È stato nel marzo 2019 che la promessa di una rivoluzione nella GDPR ha subito una battuta di arresto. In questa particolare occasione il portavoce è stato il vicepresidente della sicurezza e della privacy di Facebook. In una dichiarazione pubblica, Pedro Canahuti ha informato miliardi di utenti Facebook, Instagram e WhatsApp che milioni delle loro password erano state memorizzate in testo normale, rendendole ricercabili da uno qualsiasi dei loro 40.000 dipendenti. Poiché si tratta della più grande violazione della sicurezza mai registrata, esploreremo i pericoli del formato in testo normale, a partire dalla prima domanda:
Contenuti
Cos'è il formato testo normale?
Testo normale significa solo linguaggio standard quotidiano. Se la password è memorizzata in testo normale, viene lasciata visibile in database che potrebbero non essere sicuri. In crittografia, si riferisce a un messaggio prima di essere criptato.
Quando un messaggio in testo normale viene crittografato, i caratteri diventano criptati e incomprensibili. Il testo criptato diventa quindi noto come "testo cifrato". Di solito, il testo cifrato è abbinato a una chiave di crittografia, che consente al portachiavi di sbloccare i dati criptati e trasformarli in informazioni leggibili (in altre parole, decrittografarli). Quando parliamo di crittografia delle password ci riferiamo all'intero processo come {link1}.
La crittografia viene solitamente eseguita per i seguenti motivi:
Segretezza e comunicazioni confidenziali: la crittografia protegge le informazioni da parti non autorizzate, rendendole ideali per documenti governativi, segreti commerciali e transazioni finanziarie.
Autenticazione — Utilizzata regolarmente nell'online banking e in qualsiasi altro account online, inclusi NordVPN e NordPass.
La crittografia di testo normale, o testo cifrato, è fondamentalmente un linguaggio segreto digitale, un principio che può essere fatto risalire già al 1900 aC. Dal "Cifrario di Cesare" nella Roma classica alla "scìtala" nell'antica Grecia, la scrittura cifrata è sempre stata il modo preferito dell'umanità per proteggere i segreti. Tuttavia, sebbene la base della crittografia sia la stessa, molto è cambiato da papiri e piccioni viaggiatori. In realtà , ci sono diverse cose sbagliate nel nostro codice segreto attuale, principalmente l'incapacità del mondo aziendale di usarlo correttamente.
Qual è il problema con il testo normale?
Nonostante l'ampia varietà di metodi di crittografia disponibili, alcune aziende memorizzano ancora le password dei clienti in testo normale (un formato leggibile). Ciò significa che chiunque abbia accesso, può leggere tutte le tue informazioni altamente sensibili come password, data di nascita e numeri di carte di credito. Se la tua password è memorizzata in testo normale, tanto vale scarabocchiarla su un blocco note e lasciarla nella sala d'attesa pubblica del mondo. Puoi solo immaginare quanto sarebbe felice un hacker se si imbattesse in una situazione del genere.
Come sapere se un sito memorizza le password in testo normale
La buona notizia è che stiamo per insegnarti come proteggerti e non dovrai quindi più preoccuparti che la tua password sia in bella vista e alla mercé di potenziali ladri.
Ecco due segnali di pericolo:
Se ricevi un'email contenente il tuo nome utente e password dopo aver creato un account, potrebbe voler dire che la crittografia utilizzata dal sito Web è reversibile. Ciò significa che alcuni dei dipendenti dell'azienda sanno come decrittografare e leggerle questi dati.
Se sospetti di un sito in particolare, clicca su "Password dimenticata" e verifica se ti viene inviata una mail con il tuo nome utente e password. Se, al contrario, ti viene inviato un link per reimpostare la password, è probabile che la password sia sicura e sia stata sottoposta a hashing.
Le password possono essere archiviate in modo sicuro?
Sebbene non esista un modo preciso per sapere se le tue password sono archiviate in modo sicuro, i segnali rivelatori che abbiamo appena menzionato rappresentano solitamente la soluzione migliore per scoprirlo. Tuttavia, sebbene non sia possibile controllare le pratiche di password di altre persone, è possibile controllare le proprie. Ecco perché vorremmo ricordarti le nostre due regole d'oro quando si parla di password:
Usa una password diversa per ogni sito che frequenti.
Se utilizzi la stessa password per alcuni siti e uno di questi l'ha memorizzata in testo normale, non passerà molto tempo prima che qualcuno ottenga l'accesso ai dettagli o all'indirizzo della tua carta. Piuttosto che girare per i vari siti, giocando al provetto investigatore, è più semplice presumere che la tua password non sia stata sottoposta a hashing con salt.
Crea password difficili e casuali lunghe almeno 6 caratteri. Assicurati di includere lettere maiuscole/minuscole, caratteri speciali e un asterisco, per una sicurezza ottimale.
Clicca qui per generate a strong password ora. Prima di farlo, ricorda però che le password casuali sono impossibili da ricordare. Ecco perché avrai bisogno di un buon gestore di password. Se non l'hai già fatto, dai un'occhiata a NordPass - un gestore di password che utilizza la crittografia XChaCha20 in un processo a conoscenza zero per mantenere le tue password sicure ma sempre a disposizione.