Come sapere se un sito memorizza le password come testo normale (e cosa fare)
Annuncio pubblicitario
Ogni volta che ti registri a un sito, ti fidi di loro con i tuoi dati personali. Hanno accesso al tuo indirizzo email almeno, e probabilmente molto di più, inclusa, ovviamente, la tua password.
Ma come fai a sapere se il sito si prende cura delle tue informazioni private? Perché è un problema quando i siti memorizzano i dettagli dell'account in testo normale? E cosa puoi fare al riguardo?
Che cos'è il testo in chiaro? Perché è un problema?
Il testo in chiaro è esattamente quello che sembra: la tua password viene memorizzata esattamente mentre la scrivi.
Supponiamo che un sito che usi sia stato violato. L'hacker ha accesso a un elenco di account con le password annotate. Supponiamo che la tua password sia "Pa $$ w0rd" (e speriamo davvero che non lo sia). Il criminale informatico può scorrere l'elenco, trovare il tuo indirizzo e-mail e leggere facilmente che il tuo accesso "sicuro" è "Pa $$ w0rd".
Il grosso problema è che non importa quanto oscura e indelebile sia la tua password. Perché chiunque abbia accesso al tuo account può leggerlo, con la stessa facilità con cui lo stai leggendo.
È ancora più preoccupante se usi la stessa password su numerose piattaforme. MakeUseOf sconsiglia di farlo proprio per questo motivo, così come tutti gli esperti di sicurezza. Tuttavia, comprendiamo la tentazione di conservare una password facile da ricordare.
Ma se lo fai, rischi agli hacker di utilizzare fonti di testo in chiaro trapelate per accedere ai tuoi conti bancari online, a Facebook e qualsiasi altra cosa su cui duplichi la password.
Si stima che il 30 percento dei siti di e-commerce memorizzi le proprie password in chiaro. Questo non è qualcosa che possiamo facilmente trascurare.
Non si limita nemmeno a siti piccoli e indipendenti. Alcune grandi aziende sono state catturate, tra cui NHL, Match.com, LinkedIn, National Trust e Vodafone. Fortunatamente, da allora hanno implementato metodi di archiviazione più sicuri.
Come si possono archiviare le password in modo sicuro?
Qual è l'alternativa al testo in chiaro? In realtà, ci sono alcune opzioni per la memorizzazione delle password, ma non tutte sono sicure come potrebbero sembrare inizialmente.
Molti siti utilizzano una funzione hash, che trasforma la tua password in un altro set di cifre. Se entra un hacker, possono vedere solo questi personaggi casuali. È un algoritmo imperfetto, tuttavia, perché ogni volta che inserisci la password, genera lo stesso hash. Il sistema quindi si assicura che quelle cifre siano correlate per darti accesso al tuo account.
E sì, possono essere violati, specialmente attraverso attacchi di forza bruta.
Se gestisci un sito di eCommerce, dovresti invece utilizzare hash salati. Questi adottano lo stesso principio, ma cifre aggiuntive fermano la tua password prima che entri nell'algoritmo hash.
Gli hash lenti sono ancora migliori: limitano il numero di volte in cui un hacker può attaccare il set di dati al secondo. Se un criminale informatico sa che impiegherà più tempo a decifrare una password, è meno probabile che scelgano come target l'account.
Come sapere se un sito memorizza le password come testo normale
È difficile dirlo se non lavori per l'azienda in questione. E se lo fai, devi avvisare il tuo team tecnico che la memorizzazione di dati privati in testo normale non è etica.
Tuttavia, c'è un buon indicatore che puoi seguire. Se si configura un account e il sito invia un messaggio di posta elettronica in cui è elencata la password, è probabilmente memorizzata in testo normale.
Non sono sicuri se si fa clic su "Password dimenticata" e te lo inviano via e-mail. Se fosse stato crittografato, non sarebbero in grado di farlo. Dovresti invece verificare che sia il tuo account, quindi reimpostare completamente la password.
Le email non sono comunque sicure. Sono sensibili all'hacking. Anche se il sito non memorizza le tue informazioni come testo normale, l'invio di un messaggio dettagliato non è sicuro.
Se desideri adottare un approccio completo ai tuoi attivi online, usa una password segnaposto quando ti registri con un negozio online. Quindi fai clic su "Password dimenticata" (o una sua variante) e controlla la tua email. Se l'unica opzione è reimpostarla, fallo.
