Sono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.
Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.
La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.
Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--
O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]
Un’altra limitazione ridicola è la lunghezza massima della password impostata ad un valore troppo basso. Capisco che si debba impostare un limite, ma 15 caratteri sono davvero troppo pochi, specialmente se si considera il consiglio che danno in molti di passare da una password (parola segreta) ad una passphrase (frase segreta).
Questi limiti fanno subito dubitare che il database sottostante abbia una tabella con un VARCHAR(15) per registrare la password in chiaro (o con un XOR) anziché utilizzare un salted hash.
Ultima ma non ultima limitazione stupida: almeno una lettera minuscola, almeno una lettera maiuscola, almeno 8 caratteri. È l’impostazione standard di Windows Server (ma non solo lui) quando vi fa cambiare la password. E così, secondo questa regola, Password1 è più sicura di vivalapeppacolpomidoro o gringolamachinavavavuma.
Le imposizioni di caratteri eterogenei (posto che non vi vengano bloccati come nel primo esempio) hanno senso solamente su password corte, ma perde via via di significato quando la password si allunga.
Lascia un commento