Password che si controllano on-line!

Un servizio telematico con mezzo miliardo di password compromesse offre la possibilità di usare il proprio database a soggetti terzi, un popolare password manager ne approfitta subito...
Un servizio telematico con mezzo miliardo di password compromesse offre la possibilità di usare il proprio database a soggetti terzi, un popolare password manager ne approfitta subito...

Il noto ricercatore di sicurezza Troy Hunt ha recentemente aggiornato il suo Pwned Passwords , un servizio telematico che permette di controllare la sicurezza di una password comparando l’input dell’utente con il massiccio database integrato contenente le chiavi di accesso già finite on-line e quindi da considerarsi come assolutamente compromesse.

Una delle caratteristiche di Pwned Passwords è la possibilità di interfacciarsi al servizio tramite un’apposita API, ed è una possibilità che gli sviluppatori del manager di password 1Password hanno deciso di sfruttare a brevissima distanza dal debutto della nuova versione del servizio.

Gli utenti di 1Password hanno quindi a disposizione un nuovo strumento per valutare la sicurezza delle loro chiavi di accesso , un modo per garantire l’unicità e l'”integrità” di una password grazie ai 500 milioni di stringe compromesse incluse nel database di Pwned Passwords.

Ma gli sviluppatori di 1Password hanno deciso di andare oltre il semplice controllo on-line, visto che il meccanismo adottato dal tool per la verifica garantisce un livello di protezione in più : invece di controllare una password nella sua interezza, 1Password compara i primi cinque caratteri del suo hash SHA-1.

Pwned Passwords restituirà le stringe contenenti quei primi cinque caratteri , e 1Password si incaricherà del controllo finale tra la password specificata dall’utente – sotto forma di hash SHA-1 – e le possibili scelte restituite dal servizio on-line.

Nel prossimo futuro 1Password includerà nuove possibilità di verifica ancora più sicure e indipendenti dai server remoti, ma per il momento gli sviluppatori del password manager dovranno accontentarsi dei commenti positivi di Troy Hunt sul metodo di controllo a base di hash che rispetta la privacy.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

28 02 2018
Link copiato negli appunti