Diverse aziende hanno recentemente ammesso di memorizzare le password in formato di testo normale. È come memorizzare una password nel Blocco note e salvarla come file .txt. Le password dovrebbero essere salate e sottoposte ad hashing per motivi di sicurezza, quindi perché non accade nel 2019?
Perché le password non dovrebbero essere memorizzate in testo normale
Quando un’azienda memorizza le password in testo normale, chiunque disponga del database delle password o di qualsiasi altro file in cui sono archiviate le password può leggerle. Se un hacker ottiene l’accesso al file, può vedere tutte le password.
Memorizzare le password in testo normale è una pratica terribile. Le aziende dovrebbero eseguire il salting e l’hashing delle password, che è un altro modo per dire “aggiungere dati extra alla password e poi rimescolarsi in un modo che non può essere invertito”. In genere ciò significa che anche se qualcuno ruba le password da un database, sono inutilizzabili. Quando effettui l’accesso, l’azienda può verificare che la tua password corrisponda alla versione codificata memorizzata, ma non può “lavorare a ritroso” dal database e determinare la tua password.
Allora perché le aziende memorizzano le password in chiaro? Sfortunatamente, a volte le aziende non prendono sul serio la sicurezza. Oppure scelgono di compromettere la sicurezza in nome della comodità. In altri casi, l’azienda fa tutto bene quando memorizza la tua password. Ma potrebbero aggiungere funzionalità di registrazione troppo zelanti, che registrano le password in testo normale.
Diverse aziende hanno password memorizzate in modo improprio
Potresti già essere influenzato da cattive pratiche perché Robin Hood, Google, Facebook, GitHub, Twitter e altri memorizzano le password in testo normale.
Nel caso di Google, la società stava adeguatamente hashing e saltando le password per la maggior parte degli utenti. Ma Password degli account G Suite Enterprise sono stati archiviati in testo normale. La società ha affermato che questa era una pratica avanzata da quando ha fornito agli amministratori di dominio gli strumenti per recuperare le password. Se Google avesse memorizzato correttamente le password, non sarebbe stato possibile. Solo un processo di reimpostazione della password funziona per il ripristino quando le password sono archiviate correttamente.
Quando anche Facebook ammesso di memorizzare le password in testo normale, non indicava la causa esatta del problema. Ma puoi dedurre il problema da un aggiornamento successivo:
… abbiamo scoperto registri aggiuntivi delle password di Instagram archiviati in un formato leggibile.
A volte un’azienda fa tutto bene quando inizialmente memorizza la tua password. E poi aggiungi nuove funzionalità che causano problemi. Oltre a Facebook, Robin Hood, Github, e Twitter password di testo normale registrate accidentalmente.
La registrazione è utile per trovare problemi nelle app, nell’hardware e persino nel codice di sistema. Ma se un’azienda non verifica a fondo tale capacità di registrazione, può causare più problemi di quanti ne risolva.
Nel caso di Facebook e Robinhood, quando gli utenti fornivano il nome utente e la password per accedere, la funzione di registrazione poteva vedere e registrare i nomi utente e le password mentre venivano digitati. Quindi ha archiviato quei registri altrove. Chiunque avesse accesso a quei registri aveva tutto il necessario per acquisire un account.
In rare occasioni, un’azienda come T-Mobile Australia può ignorare l’importanza della sicurezza, a volte in nome della convenienza. In un scambio Twitter dopo l’eliminazione, un rappresentante di T-Mobile ha spiegato a un utente che l’azienda memorizza le password in testo normale. La memorizzazione delle password in questo modo ha consentito ai rappresentanti del servizio clienti di vedere le prime quattro lettere di una password a scopo di conferma. Quando altri utenti di Twitter hanno opportunamente sottolineato quanto sarebbe stato grave se alcuni