Le sfide della memorizzazione delle password in modo corretto e sicuro

store passwords correctly safely

Il processo di recupero dell'accesso a un account online potrebbe essere una seccatura. A volte, devi contattare un agente dell'assistenza che ti farà ogni sorta di domande prima di darti finalmente un link con il quale puoi creare e assegnare una nuova password per il tuo account.

Con alcuni servizi (non troppi), tuttavia, recuperare una password è facile e facile. Fai clic su un pulsante Password dimenticata e un computer o una persona ti invia un'email con la password che hai dimenticato. Potresti sentirti felice di quanto sia conveniente un sistema che funziona così. E conveniente lo è davvero. Ciò che potresti non capire, tuttavia, è che il sistema in questione gestisce la tua password in modo estremamente insicuro.

Innanzitutto, l'e-mail non è la forma di comunicazione più sicura. Ci sono eccezioni, ma la maggior parte dei principali provider di posta elettronica non crittografa le informazioni nei messaggi, il che significa che possono essere rubate durante il trasporto. Questo non è l'unico problema.

Il fatto che la password ti sia inviata in chiaro significa che probabilmente è memorizzata anche in chiaro. E questo significa che se gli hacker ci mettono le mani sopra, non ci sarà nulla che impedisca loro di assumere il controllo del tuo account. La tua password potrebbe anche essere memorizzata in forma crittografata, ma non è nemmeno una buona pratica. Se è crittografato, può essere decrittografato con chiavi che potrebbero essere esposte . E non sai mai quando un dipendente scontento deciderà che sei la ragione della sua infelicità.

Pertanto, i fornitori di servizi non dovrebbero archiviare le password in testo semplice e non dovrebbero crittografarle. Qual è, quindi, il modo corretto di proteggerli?

In che modo i fornitori di servizi responsabili memorizzano le tue password?

L'operazione matematica che i proprietari di siti Web dovrebbero usare si chiama hashing. Una funzione hash converte la tua password in una stringa illeggibile di caratteri (chiamata valore hash o, semplicemente, hash) che non ha alcuna somiglianza visiva con la password effettiva. Ad esempio, se usi l'algoritmo di hashing SHA1 (è un vecchio algoritmo che non è terribilmente sicuro, ma lo stiamo usando a fini illustrativi), il valore hash di "password" è "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8". L'hash viene quindi archiviato in un database e viene confrontato con un hash della password immessa al momento dell'accesso.

La crittografia trasforma anche la tua password in una stringa di caratteri illeggibile, ma, purché siano presenti le chiavi di decrittazione, la password crittografata può essere facilmente convertita in testo semplice. L'hashing dovrebbe essere un'azione a senso unico, il che significa che se l'algoritmo di hashing è abbastanza buono, anche gli strumenti automatici in esecuzione su hardware potente avranno bisogno di molto tempo per decifrare l'hash e recuperare la password. Di conseguenza, né i dipendenti infelici né gli hacker saranno in grado di vedere la tua password .

Il problema è che la stessa password produce lo stesso hash con lo stesso algoritmo e poiché così tante persone usano "123456" per proteggere i propri account , una password può essere indovinata in base all'hash. Ecco perché i fornitori di servizi dovrebbero anche salare la tua password. Salare efficacemente significa che stanno aggiungendo una stringa di caratteri (ad esempio "QxLUF1bgIAdeQX") alla fine della password prima di eseguire l'hashing. Ogni utente dovrebbe avere il proprio sale unico, il che significa che anche se la tua password è la stessa di quella del tuo vicino, gli hash saranno completamente diversi. Ciò non significa che usare password comuni o semplici vada bene, ma il corretto hashing e salting rendono il lavoro degli hacker più difficile.

Naturalmente, c'è molto di più, ma quello che hai appena letto ti ha spinto a darti una comprensione di base di ciò che i proprietari di siti Web e i fornitori di servizi dovrebbero prendere quando configurano i loro sistemi di autenticazione. Purtroppo, il fatto che gli account online vengano compromessi giorno dopo giorno significa che non tutti si sono attenuti a questi principi di sicurezza di base. E sfortunatamente, non puoi farci niente.

Dopo aver assegnato la password a un sito Web, ti fidi delle persone dietro di essa per proteggere i tuoi dati. Non hai alcun controllo su ciò che accadrà dopo. Ciò che puoi controllare, tuttavia, è il modo in cui memorizzi le tue password.

Come dovresti conservare le tue password?

Ovviamente, salvarli in un documento di Microsoft Office non è un'opzione. È troppo rischioso, e lo stesso vale per scrivere le password su fogli di carta gialli e incollarle sul monitor. Anche l'hashing è fuori discussione. Anche se hai gli strumenti e le conoscenze per farlo, devi essere in grado di usare le tue password.

La crittografia, quindi, è la soluzione migliore. I dati non sono disponibili in forma semplice e tuttavia, ogni volta che ne hai bisogno, puoi usarli.

Cyclonis Password Manager ti offre un modo conveniente per farlo. Innanzitutto, crittografa i tuoi dati con AES-256, un algoritmo di crittografia utilizzato da organizzazioni finanziarie e militari di tutto il mondo. La decrittografia è possibile solo con la tua password principale e poiché solo tu dovresti essere in grado di vedere i tuoi dati, Cyclonis Password Manager non memorizzerà o trasmetterà la tua password principale in alcun modo.

È avere la tua torta e mangiarla scenario. Le tue password sono ben lontane da occhi indiscreti, eppure, quando ne hai bisogno, puoi usarle. Inoltre, Cyclonis Password Manager è completamente gratuito.

October 4, 2019

Lascia un Commento