Perché un sito non dovrebbe poter decifrare la tua password
Se un servizio può decrittografare le password, è un segnale di allarme. I buoni sistemi di password di solito non necessitano affatto di questa funzionalità.
Perché la decifrabilità è problematica
Una password non è un documento che un servizio deve rileggere in seguito. Per registrarsi è sufficiente confrontare una derivazione sicura.
Se un provider riesce a recuperare la password, c'è sempre il rischio che ne traggano vantaggio anche gli aggressori o gli errori di configurazione interni.
Come riconoscere i sistemi problematici
- Un servizio può inviarti la tua vecchia password in formato testo normale.
- Il supporto o i processi suggeriscono che la password originale è nota.
- La documentazione tecnica parla di decrittazione piuttosto che di hashing sicuro delle password.
Cosa dovrebbero imparare gli utenti e gli operatori da tutto ciò
Gli utenti dovrebbero prestare particolare attenzione a tali segnali e non riutilizzare mai le password. Gli operatori dovrebbero sostituire costantemente lo stoccaggio reversibile.
Nelle valutazioni della sicurezza, questo è un forte indicatore di debolezze architetturali fondamentali.
Lista rapida
Le azioni più importanti di questa guida, riassunte in breve.
- Non riutilizzare mai le password su più servizi, soprattutto su sistemi discutibili.
- Utilizzare l'archiviazione irreversibile delle password durante lo sviluppo.
- Prendi sul serio i segnali di avvertimento come promemoria in testo semplice o vecchi processi di supporto.
Domande frequenti
Crea subito una password forte
Usa il generatore di Zenkey.click per creare subito una password casuale forte o una passphrase sicura.