Wikipedia

Password: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
m Passwordless o Passkey: Corretto un collegamento che portava a una "pagina di disambiguazione"
Ortografia
Riga 25:
* Si consiglia inoltre di non registrare le proprie password sul PC, perché queste potrebbero essere scoperte tramite l'uso di semplici programmi.
* Quando si termina di utilizzare un sito, occorre non limitarsi a chiudere la relativa finestra del ''browser'' (nel computer ''client'') perché la connessione rimane comunque aperta sul ''server'' del sito e un altro utente tramite lo stesso terminale (PC, smartphone. ecc) può entrare facilmente nel nostro ''account'', digitandone l'indirizzo. Ciò vale soprattutto se ci si collega da un computer pubblico, oppure tramite il cellulare e computer personale ma collegati tramite una rete pubblica wireless non cifrata e non protetta da password personale. È invece necessario terminare la connessione, dal percorso ''nomeutente''>esci oppure da ''nomeutente''>disconnetti. Vari siti consentono di vedere le molteplici connessioni rimaste attive nel tempo da terminali fissi o mobili, e che insistono su un unico ''account'', per poi terminarle manualmente una per una: più raramente prevedono una opzione per cui l'ultimo utente che si connette automaticamente disconnette tutti gli altri, oppure una opzione di ''time-out'' che disconnette automaticamente dall{{'}}''account'' un terminale dopo alcune ore di inattività.
* tramite un [[keylogger]] installato da terzi sul terminale personale è possibile registrare l'intera navigazione Internet, vale a dire ogni singolo carattere digitato con la tastiera e ogni click del ''mouse'', abbinadoliabbinandoli ai relativi siti, inclusi user e password di accesso.
* Si sconsiglia l'utilizzo di password e l'invio di informazioni sensibili tramite connessioni non crittografate. Un utente malintenzionato può utilizzare strumenti per eseguire diversi attacchi tra cui man-in-the-middle e/o sniffing, ottenendo così l'accesso a tutte le informazioni scambiate. Durante la visualizzazione di una pagina web accertarsi di visualizzare un'icona con lucchetto verde, che significa che la connessione è crittografata.<ref>{{Cita web|url = https://generatorepassword.win|titolo = Generatore di password|accesso = 2018-04-09|lingua = it|sito = Generatore Password|urlarchivio = https://web.archive.org/web/20180614122113/https://generatorepassword.win/|dataarchivio = 14 giugno 2018|urlmorto = sì}}</ref>
 
== Passwordless o Passkey ==
La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata (infatti, è una delle operazioni piupiù semplici per un attaccante ''cybercrime''). Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente tramite una funzione del sistema operafivooperativo o utilizzando un account web che utilizza un certificato digitale), l'autorizzazione può esereessere fornita mediante: mail (codice stile OTP) o azione positiva su tasto nel testo del messaggio, telefonata, SMS e relativa azione positiva (OTP o testo risposta o rimando a collegamento a servizio web di raccolta autorizzazione), dispositivo hardware ([[Token (sicurezza)|token]] stile gettone, token stile chiavetta con visualizzatore o tasto, chiavetta USB da inserire<ref>La chiavetta USB è formattabile inavvertitamente mentre la chiavetta dedicata non ha questo rischio ma ha quello che la pila di alimentazione possa scaricarsi; il token a gettone o scheda non hanno ambo gli inconvenienti.</ref>), app di autenticazione, telefonino ovvero il relativo token di sicurezza integrato (notifica via bluetooth o rete telefonica o wireless approvata o segno su bloccaschermo o PIN), NFC, VPN, codice QR, impronta biometrica, sequenza in bloccaschermo su monitor a tocco, riconoscimento facciale, servizio autenticazione di terze parti. A volte i singoli elementi possono agire congiunti (ma su 2 canali diversi), sia quando serve elevato tasso di sicurezza (operazioni critiche) sia per disporre di un eventuale recupero di emergenza quando uno dei due non fosse disponibile (ad esempio: lettura biometrica + PIN o consenso via notifica telefonino + OTP via chat). Perché la procedura passkey sia adeguata occorre che i vari dispositivi o servizi siano supportati da certificati firmati da autorità accreditate. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica o la batteria carica e questo potrebbe rappresentare un rischio (il token fisico stile gettone, ad esempio, supera questo inconveniente). Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire l'autorizzazione (tipico quando si usano chiavi hardware di sicurezza) o il consenso nella notifica dello smartphone e comunque tutti necessitano di [[signup]] iniziale (enrollment).
 
Come dice [[Microsoft]]<ref>{{Cita web|url=https://learn.microsoft.com/it-it/entra/identity/authentication/concept-authentication-passwordless|titolo=Opzioni di autenticazione senza password per Microsoft Entra ID|accesso=25/02/2024}}</ref> "i metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica o un'informazione nota". Anche [[Google]] ed [[Apple]] incoraggiano il passwordless. Inoltre, è intrinsecamente molto più sicuro perché il malintenzionato deve avere o accesso fisico o possedere contemporaneamente più elementi di autenticazione in un certo istante e per un lasso di tempo brevissimo: invece la password è un solo elemento, scovabile da remoto, a volte facilmente aggirabile.
Estratto da "https://it.wikipedia.org/wiki/Password"