La forma più elementare di autenticazione dell'utente, in particolare sul Web, è il protocollo di autenticazione della password. Questo metodo di autenticazione ti obbliga a ricordare le combinazioni nome utente/password per accedere ad account o sezioni speciali di un sito web. Sebbene efficaci e in qualche modo fondamentalmente parte integrante della sicurezza online, i protocolli di autenticazione delle password falliscono quando non li affronti seriamente. Ciò significa costruire password complesse e mantenere la segretezza. Ciò significa anche che le entità che implementano l'autenticazione della password devono salvaguardare le password in qualche modo.
Attacchi di forza bruta e complessità
In genere non puoi indovinare una password a meno che tu non sappia qualcosa sull'utente di quella password, e solo se la password rappresenta qualcosa di conoscibile su quell'utente. I programmi per computer, tuttavia, possono lanciare attacchi di forza bruta ai sistemi di password. Ciò significa che un programma legge letteralmente un dizionario di termini fornito, provando ogni parola fino a quando la combinazione di caratteri corretta non interrompe la password. In genere, proteggersi da questi attacchi richiede la creazione di password complesse che includano numeri, lettere e simboli speciali, che possono essere difficili da ricordare.
Archiviazione e crittografia
Quando si utilizza l'autenticazione con password, è necessario memorizzare password e nomi utente in un database per autenticare gli utenti. Se non disponi di un'elevata sicurezza del server, qualcuno può entrare nel database e leggere le password. Un modo per risolvere questo problema è utilizzare l'"hashing" della password, che implica l'esecuzione della password tramite un algoritmo hash che produce un valore univoco basato sulla password e memorizza il valore hash invece della password stessa. Se il database viene violato, l'attaccante può leggere solo gli hash e non ha idea di quali siano le password. Tuttavia, l'hashing in questo senso esiste solo a causa della debolezza intrinseca dell'autenticazione con password in testo semplice.
Segretezza e uso pubblico
Come molte persone, probabilmente usi Internet in luoghi pubblici come biblioteche o caffè. Inevitabilmente, probabilmente accederai anche a vari siti Web utilizzando le password mentre ti trovi in questo luogo pubblico. Ciò introduce molteplici problemi di sicurezza inerenti all'autenticazione della password. Per prima cosa, qualcuno fisicamente vicino a te potrebbe guardarti alle spalle e leggere la tua password, oppure guardare la tua tastiera e annotare i tuoi tasti. In secondo luogo, qualcuno connesso alla rete potrebbe tentare di intercettare le informazioni sulla password durante l'accesso utilizzando programmi di rete che monitorano l'hot spot Wi-Fi locale.
Coinvolgimento dell'utente
Forse la cosa più importante è che le password sono forti e sicure solo quanto lo sforzo impiegato per mantenerle. Potresti scoprire che molte persone usano tropi comuni per le password, come "password", "1234" o "pass" come password per i siti che utilizzano. Inoltre, molti utilizzeranno la stessa password per più siti, il che significa che se un sito viene compromesso, verrà compromesso anche qualsiasi altro sito che utilizza quella password. Inoltre, scoprirai che molti utenti non cambiano le password predefinite, come le password definite dai produttori di software destinate a funzionare solo temporaneamente. Se qualcuno conosce la password predefinita del produttore per un prodotto, è tenuto a provare prima quelle password.
