Le password nel commercio elettronico

Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].

Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.

Prima di esaminare la classifica alcuni dati aggregati degni di nota:

• il 55% dei siti accetta password del tipo 123456 o password;
• il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
• il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
• il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
• il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
• 8 siti inviano la password via mail in chiaro.

Per gli amanti delle top 10 ecco la classifica dei siti migliori.

• Apple 100
• Microsoft 65
• Chegg 65
• Target 60
• Williams-Sonoma 55
• CDW 50
• Amway 45
• Musician’s Friend 45
• Nike 45

E dei peggiori.

• 1-800-Flowers.com -46
• Vitacost -50
• Nutrisystem -50
• American Girl -50
• J. Crew -55
• Aeropostale -60
• Toys “R” Us -60
• Dick’s Sporting Goods -65
• Karmaloop -70
• MLB -75

Apple è un chiaro vincitore, probabilmente grazie al fatto che si può permettere di imporre agli utenti qualsiasi tipo di policy (del tutto corretta e legittima, sia chiaro) senza che questi si lamentino come ha fatto un certo giornalista.

Ovviamente questa analisi è fatta da un punto di vista esterno, quindi non può considerare le eventuali contromisure personalizzate che un sito potrebbe aver messo in campo. Amazon non blocca un account dopo dieci tentativi errati di collegamento, ma potrebbe mettere un account tra i sorvegliati speciali dopo cinque tentativi errati (è un’ipotesi).

Che sia una piccola azienda o un grande sito di commercio elettronico, scegliere una politica per le password non è cosa semplice ed è spesso un compromesso al ribasso.

L’IT, specialmente se è sensibile alla sicurezza, vorrebbe password lunghe e complesse tipo almeno 30 caratteri con glifi di alfabeti non latini, preferibilmente alieni (chi non ha installato l’Aurabesh o il Klingon nel proprio sistema?!). Non lo fa per crudeltà verso gli utenti (oddio…), ma perché in caso di problemi è quello a cui tocca rimettere assieme i cocci. Il marketing vorrebbe vivere in un mondo ideale in cui TAAAACC!!! la gente viene riconosciuta dal sistema solo tramite il suo nome di battesimo pronunciato davanti allo schermo (il microfono non serve) e può andare direttamente a fare acquisti. La realtà è una via di mezzo (ir)ragionevole tra queste due posizioni che possa permettere all’amministratore delegato di collegarsi per fare una prova.

Pontificare dall’esterno è un esercizio facile, bisogna trovarsi all’interno seduti attorno ad un tavolo per capire davvero il problema. L’IT ha paura di essere trapanato (e doverlo spiegare agli altri) e parte dal presupposto che tutti siano degli esperti di sicurezza. Il resto del management teme che gli utenti scappino la terza volta che il sistema risponde “la tua password fa schifo, scegline un’altra”.

Inoltre c’è il problema del blocco dell’utente e del recupero delle password. Se un utente viene bloccato bisogna trovare un metodo per sbloccarlo, possibilmente dando le nuove credenziali al legittimo titolare e non a un malvivente che ha trovato una falla nel sistema. Anche il recupero della password in caso di smarrimento deve essere gestito in maniera opportuna. In capo a tutto ci deve essere un metodo per contattare un umano in caso di problemi, umano che vorrebbe essere contattato il meno possibile perché dar retta agli utenti che hanno perso una password e incolpano per questo il sito non è un lavoro edificante.