Buongiorno cari lettori di Tecnogalaxy, oggi vi andremo a parlare del problema della reimpostazione della password dopo averla accidentalmente dimenticata.

Le applicazioni/siti devono tenere conto della frequenza con cui gli utenti dimenticano le password. Questo apre un potenziale punto debole perché chiunque può richiedere una nuova password per conto dell’utente. La reimpostazione di una password richiede l’invio di un token all’indirizzo e-mail di un utente.

Problemi di sicurezza da considerare:

Attacchi Brute force

Questa è una minaccia comune per tutte le applicazioni web. Gli aggressori possono tentare di rilevare schemi nei token di reimpostazione della password, ad esempio se derivano dall’ID utente di un utente, dall’ora in cui si sono registrati, dalla loro e-mail o da qualsiasi altra informazione. Gli aggressori possono anche provare tutte le possibili combinazioni di lettere e numeri (Brute force), e possono persino avere successo se i token generati non sono abbastanza lunghi o casuali. 

Furto dal database dei token di reimpostazione della password

Esistono diversi modi in cui un hacker può ottenere l’accesso al database di un’applicazione: attacchi SQL injection, mirando alle vulnerabilità del database senza patch e sfruttando i servizi di database inutilizzati. Potrebbero persino ottenere l’accesso se qualcuno non ha aggiornato le credenziali di accesso predefinite.

Un altro punto di attacco correlato è l’uso di JWT come token di reimpostazione della password. Sebbene ciò semplifichi lo sviluppo per i programmatori, porta un rischio che se la chiave segreta utilizzata per firmarli viene compromessa, la si può utilizzare per generare il proprio JWT valido. Ciò consentirebbe di reimpostare la password di qualsiasi utente.

Riutilizzo dei token esistenti

Per semplicità di sviluppo, si potrebbe essere tentati di archiviare un token di reimpostazione della password “statico” per utente. Questo token potrebbe essere generato in modo casuale all’iscrizione dell’utente o in base all’hash della password o ad altre informazioni.

Ciò a sua volta implica che questi token non possono essere archiviati nel database, poiché dovremo inviare questo token tramite e-mail. Quindi, se il database è compromesso, questi token possono essere utilizzati per reimpostare la password di un utente.

Rubare i token dall’indirizzo email

Gli aggressori possono ottenere l’accesso all’account di posta elettronica di un utente tramite il hacking dell’indirizzo mail. Questo di solito accade con il phishing, ingegneria sociale che inducendoli a inserire le proprie credenziali in un modulo di accesso fasullo. Una volta che hanno accesso all’e-mail di un utente, possono attivare un collegamento per la reimpostazione della password e ottenere l’accesso all’account dell’utente.

Per evitare tutti questi problemi di hacker che intercettano il momento in cui si resetta la password per appropriarsi del nostro account, andiamo proprio all’apice del problema cioè perché ci dimentichiamo le password? Ecco alcune possibili risposte:

  • Impostando password complesse per rendere i nostri account più sicuri
  • Avendo impostato numerose password diverse tra le varie piattaforme

La reimpostazione delle password:

Ormai sono decenni che resettiamo le nostre password e la situazione anche se andiamo avanti nel tempo con le evoluzioni tecnologiche non cambia. Questo causa però oltre a un momento di pericolo anche una perdita di tempo che potrebbe essere utilizzato in modo migliore. 

Per comprendere meglio le conseguenze ExpressVPN ha condotto un’indagine intervistando persone provenienti da Stati Uniti, Regno Unito, Francia e Germania. Gli intervistati hanno fornito una prospettiva comune sulla reimpostazione delle password e su ciò che potremmo fare con il tempo che perdiamo a causa delle password dimenticate.

La media del tempo sprecato per cambiare una password nei quattro Paesi è di tre minuti e 46 secondi. Tuttavia, ci sono degli intervistati che hanno impiegato più di quattro minuti e altri ancora in una piccola percentuale hanno impiegato oltre 10 minuti.

Le password bancarie sono le più dimenticate

Le password bancarie sono da circa il 30% degli intervistati le più spesso dimenticate, essendo poco utilizzate a differenza di quelle dei social media che arrivano a 24%, invece per i siti di shopping  raggiungono un 16%, infine i siti e le app di intrattenimento 9% e i videogiochi online solo l’8%.

Ecco la soluzione per avere password sicure e poterle memorizzare senza dover mai resettarle:

Per la maggior parte degli ultimi vent’anni, ci è stato consigliato di utilizzare password complesse che quindi sono formate da una stringa di testo maiuscole, minuscole e simboli casuali, poiché sarebbero state più difficili da violare, utilizzando la tecnica del brute force. Di conseguenza, password come “MduJòGn*285>” sono tra le più funzionali. Le password dovrebbero essere lunghe circa 17 caratteri e non ripetute tra i diversi account. In generale, il problema è ricordarle La soluzione è usare un password manager.

I gestori di password sono il modo più sicuro per memorizzare le password, dato che ti basterà ricordare una sola password per accedere al gestore il quale ti consentirà l’accesso e l’utilizzo di tutte le altre password. Un esempio di programma è ExpressVPN Keys, cioè un gestore di password che è molto facile da usare, essendo un’integrazione gratuita nel software ExpressVPN. Al momento del lancio funziona come estensione di Chrome su Windows, Linux e macOS e sarà integrato nell’app ExpressVPN su iOS e Android.

Se utilizzi ExpressVPN su Windows, macOS o Linux, dovrai creare un account, quindi scaricare e installare l’app ExpressVPN. Solo una volta fatto ciò puoi iniziare a installare le estensioni del browser e configurare il software su diversi dispositivi. L’interfaccia di ExpressVPN è semplice e affidabile. Se desideri salvare una password, si visualizza una finestra sulla tua pagina di accesso e dopo esserci entrato ti viene presentato un elenco in chiaro e ben organizzato di dati salvati. È anche possibile aggiungere note alle password salvate.

Tornando a parlare in generale buona parte, se non tutti, i gestori di password precompila automaticamente i campi di accesso per i siti e i servizi utilizzati, offrendo una maggiore comodità.

Quindi tornando al dilemma/problema che ci siamo posti di rispondere con questo articolo consisten nel non ricordarsele affatto dato che ci sarà già il programma che lo fa al posto tuo, l’unica cosa che dovrai ricordarti è un’unica password e cioè quella generale per usufruire del gestore di password.

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.