PerChé lA SICurezzA delle PASSword è CoSì IMPorTANTe?




                    ➣ autenticazione senza password (passwordless): Si basa su metodi alternati-
               vi, come l’invio di link sicuri via e-mail, codici oTP o notif che push su dispositivi
               f dati, eliminando la necessità di ricordare password complesse.
                    L’adozione  di  questi  metodi,  spesso  in  combinazione  tra  loro,  migliora
               signif cativamente la sicurezza informatica, riducendo il rischio di accessi non
               autorizzati e proteggendo gli utenti dalle minacce informatiche.

               3.  Attacchi alle password
                    Le password sono spesso bersaglio di attacchi da parte di criminali informa-
               tici, che utilizzano diverse tecniche per cercare di violarle. nell’ambito della sicu-
               rezza delle informazioni il metodo migliore per immagazzinare una credenziale è
               quello di attuare un’operazione denominata di hashing.
                    nello specif co, quest’ultima è un’operazione matematica eseguita da spe-
               cif ci  algoritmi  che  prendono  in  ingresso  una  password  e  restituiscono  una
               sequenza di caratteri univoca. Questo processo è deterministico, il che signif ca
               che la stessa password genererà sempre lo stesso hash. Tuttavia, è impossibile
               eseguire l’operazione inversa: non si può partire da un hash e risalire alla pas-
               sword originale. Una rappresentazione graf ca di questo concetto è riportata in
               Figura 1.
                    Quando un utente inserisce la sua password per ef ettuare il login, il sistema
               non confronta direttamente il valore digitato con quello memorizzato nel data-
               base. Piuttosto, applica nuovamente l’algoritmo di hashing alla password inserita
               e verif ca se il risultato corrisponde all’hash archiviato. Se i due valori coincidono,
               l’accesso viene concesso; in caso contrario, viene negato.
                    L’hashing protegge le password anche in caso di attacchi informatici.
               Se  un  hacker  riuscisse  a  ottenere  l’accesso  a  un  database contenente solo
               hash, non avrebbe immediatamente a disposizione le credenziali reali degli
               utenti.
                    Per decifrarle, dovrebbe tentare un attacco di forza bruta o utilizzare tec-
               niche basate su dizionari di password comuni, ma l’efficacia di questi metodi
               dipende dalla potenza di calcolo disponibile e dall’algoritmo di hashing utiliz-
               zato.
                    Per  migliorare  ulteriormente  la  sicurezza,  vengono  spesso  utilizzati  dei
               metodi  aggiuntivi,  come  l’aggiunta  di  un  salt:  un  valore  casuale  univoco  che
               viene combinato con la password prima dell’hashing.
                    Questo impedisce che due utenti con la stessa password abbiano lo stesso
               hash, complicando il lavoro di eventuali attaccanti.



                                                                                        163