Userei una password complessa, ma…

CartaSISono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.

Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.

La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase  caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.

Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--

O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]

Un’altra limitazione ridicola è la lunghezza massima della password impostata ad un valore troppo basso. Capisco che si debba impostare un limite, ma 15 caratteri sono davvero troppo pochi, specialmente se si considera il consiglio che danno in molti di passare da una password (parola segreta) ad una passphrase (frase segreta).

Questi limiti fanno subito dubitare che il database sottostante abbia una tabella con un VARCHAR(15) per registrare la password in chiaro (o con un XOR) anziché utilizzare un salted hash.

Ultima ma non ultima limitazione stupida: almeno una lettera minuscola, almeno una lettera maiuscola, almeno 8 caratteri. È l’impostazione standard di Windows Server (ma non solo lui) quando vi fa cambiare la password. E così, secondo questa regola, Password1 è più sicura di vivalapeppacolpomidoro o gringolamachinavavavuma.

Le imposizioni di caratteri eterogenei (posto che non vi vengano bloccati come nel primo esempio) hanno senso solamente su password corte, ma perde via via di significato quando la password si allunga.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Userei una password complessa, ma…”

  1. C’e` di peggio. C’e` un sito del quale non faro` il nome che quando ti iscrivi accetta tranquillamente la password “guardacomepompailpippero” ma quando va a salvarla la tronca a “guardacom”. Senza dirtelo.

    Capite anche voi che fare login, il giorno dopo, diventa “non banale”.

  2. Conosco un posto abbastanza importante dove una password di 15 caratteri e` considerata troppo lunga, e di parecchio.

    Non fatemi dire altro.

  3. Io ho mandato a cagare il mio provider di cui non faccio nome ma IP 85.18.200.200 nel quale in una delle varie subiscrizione ad alcuni servizi, di tipo fax ho inserito tra i vari caratteri anche un asterisco. La password è stata salvata, senza problemi, e al successivo login vengo informato che non l’asterisco non è un carattere valido. Ci ho messo un mese tra mail e telefonate a farmi resettare la password.

  4. Ho pensato a questo articolo stamattina mentre cambiavo la password di un sito “tutto intorno a te” e mi faceva notare che la password può essere composta solo da numeri e lettere ….

Spazio per un commento