Safety-Asphalt-Drive-Speed-Limit-Transport-Road-2078386

Chiudiamo la settimana del rant sulla sicurezza che è meglio :-) Mi sono già sfogato con quelli che non ti lasciano incollare la password. Ho ribadito che le mie password io non le voglio conoscere. Oggi vorrei chiudere in bellezza riprendendo un commento di Andrea:

image

Spesso e volentieri incontriamo siti che impongono una lunghezza massima della password. Ogni volta che li incontriamo dovremmo esserne spaventati.

Che cosa ci stanno dicendo?

Se il sistema in questione impone una lunghezza massima c’è un elevatissimo rischio che la password sia salvata in chiaro o con un algoritmo reversibile. Se quello che invece viene salvato è un hash della password, la lunghezza è in funzione dell’algoritmo di hashing e non della password. Ergo la lunghezza è nota a priori e di conseguenza non ha significato porre limiti all’utente. Diverso è il caso del salvataggio in chiaro dove ovviamente qualche stolto avrà imposto che il campo testo nel db abbia una lunghezza massima fissa e nota.

Fate sempre molta attenzione, come siamo scrupolosi nel proteggere le chiavi di casa nostra e nel non darle a sconosciuti a caso, dobbiamo essere paranoici con le password.

Un consiglio per concludere

Usate sempre 2FA authentication ove disponibile, o meglio ancora ove possibile usate il classico login con ACS di terze parti, come ad esempio Microsoft Account o Google Account su cui dovete aver attivato 2FA.

Se questo non fosse possibile valutate se è proprio necessario registrarsi, nel caso lo fosse:

  • usate una email che vi interessa poco o che addirittura avete creato come alias ad hoc per quel servizio
  • usate una password rognosamente complessa che sia diversa da tutte le altre

Se anche questo non fosse possibile lamentatevi pubblicamente, è sacrosanto che i servizi che usiamo o che abbiamo bisogno di usare ci garantiscano un adeguato livello di sicurezza.