Le password nel commercio elettronico

Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].

Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.

Prima di esaminare la classifica alcuni dati aggregati degni di nota:

  • il 55% dei siti accetta password del tipo 123456 o password;
  • il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
  • il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
  • il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
  • il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
  • 8 siti inviano la password via mail in chiaro.

Per gli amanti delle top 10 ecco la classifica dei siti migliori.

  • Apple 100
  • Microsoft 65
  • Chegg 65
  • Target 60
  • Williams-Sonoma 55
  • CDW 50
  • Amway 45
  • Musician’s Friend 45
  • Nike 45

E dei peggiori.

  • 1-800-Flowers.com -46
  • Vitacost -50
  • Nutrisystem -50
  • American Girl -50
  • J. Crew -55
  • Aeropostale -60
  • Toys “R” Us -60
  • Dick’s Sporting Goods -65
  • Karmaloop -70
  • MLB -75

Apple è un chiaro vincitore, probabilmente grazie al fatto che si può permettere di imporre agli utenti qualsiasi tipo di policy (del tutto corretta e legittima, sia chiaro) senza che questi si lamentino come ha fatto un certo giornalista.

Ovviamente questa analisi è fatta da un punto di vista esterno, quindi non può considerare le eventuali contromisure personalizzate che un sito potrebbe aver messo in campo. Amazon non blocca un account dopo dieci tentativi errati di collegamento, ma potrebbe mettere un account tra i sorvegliati speciali dopo cinque tentativi errati (è un’ipotesi).

Che sia una piccola azienda o un grande sito di commercio elettronico, scegliere una politica per le password non è cosa semplice ed è spesso un compromesso al ribasso.

L’IT, specialmente se è sensibile alla sicurezza, vorrebbe password lunghe e complesse tipo almeno 30 caratteri con glifi di alfabeti non latini, preferibilmente alieni (chi non ha installato l’Aurabesh o il Klingon nel proprio sistema?!). Non lo fa per crudeltà verso gli utenti (oddio…), ma perché in caso di problemi è quello a cui tocca rimettere assieme i cocci. Il marketing vorrebbe vivere in un mondo ideale in cui TAAAACC!!! la gente viene riconosciuta dal sistema solo tramite il suo nome di battesimo pronunciato davanti allo schermo (il microfono non serve) e può andare direttamente a fare acquisti. La realtà è una via di mezzo (ir)ragionevole tra queste due posizioni che possa permettere all’amministratore delegato di collegarsi per fare una prova.

Pontificare dall’esterno è un esercizio facile, bisogna trovarsi all’interno seduti attorno ad un tavolo per capire davvero il problema. L’IT ha paura di essere trapanato (e doverlo spiegare agli altri) e parte dal presupposto che tutti siano degli esperti di sicurezza. Il resto del management teme che gli utenti scappino la terza volta che il sistema risponde “la tua password fa schifo, scegline un’altra”.

Inoltre c’è il problema del blocco dell’utente e del recupero delle password. Se un utente viene bloccato bisogna trovare un metodo per sbloccarlo, possibilmente dando le nuove credenziali al legittimo titolare e non a un malvivente che ha trovato una falla nel sistema. Anche il recupero della password in caso di smarrimento deve essere gestito in maniera opportuna. In capo a tutto ci deve essere un metodo per contattare un umano in caso di problemi, umano che vorrebbe essere contattato il meno possibile perché dar retta agli utenti che hanno perso una password e incolpano per questo il sito non è un lavoro edificante.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Le password nel commercio elettronico”

  1. Preoccupante…

    Mi ricordo una cosa che mi faceva andare in bestia qualche anno fa tutte le volte che dovevo cambiare la password sul sito della mia banca, quando ancora non avevano implementato l’autenticazione a due fattori (per fortuna all’epoca avevo un account NON dispositivo).
    Era incredibile, c’era una lunghezza minima della password, 8 caratteri, e va bene, ma c’era anche una lunghezza massima: 10 caratteri!!! Ma dico io, è normale una cosa del genere? Io che avrei voluto mettere una password ben più lunga non potevo, roba da matti.

    Per questo mi sono brevemente stupito quando tra i punti di demerito della ricerca Dashlane non ho trovato la lunghezza massima della password troppo piccola, ma forse è un limite talmente stupido che oggi nessuno impone più… o no?

    1. No, non e’ normale imporre un limite cosi’ basso, specialmente alla luce delle tendenze attuali che suggeriscono di usare una passphrase al posto di una password.

      Spesso i limiti sono legati alla tecnologia utilizzata (e’ una spiegazione, non una scusante) dai siti che integrano teconologie differenti realizzate da fornitori differenti che non ammettono un sistema per “escapizzare” i caratteri di controllo,

      E’ capitato anche a me (vedi http://siamogeek.com/2013/09/password-complessa/) di sbattere la faccia contro simili limitazioni.

    2. Conosco un caso in cui per delle password molto importanti c’e` il limite massimo di 8 caratteri. Non posso dire altro 🙁

  2. Ad essere sincero più che la password in alcuni siti il problema serio è il recupero della stessa… A volte la domanda “personale” per il recupero della stessa ha una lista limitata alla quale non si può aggiungere una propria opzione personalizzata e qui l’utente poco furbo potrebbe cascarci inserendo info facilmente reperibili.
    La mia soluzione è che se imposto come domanda “qual’è il colore della tua casa?”, la risposta associata potrebbe essere “michelle hunziker”…

        1. Diro` di piu`… era un OTTIMO esempio.
          Il problema mio e` che quando ho provato a fare la stessa cosa, mi veniva da pensare “ok, tanto me la ricordo per il futuro…” e poi invece non me la ricordavo 🙂

Spazio per un commento