La gestione delle password. Strumenti disponibili e OpenID

Dalla nascita di Internet il problema dell'identità digitale si è evoluto moltissimo, soprattutto grazie all'introduzione del commercio elettronico che ha raggiunto cifre molto significative e ad oggi non accenna a diminuire la sua crescita. Inizialmente infatti il processo di autenticazione e di identificazione di un utente era limitato ad un numero piuttosto ristretto di persone, provenienti dall'ambiente universitario o addetti ai lavori, per un ambito molto limitato di servizi (come per esempio la posta elettronica).

È proprio l'esplosione della disponibilità di servizi che ha alimentato la crescita di Internet e ne ha permesso la diffusione a un pubblico su larga scala, di diversa estrazione culturale e sociale. Dai customer care online delle aziende, all'internet banking fino ai più recenti social network e alle applicazioni “mobile”, che hanno cambiato l'approccio ai dispositivi portatili e al mondo della rete. La complessità del problema dell'identificazione si amplifica quando il riconoscimento dell'utente deve avvenire su vari canali garantendo agli utilizzatori un adeguato livello di usabilità, soddisfazione e sicurezza.

Ciononostante, ad oggi il metodo più utilizzato per l'autenticazione rispecchia ancora il modello iniziale che prevede l'inserimento da parte dell'utente di qualcosa che conosce, ovvero la coppia identificativo e parola chiave note come username e password.

Il metodo delle password non costituisce una buona forma di autenticazione per vari motivi, queste sono certamente facili da usare, ma sono altrettanto facili da rubare.
Le password possono essere sottratte con tecniche di social engineering, tramite phishing, con un trojan o un malware nel computer, oppure possono essere intercettate se trasmesse su canali in chiaro o recuperate dai sistemi se memorizzate in maniera non sicura. L'incuria, le misconfigurazioni o i bug espongono, infatti, i sistemi che conservano i dati (e le password) a rischi d'intrusione e di furto.

C'è poi da considerare il fenomeno del riutilizzo delle credenziali e della scarsa complessità nella loro scelta. Spesso si è inclini all'inserimento della stessa parola chiave per vari servizi (es. posta elettronica, blog, social network, ecc.) e il più delle volte si tratta di termini comuni e facili da ricordare, come potrebbe essere la propria data di nascita. La sottrazione quindi o addirittura il guessing (indovinare) di una sola di esse potrebbe compromettere svariate identità digitali.

 

Per approfondimenti: http://dem4n.com

SCARICA TUTTO L'ARTICOLO