I misuratori di password sono spesso disponibili per aiutare gli utenti a proteggere i propri dati personali dalle minacce poste dai criminali informatici.

Però, i consigli "incoerenti e fuorvianti" offerti su alcuni dei siti web più famosi al mondo potrebbero effettivamente fare più male che bene, secondo nuove ricerche.

Uno studio dell'Università di Plymouth ha valutato l'efficacia di 16 password meter che è probabile che le persone utilizzino o incontrino regolarmente.

L'obiettivo principale erano i siti Web dedicati al misuratore di password, ma lo studio ha anche cercato di valutare quelli incorporati in alcuni comuni servizi online (tra cui Dropbox e Reddit) e quelli presenti di serie su alcuni dei nostri dispositivi.

Pubblicato in Frodi informatiche e sicurezza , la ricerca dice che c'è un chiaro livello di variazione nei consigli offerti tra i diversi siti web.

E mentre alcuni misuratori indirizzano efficacemente gli utenti verso password di account più sicure, alcuni non li prenderanno quando provano a usare 'abc123', 'qwertyuiop' e 'iloveyou' - tutte elencate questa settimana tra le peggiori password del 2019.

Lo studio è stato condotto da Steve Furnell, Professore di Sicurezza delle Informazioni e Responsabile del Centro di Ateneo per la Sicurezza, Comunicazione e ricerca di rete.

In precedenza ha suggerito che i giganti IT globali, tra cui Amazon e LinkedIn, potrebbero fare molto di più per aumentare la consapevolezza della necessità di migliori pratiche per le password.

Ha anche dimostrato che nell'arco di un decennio, la maggior parte dei primi dieci siti Web di lingua inglese non ha ampliato la guida alla password offerta ai consumatori a causa della crescente minaccia di attacchi informatici globali.

Commentando le ultime ricerche, Il professor Furnell ha dichiarato:"Durante il periodo festivo, centinaia di milioni di persone riceveranno regali tecnologici o utilizzeranno i loro dispositivi per acquistarli. Il minimo che dovrebbero aspettarsi è che i loro dati siano al sicuro e, in assenza di sostituzione delle password, fornire loro una guida coerente e informata è fondamentale nella ricerca di una migliore sicurezza.

"Ciò che questo studio mostra è che alcuni dei contatori disponibili segnaleranno un tentativo di password come un potenziale rischio, mentre altri lo riterranno accettabile. La consapevolezza e l'educazione alla sicurezza sono già abbastanza difficili, senza sprecare l'opportunità offrendo informazioni fuorvianti che lasciano gli utenti fuorviati e con un falso senso di sicurezza."

Lo studio ha testato 16 password contro i vari contatori, con 10 di esse classificate tra le password più utilizzate al mondo (incluse "password" e "123456").

Delle 10 password esplicitamente deboli, solo cinque di loro sono stati costantemente valutati come tali da tutti i misuratori di password, mentre 'Password1!' si è comportato molto meglio di quanto avrebbe dovuto ed è stato persino valutato fortemente da tre dei metri.

Però, una scoperta positiva è stata che una password generata dal browser è stata costantemente valutata come forte, il che significa che gli utenti possono apparentemente fidarsi di queste funzionalità per fare un buon lavoro.

Scrivendo nella conclusione dello studio, Il professor Furnell ha aggiunto:"Gli stessi misuratori di password non sono una cattiva idea, ma è chiaramente necessario utilizzare o fornire quello giusto. Vale anche la pena ricordare che, indipendentemente da come i contatori li hanno gestiti, molti sistemi e siti accetterebbero ancora le password deboli in pratica e senza aver offerto agli utenti alcun consiglio o feedback su come fare scelte migliori.

"Mentre tutta l'attenzione tende a concentrarsi sulla sostituzione delle password, il fatto è che continuiamo a usarli con pochi o nessun tentativo di supportare gli utenti nel farlo correttamente. I misuratori di password credibili possono avere un ruolo prezioso da svolgere, ma i misuratori fuorvianti vanno contro l'interesse della sicurezza e possono semplicemente dare un ulteriore vantaggio agli aggressori".