilizzata viene scoperta all'interno di una violazione dei dati, gli hacker potrebbero avere la chiave per entrare nei vostri account, indipendentemente dalla complessità della password che avrete scelto. "Sappiamo, da altre ricerche che abbiamo fatto in passato, che le persone a cui i loro dati sono stati esposti a causa di una violazione dei dati hanno una probabilità 10 volte maggiore di essere hackerate, rispetto a una persona che non è esposta", ha affermato Kurt Thomas, membro del team di ricerca anti-abuso e di sicurezza di Google.

Google ha cercato di aiutare gli utenti a sviluppare migliori abitudini sul discorso password. Per anni, l'azienda ha offerto un gestore di password integrato negli account Google su Chrome e Android che poteva salvare le password e inserirle automaticamente su siti Web e app, ad esempio.

Ma nell'ultimo anno, Google ha anche lavorato per aiutare gli utenti a rendere le password migliori con Password Checkup. Questo strumento controlla gli accessi rispetto a un database di 4 miliardi di credenziali trapelate, verificando se la password che state digitando corrisponde ad una già trapelata. È stato lanciato prima come estensione di Chrome a febbraio 2019 e Google lo ha inserito negli account Google a ottobre e in Chrome a dicembre. La società ha accesso a miliardi di password e questo servizio potrà integrarsi con gli strumenti di sicurezza degli account su cui molte persone fanno già affidamento.

Capire come consentire a Password Checkup di contrassegnare le credenziali compromesse in modo rispettoso della privacy è stato un duro problema tecnico che ha richiesto uno sforzo combinato di Google e Stanford. La sfida consisteva nel trovare un modo per verificare automaticamente le credenziali di un utente rispetto a un database di accessi violati senza rivelare tali informazioni a Google o dare ad un utente accesso all'intero database, il tutto ridimensionando quella soluzione all'enorme base di utenti di Google, hanno affermato i ricercatori di entrambe le organizzazioni.

Per fare ciò, Google archivia una versione con hash e crittografata di ogni nome utente e password noti esposti da una violazione dei dati. Ogni volta che accederete ad un account, Google vi invierà una versione con hash e crittografata delle vostre informazioni di accesso a quel database. In questo modo, Google non potrà vedere la vostra password e voi non potrete vedere l'elenco di accessi compromessi di Google. Se Google rileverà una corrispondenza, mostrerà un avviso che consiglia di modificare la password per quel sito.

Google ottiene informazioni su accessi compromessi da "più fonti diverse e partner di fiducia", ha affermato Thomas, inclusi i forum deep in cui i dump delle password sono condivisi apertamente. "Abbiamo una politica etica secondo cui non pagheremo mai i criminali per i dati rubati", ha continuato. "Ma proprio in virtù di come funzionano questi mercati, questi dati diventeranno sempre più disponibili". Utilizzando infiltrati in quei mercati, l'azienda può acquisire questi dati.

Password Checkup ha impiegato circa due o tre anni dall'inizio per fare la sua comparsa in molti prodotti Google, secondo Thomas. In linea di principio, Google vuole che il Controllo sicurezza invii un'email quando rileva che un accesso archiviato è stato compromesso in una violazione dei dati. Alla fine di quest'anno, Google mira a consentire alle persone di utilizzare Password Checkup in Chrome anche se questi non hanno effettuato l'accesso a un account Google.

Google non è l'unica azienda a offrire una sorta di funzionalità di controllo password. Il gestore di password a pagamento 1Password consiglia di modificare le password deboli o duplicate e offre anche Watchtower, che controlla gli accessi sul database Have I Been Pwned di Troy Hunt, con oltre 9 miliardi di account compromessi, e contrassegna tutti gli abbinamenti. E Apple ha annunciato ieri che la sua prossima versione di Safari avrà uno strumento di monitoraggio della password che sembra funzionare in modo simile a Password Checkup.

Google però ha un vantaggio nell'aiutare le persone con le loro password grazie alle sue enormi dimensioni. E strumenti come Password Checkup e Gestione password integrata consentono di raggiungere un obiettivo più ampio per semplificare la sicurezza online per gli utenti.

"Quello che vorrei dalla sicurezza online - e il motivo per cui penso che Password Checkup ne sia un buon esempio - è rendere più semplice alle persone non esperte di fare la cosa giusta", ha detto il responsabile della sicurezza Royal Hansen a The Verge. "Non si tratta di avvisare quando ci sono problemi", ha detto. "Si tratta di rendere più facile fare il passo più semplice."

Fonte: theverge.com
Condividi
Ebook
Sicurezza in Rete: cosa c'è da sapere
Scarica subito l'eBook gratuito e scopri cosa bisogna assolutamente sapere per proteggere i propri dispositivi e i propri dati quando si utilizza la Rete
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail