password Perchè le password sono difficili da scoprire. Art. postato da Angela Delicata su uic h.e., 27\09\2013, h. 20.04. Titolo: Perché le password sono difficili da scoprire Collegamento: feedproxy.google.com/~r/ildottoredeicomputer/DLkv/~3/347_7kaSAnU/perche-le-password-sono-difficili-da.html Data: 27/09/2013 13:00:00 Ciao a tutti cari lettori e lettrici, Marco è un amico di lunga data del Dottore, suo il software "Hasher" che serve a scoprire se un file scaricato o copiato sia integro. Nelle settimane passate mi ha scritto per segnalarmi un interessante articolo da lui scritto, dal titolo "Sicurezza informatica grazie alla matematica. Algoritmi di hash... e non solo impronte digitali". Faccio una breve sintesi... Con il passare del tempo si è reso necessario trovare un qualcosa, in ambito informatico, che avesse a che fare con le impronte digitali "umane", in modo da scoprire subito se due file, anche solo con un bit diverso, siano diversi. La risposta sono i digest, se confrontandoli riscontriamo che sono diversi, si può concludere che i due file di partenza sono diversi tra loro, in quanto una qualsiasi variazione al file iniziale, fa ottenere un digest completamente diverso. Grazie a questa proprietà si può controllare l'integrità di un file e scoprire se durante una copia o uno scaricamento da internet è stato modificato. Una funzione hash è contraddistinta da due particolarità: 1. Può restituire lo stesso digest anche partendo da input diversi. 2. Restituisce un digest di lunghezza costante. Alcuni confondono un digest con un testo cifrato, la differenza sostanziale è che non è possibile risalire al testo che ha generato l’hash. Gli algoritmi di cifratura permettono il processo di decriptazione, i digest no! Con questa piccola premessa, si può rispondere alla domanda "Come può un sito proteggere efficacemente la mia password, e quindi il mio account da intrusioni?". Normalmente le password vengono memorizzate in un database, questo deve essere tenuto il più lontano possibile dalla rete, in particolare per non essere attaccato da potenziali hacker. All'interno di un database sono presenti varie tabelle, in particolare USERNAME (o login) e PASSWORD. Se le password fossero memorizzate in chiaro (cioè così come la password è scritta), se un hacker viene in possesso del database ha tranquillamente accesso a tutte le password, le può leggere immediatamente tutte! Per evitare questo "spiacevole" inconveniente, si ricorre agli hash: non vengono memorizzate le password in chiaro, bensì i loro hash, l'immagine a fianco dovrebbe chiarirvi meglio l'idea. Un sito web per riconoscere che abbiate scritto la password corretta non confronta quello che noi inseriamo, bensì confronta se l’hash memorizzato corrisponde con l’hash della password inserita. Se gli hash corrispondono...avete accesso al sito o servizio. Come lo stesso Marco suggerisce, dovete sempre diffidare dai siti che: Comunicano le password in chiaro (cioè leggibili) tramite mail. Permettono il recupero della stessa password originale che avete perso. La situazione ideale è che l’amministratore del sito non sia mai in grado di conoscere la vostra password. Questa è una breve sintesi di quanto scritto da Marco, per approfondire l'argomento vi consiglio di leggere il suo articolo oltre che visitare le tante utili pagine che ha scritto.Torna all'indice