Anche nell’epoca della biometria, l’autenticazione a doppio fattore e delle app mobile dedicate, le classiche password di accesso continuano a rappresentare uno dei focus principali della sicurezza informatica. L’elenco delle password più popolari fa letteralmente orrore, e stando a un recente studio nemmeno la compromissione di un servizio di rete rappresenta una motivazione sufficiente a renderle più robuste.
La (non sorprendente) conclusione arriva a seguito di una ricerca della Carnegie Mellon University, laboratorio specializzato in sicurezza e privacy (CyLab). Lo studio analizza il comportamento degli utenti dopo una breccia informatica, e diversamente dal solito si basa su dati reali (ancorché limitati) piuttosto che sulle tipiche ricerche di mercato a base di interviste individuali.
Lo studio CyLab ha analizzato la situazione di 249 diversi partecipanti volontari (opt-in), 63 dei quali sono stati vittime di brecce di sicurezza pubblicamente annunciate tra il 2017 e il 2018. Solo 21 dei 63 partecipanti (33%), dice lo studio, hanno alla fine cambiato la password del sito o del servizio compromesso.
Non solo: delle 21 vittime di brecce informatiche, solo 15 hanno cambiato la loro password nei primi tre mesi seguiti alla breccia. La partecipazione volontaria alla ricerca prevedeva l’accesso alle password degli utenti, e anche in questo caso le conclusioni di CyLab sono disarmanti. Dei 21 che hanno cambiato la password, solo 9 hanno scelto una nuova chiave di accesso più robusta e sicura. Il resto ha preferito adottare una password simile (o di simile robustezza) a quella già compromessa.