password
Perchè le password sono difficili da scoprire.
Art. postato da Angela Delicata su uic h.e., 27\09\2013, h. 20.04.

Titolo: Perché le password sono difficili da scoprire
Collegamento:
feedproxy.google.com/~r/ildottoredeicomputer/DLkv/~3/347_7kaSAnU/perche-le-password-sono-difficili-da.html

Data: 27/09/2013 13:00:00

Ciao a tutti cari lettori e lettrici,
Marco è un amico di lunga data del Dottore, suo il software "Hasher" che
serve a scoprire se un file scaricato o copiato sia integro.

Nelle settimane passate mi ha scritto per segnalarmi un interessante
articolo da lui scritto, dal titolo "Sicurezza informatica grazie alla
matematica. Algoritmi di hash... e non solo impronte digitali".

Faccio una breve sintesi...
Con il passare del tempo si è reso necessario trovare un qualcosa, in
ambito informatico, che avesse a che fare con le impronte digitali
"umane", in modo da scoprire subito se due file, anche solo con un bit
diverso, siano diversi.
La risposta sono i digest, se confrontandoli riscontriamo che sono
diversi, si può concludere che i due file di partenza sono diversi tra
loro, in quanto una qualsiasi variazione al file iniziale, fa ottenere
un digest completamente diverso.
Grazie a questa proprietà si può controllare l'integrità di un file e
scoprire se durante una copia o uno scaricamento da internet è stato
modificato.

Una funzione hash è contraddistinta da due particolarità:
1. Può restituire lo stesso digest anche partendo da input diversi.
2. Restituisce un digest di lunghezza costante.

Alcuni confondono un digest con un testo cifrato, la differenza
sostanziale è che non è possibile risalire al testo che ha generato
l’hash. Gli algoritmi di cifratura permettono il processo di
decriptazione, i digest no!

Con questa piccola premessa, si può rispondere alla domanda "Come può un
sito proteggere efficacemente la mia password, e quindi il mio account
da intrusioni?".

Normalmente le password vengono memorizzate in un database, questo deve
essere tenuto il più lontano possibile dalla rete, in particolare per
non essere attaccato da potenziali hacker. All'interno di un database
sono presenti varie tabelle, in particolare USERNAME (o login) e PASSWORD.

Se le password fossero memorizzate in chiaro (cioè così come la password
è scritta), se un hacker viene in possesso del database ha
tranquillamente accesso a tutte le password, le può leggere
immediatamente tutte!

Per evitare questo "spiacevole" inconveniente, si ricorre agli hash: non
vengono memorizzate le password in chiaro, bensì i loro hash, l'immagine
a fianco dovrebbe chiarirvi meglio l'idea.

Un sito web per riconoscere che abbiate scritto la password corretta non
confronta quello che noi inseriamo, bensì confronta se l’hash
memorizzato corrisponde con l’hash della
password inserita. Se gli hash corrispondono...avete accesso al sito o
servizio.

Come lo stesso Marco suggerisce, dovete sempre diffidare dai siti che:

Comunicano le password in chiaro (cioè leggibili) tramite mail.
Permettono il recupero della stessa password originale che avete perso.
La situazione ideale è che l’amministratore del sito non sia mai in
grado di conoscere la vostra password.

Questa è una breve sintesi di quanto scritto da Marco, per approfondire
l'argomento vi consiglio di leggere il suo articolo oltre che visitare
le tante utili pagine che ha scritto.