Sicurezza delle password
Inviato: 02/02/2025, 12:35
Visto il numero crescente di utenti i cui account vengono violati...
Nel corso degli anni, moltissimi database di utenti (indirizzi email) e password sono stati rubati da criminali informatici.
Le password non sono quasi mai salvate in chiaro bensì sono trattate con un algoritmo crittografico "di sola andata", chiamato "hash". È facile convertire la password nel suo hash, ma praticamente impossibile il contrario.
Tuttavia, è possibile generare con "forza bruta" un grande numero di password, calcolarne l'hash e confrontarlo con le tabelle di hash trafugate.
Se la stessa password è usata in più di un servizio, ci si espone al rischio che la compromissione di un database si traduca nella compromissione di diversi account.
Le password NON INDICATE sono:
- parole comuni: una singola parola comune, o una sequenza di due o tre parole comuni, sono molto facili da compromettere (attacco a dizionario)
- parole comuni con sostituzioni comuni: per esempio, "p4ssw0rd" anziché "password";
- sequenze casuali ma troppo corte e con un set di caratteri limitato (solo lettere, o lettere e numeri, attacco a forza bruta).
Le password INDICATE sono:
- sequenze casuali di quattro parole comuni, per esempio "corretto cavallo graffetta batteria" (facile da memorizzare, difficile da violare MA lunga da scrivere)
- sequenze casuali di lettere, numeri e caratteri speciali;
- parole comuni con sostituzioni non ovvie e molti simboli, per esempio "P@ssw0rd98#$" (meno prevedibile è, meglio è).
Sarebbe meglio usare un password manager e usare password molto lunghe e completamente casuali, lasciando al software il compito di gestirle (Bitwarden, Fastlane, Lastpass sono esempi).
Nel corso degli anni, moltissimi database di utenti (indirizzi email) e password sono stati rubati da criminali informatici.
Le password non sono quasi mai salvate in chiaro bensì sono trattate con un algoritmo crittografico "di sola andata", chiamato "hash". È facile convertire la password nel suo hash, ma praticamente impossibile il contrario.
Tuttavia, è possibile generare con "forza bruta" un grande numero di password, calcolarne l'hash e confrontarlo con le tabelle di hash trafugate.
Se la stessa password è usata in più di un servizio, ci si espone al rischio che la compromissione di un database si traduca nella compromissione di diversi account.
Le password NON INDICATE sono:
- parole comuni: una singola parola comune, o una sequenza di due o tre parole comuni, sono molto facili da compromettere (attacco a dizionario)
- parole comuni con sostituzioni comuni: per esempio, "p4ssw0rd" anziché "password";
- sequenze casuali ma troppo corte e con un set di caratteri limitato (solo lettere, o lettere e numeri, attacco a forza bruta).
Le password INDICATE sono:
- sequenze casuali di quattro parole comuni, per esempio "corretto cavallo graffetta batteria" (facile da memorizzare, difficile da violare MA lunga da scrivere)
- sequenze casuali di lettere, numeri e caratteri speciali;
- parole comuni con sostituzioni non ovvie e molti simboli, per esempio "P@ssw0rd98#$" (meno prevedibile è, meglio è).
Sarebbe meglio usare un password manager e usare password molto lunghe e completamente casuali, lasciando al software il compito di gestirle (Bitwarden, Fastlane, Lastpass sono esempi).