Consigli sulla sicurezza delle password
L’elenco di password per l’inserimento automatico in iOS, iPadOS e macOS indica quali, tra le password salvate dell’utente, saranno riutilizzate in altri siti web, sono considerate deboli e quali sono state compromesse da una fuga di dati.
Panoramica
L’uso della stessa password per più di un servizio potrebbe rendere i relativi account vulnerabili a un attacco teso alla sottrazione di credenziali. Se viene violato un servizio e le password vengono rese note, i fautori dell’attacco potrebbero provare le stesse credenziali su altri servizi al fine di compromettere altri account.
Una password viene contrassegnata come riutilizzata se viene rilevato che è stata utilizzata più di una volta tra le password salvate su diversi domini.
Le password sono contrassegnate come deboli se esiste la possibilità che vengano indovinate facilmente da un hacker. iOS, iPadOS e macOS rilevano dei pattern comuni utilizzati per creare delle password facili da ricordare, come parole trovate in un dizionario, sostituzione di caratteri con altri simili (come ad esempio “p4ssw0rd” invece di “password”), caratteri vicini su una tastiera (come “q12we34r” su una tastiera QWERTY) o sequenze ripetute (come “123123”). Tali pattern vengono spesso utilizzati per creare delle password che soddisfino i requisiti minimi per i servizi, ma sono anche comunemente utilizzati da hacker che cercano di scoprire una password tramite un attacco di forza bruta.
Poiché molti servizi richiedono espressamente un codice PIN a quattro o sei cifre, i codici brevi sono valutati in base a regole diverse. I codici PIN sono considerati deboli se sono costituiti da codici PIN molto comuni, da sequenze numeriche crescenti o decrescenti come “1234” o “8765” oppure se seguono un pattern ripetuto, come ad esempio “123123” o “123321”.
Una password viene contrassegnata come esposta se la funzionalità di monitoraggio riesce a rilevare che è stata coinvolta in una fuga di dati. Per ulteriori informazioni, consulta Monitoraggio delle password.
Le password deboli, riutilizzate o coinvolte in fughe di dati vengono contrassegnate nell’elenco delle password (macOS) o vengono mostrate nell’interfaccia dedicata “Suggerimenti di sicurezza” (iOS e iPadOS). Se l’utente accede a un sito web in Safari usando una password salvata in precedenza che è molto debole o che è stata coinvolta in una fuga di dati, gli verrà mostrato un avviso con la raccomandazione di aggiornarla a una password sicura automatica.
Migliorare la sicurezza della procedura di autenticazione dell’account in iOS e iPadOS
Le app che implementano l’estensione per la modifica dell’autenticazione per gli account (nel framework dei servizi di autenticazione) possono fornire un rapido aggiornamento per gli account basati su password. In particolare, consentono il passaggio ad “Accedi con Apple” o l’uso di una password sicura automatica. Questo punto di estensione è disponibile in iOS e iPadOS.
Se un’app ha implementato il punto di estensione ed è installata sul dispositivo, agli utenti verranno mostrate delle opzioni di aggiornamento quando visualizzano i suggerimenti di sicurezza per le credenziali associate all’app nel gestore delle password del portachiavi iCloud in Impostazioni. Gli aggiornamenti vengono offerti anche quando gli utenti accedono all’app con credenziali a rischio. Le app hanno la capacità di impedire al sistema di mostrare agli utenti le opzioni di aggiornamento dopo avere effettuato l’accesso. Utilizzando la nuova API AuthenticationServices, le app possono anche richiamare le proprie estensioni ed eseguire gli aggiornamenti in modo autonomo, idealmente da una schermata per le impostazioni o per la gestione dell’account nell’app.
Le app possono scegliere di supportare l’aggiornamento alle password sicure, “Accedi con Apple” o entrambi. In un aggiornamento a una password sicura, il sistema ne genera una automaticamente per l’utente. Se necessario, l’app può fornire regole personalizzate da seguire per la generazione della nuova password. Quando un utente passa da un account con password all’uso di “Accedi con Apple”, il sistema fornisce all’estensione delle nuove apposite credenziali da associare all’account. L’email associata all’ID Apple dell’utente non viene fornita insieme alle credenziali. Una volta effettuato correttamente l’aggiornamento ad “Accedi con Apple”, il sistema elimina le credenziali della password precedentemente utilizzata dal portachiavi dell’utente, se vi erano state salvate.
Le estensioni per la modifica dell’autenticazione per gli account hanno la capacità di eseguire un’autenticazione utente aggiuntiva prima di eseguire un aggiornamento. Per gli aggiornamenti avviati all’interno del gestore delle password o dopo aver effettuato l’accesso a un’app, l’estensione fornisce il nome utente e la password per l’account da aggiornare. Per gli aggiornamenti in-app, viene fornito solo il nome utente. Se l’estensione necessita di un’ulteriore autenticazione utente, può richiedere di mostrare un’interfaccia personalizzata prima di procedere con l’aggiornamento. La possibilità di mostrare tale interfaccia è pensata per consentire all’utente di inserire un secondo fattore di autenticazione per autorizzare l’aggiornamento.