Il sistema con cui viene gestito la Sicurezza di Apple ID è buono, ma non perfetto. È Dashlane, azienda che sviluppa un’app multipiattaforma per la gestione delle password, a dare un punteggio elevato ma a rivelare difetti nella metodologia con cui Apple interagisce con gli utenti che creano le password o ne richiedono una nuova.
Lo studio ha tenuto conto di cinque criteri di sicurezza nella gestione delle password con un meccanismo di assegnazione dei punti tenendo conto di: richiesta di utilizzo di otto o più caratteri, la necessità di usare caratteri alfanumerici, l’uso di meccanismi di verifica sulla robustezza della password, la resistenza a metodi che simulavano attacchi con meccanismi di forza bruta e il supporto a meccanismi di autenticazione a due fattori.
In base ai parametri sopra indicati, la pagina di Apple che consente di creare e gestire gli account Apple ID ha ottenuto un punteggio di 4 su 5 classificandosi come “Good”. Apple ha passato tutti i criteri previsti ad eccezione degli attacchi brute force, un tipo di attacco che consiste nel provare tutte le combinazioni possibili o più plausibili. I ricercatori spiegano che è stato però possibile eseguire dieci tentativi senza che fosse presentato loro un avviso di sicurezza (ad esempio la necessità di digitare un codice CAPTCHA per andare avanti impedendo di automatizzare l’attacco a forza bruta).
Gli sviluppatori dell’app Dashlane spiegano di avere creato la classifica per rendere consapevoli gli utenti che molti siti usati regolarmente non seguono determinate politiche per rafforzare le misure di sicurezza in termini di gestione password. Apple ha ottenuto, come già detto, un punteggio di 4 su 5; meglio di Apple sono riuscite a fare e GoDaddy, Stripe e QuickBooks. Stupisce il punteggio di zero su cinque ottenuto da realtà quali: Netflix, Pandora, Spotify, Uber e Amazon Web Services. Secondo Dashlane il 46% dei siti consumer ha un approccio “pericolosamente debole” in termini di policy delle password; questo numero scende al 36% tenendo conto dei soli siti aziendali.
Con alcuni siti anche noti e importanti è stato possibile creare password usando un solo carattere (la lettera “a” minuscola). La possibilità di portare a termine un attacco brute-force non ha riguardato solo il sito Apple ma anche quelli di Dropbox, Google, Twitter, Venmo e Walmart.
Altri dettagli a questo indirizzo.