Capita che talvolta a qualche utente vengano trafugate le password di qualche servizio, con le conseguenze prevedibili e talvolta gravi (invio di spam, furto di dati, compromissione del sito con contenuti malevoli ecc.)

Normalmente ciò capita a causa di virus o malware presenti in un qualche PC, usato dall'utente in un passato anche non recentissimo, e tramite i quali vengono trafugate le credenziali di accesso.
Un altro motivo può essere l'uso di password banali (se la vostra password è "pippo" oppure "password", potete stare tranquilli che il software giusto la scoprirà nell'arco di poche ore).
Un altro motivo può essere il fatto che l'utente usa la medesima password su diversi servizi; e se questa viene violata su una determinata piattaforma, allora è probabile che tenteranno di usarla anche su altre piattaforme, giusto per vedere se funziona...
Esempio: 

  • l'utente utilizza la medesima password per diverse piattaforme: Facebook, Linkedin e X.
  • Linkedin è vittima di un dataleak, ovvero di un furto di dati (e non crediate che sia un evento improbabile: 
  • i dati trafugati vengono resi disponibili sul dark web (ed anche questo, non illudetevi che sia un evento poco frequente: ad esempio qui si ha notizia di un database di 26 miliardi di account trafugati da  Twitter, Dropbox, linkedIn, Tencent, Weibo, Adobe, Canva e Telegram)
  • una volta resi disponibili sul dark web, chi li recupera si può dedicare ad un proficuo gioco: "vediamo se l'utente mario.rossi@miodominio.it, la cui password su LinkedIn è (o era in passato) LaMiaPassWordStraSicura!, ha usato la stessa password anche per il suo indirizzo email mario.rossi@miodominio.it, o su Facebook, o su..."

(tip: usare la stessa password su più di un sistema è sempre una pessima idea.)

Un'altra ipotesi è quella del phishing, attività finalizzata proprio a trafugare illecitamente le credenziali dell'utente. E se fino a qualche anno fa il phishing era facile da riconoscere a causa delle email sgrammaticate ed inverosimili che facevano da esca, oggi le tecniche si sono evolute ed alcune sono difficili da identificare con sicurezza anche da parte di un utente esperto.

Un altro problema è la password condivisa tra più utenti: una pratica peraltro diffusa in molte aziende, ma deprecabile perché foriera di enormi problemi di sicurezza. Non è solo che i problemi sopra esposti si moltiplicano per il numero di utenti che condividono la medesima password, ma anche del modo con cui la password viene comunicata da un utente all'altro (comunque avvenga, sono inutili esposizioni in chiaro di un dato riservato), e di come ogni utente decide di conservarsela. P
er non parlare di quando poi un collaboratore cessa di essere tale... e nessuno si preoccupa di aggiornare le password a lui note.

Questi sono solo alcuni dei modi in cui una password può venir sottratta al legittimo detentore; poi ce ne sono ancora altre, ancora più sofisticate.

Ciononostante, quando capita, spesso l'utente recrimina "Eh, ma come hanno fatto ad ottenere la mia password? Siamo sicuri che non l'abbiano trafugata dai vostri server?!?!"
Ma la risposta non può essere che un sereno e granitico "No, è impossibile".
Ed è impossibile semplicemente perchè le password degli utenti per i nostri servizi non sono memoizzate da nessuna parte, e quindi trafugare qualcosa che non c'è è semplicemente impossibile.  

Spieghiamo: nell'immaginario collettivo, quando un utente inserisce una password, il sistema confronta la password inserita con quella memorizzata da qualche parte, e se sono uguali allora l'utente viene accreditato.
Ed effettivamente le cose stavano così... lo scorso secolo.
Nella realtà, quando un utente imposta una password (es. "pippo"), questa viene immediatamente crittografata con un sistema di crittografia irreversibile, e nel database ne viene conservato solo l'hash (ad esempio l'hash di "pippo" usando l'algoritmo SHA-256 è "a2242ead55c94c3deb7cf2340bfef9d5bcaca22dfe66e646745ee4371c633fc8" ).
Quando l'utente cerca di autenticarsi ed inserisce la password, questa verrà crittografata con lo stesso meccanismo, ed i due hash verranno confrontati.
Se sono uguali, significa che la password è la stessa, e l'utente verrà autenticato.
Se gli hash sono diversi, significa che la password non è la stessa, e l'utente verrà respinto.
Quindi, un'ipotetico data leak sui nostri server permetterebbe al cracker di ottenere solo gli hash delle password, e nulla più.
Ma dall'hash di una password è impossibile risalire alla password originaria, e l'hash è del tutto inutile per effettuare il login.
Quindi, tralasciando i sistemi di sicurezza che proteggono i nostri archivi, resta il fatto che il furto delle credenziali degli utenti dai nostri sistemi è semplicemente fisicamente impossibile.

 

 

Found this article interesting?
Subscribe to DomainRegister´s newsletter!

You can unsubscribe at any time by simply clicking the link in the footer of our emails. For information about our privacy practices, please visit our website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp s privacy practices here.

  • security
  • 8 Users Found This Useful
Was this answer helpful?

Related Articles

 How to Get Support

If you need support: look for a solution in our knowledge baseYou'll find hundreds of...

 Come cambiare il proprio piano hosting da Windows a Linux (o viceversa)

Windows e Linux offrono due ambienti di hosting differenti, e solo parzialmente compatibili tra...

 Come rinnovare un dominio

Rinnovare un dominio per uno o più anni è semplice e veloce.Entra nella tua area utente su...

 How to Move a Domain or a Service to Another DomainRegister Account?

In case you need to move your domain or your service (hosting service, SSL certificate etc.) to...

 Perché il mio username è del tipo xxxx@newmedialabs.it?

Per meglio gestire la migrazione dei servizi dal precedente pannello di controllo...