Altrimenti, se riesci a vedere chiaramente la password del segnaposto nella posta in arrivo, questo è un segno preoccupante.
Puoi anche dare un'occhiata a Plaintext Offenders, un sito dedicato a mettere in evidenza le aziende che non prendono abbastanza sul serio la tua sicurezza.
Cosa puoi fare al riguardo?
Se sospetti che un sito memorizzi la tua password in testo normale, inviale tramite e-mail. Chiedi loro di rispondere alle tue preoccupazioni.
Dovresti rispondere da loro, nel qual caso probabilmente ti assicureranno che usano la crittografia per proteggere i tuoi dati. Ma non lasciare che ti dissuada. Non credere al mito secondo cui la crittografia è a prova di errore Non credere a questi 5 miti sulla crittografia! Non credere a questi 5 miti sulla crittografia! La crittografia sembra complessa, ma è molto più semplice di quanto molti credano. Tuttavia, potresti sentirti un po 'troppo oscuro per usare la crittografia, quindi rompiamo alcuni miti di crittografia! Leggi di più .
Altrimenti, dobbiamo parlare della limitazione del danno. Non utilizzare le stesse credenziali per tutto. Sappiamo che è allettante e probabilmente pensi che non ci siano danni reali. Ma ti sbagli. Siamo sicuri che un'azienda che hai usato in passato sia già stata hackerata. Questo potrebbe essere MySpace Il tuo account MySpace dimenticato perde tutti i tuoi segreti Il tuo account MySpace dimenticato perde tutti i tuoi segreti Ricordi MySpace? Il social network con cui ti sei registrato anni prima di Facebook ... oh, ti sei dimenticato? Bene, MySpace non ti ha dimenticato. E avrebbe potuto perdere tutte le tue informazioni private. Maggiori informazioni, Tumblr, Dropbox ... o tutta una serie di siti.
Controlla digitando il tuo indirizzo e-mail in Have I Been Pwned.
I gestori di password proteggono il testo in chiaro?
I gestori di password sono un modo pulito per proteggere le tue credenziali senza doverle ricordare tutte. Usi una password sicura per accedere al gestore che conosce il resto per te.
Ma non aiutano a combattere i siti usando il testo in chiaro. Il gestore è un sistema di archiviazione per la tua sicurezza, non quello del sito. I tuoi dati privati saranno comunque leggibili se qualcuno accederà al tuo account.
Tuttavia, sei chiaramente interessato a mantenere le tue informazioni private per te, quindi ci sono sicuramente vantaggi nell'uso dei gestori di password 7 Superpoteri di Clever Password Manager Devi iniziare a usare 7 Superpoteri di Clever Password Manager Devi iniziare a usare I gestori di password portano molti grandi funzionalità, ma lo sapevi? Ecco sette aspetti di un gestore di password che dovresti sfruttare. Leggi di più .
Le password in chiaro non sono sicure!
Il testo in chiaro significa semplicemente che la tua password è memorizzata esattamente mentre la scrivi. E questo è un problema perché gli hacker possono leggerlo facilmente. Assicurati di leggere sul dumping delle credenziali e su come proteggerti Cos'è il dumping delle credenziali? Proteggiti con questi 4 suggerimenti Cos'è il dumping delle credenziali? Proteggiti con questi 4 consigli Gli hacker hanno una nuova arma: il dumping delle credenziali. Che cos'è? Come evitare che i tuoi account vengano compromessi? Leggi di più .
Una volta effettuata la registrazione a un sito, tutte le e-mail di benvenuto ricevute non devono contenere la password; se lo fanno, questo è indicativo di un account che utilizza il testo in chiaro. Se fai clic su "Hai dimenticato la mia password" e ti inviano la password effettiva, questo è un segno preciso che le tue informazioni personali sono conservate in modo non sicuro.
Sei preoccupato che un sito non lo stia facendo in modo sicuro? Mandali via email le tue preoccupazioni. Potrebbero assicurarti che usano la crittografia, ma nulla è indistruttibile. In caso contrario, scopri in che modo i siti Web affidabili dovrebbero archiviare le password. Come fanno i siti Web a proteggere le tue password? In che modo i siti Web proteggono le password? Con le regolari violazioni della sicurezza online segnalate, sei senza dubbio preoccupato di come i siti web si occupano della tua password. In effetti, per la massima tranquillità, questo è qualcosa che tutti devono sapere ... Leggi di più e diglielo.
Ulteriori informazioni su: sicurezza online, password.