E’ facilmente comprensibile che password come “superman” siano troppo comuni dunque altamente vulnerabili, ma probabilmente non si sa che, pur scegliendone alcune apparentemente più complicate, si può comunque incappare in attacchi esterni indesiderati.
La motivazione è che un hacker, quando entra in possesso di una password, la condivide in una sorta di forum online popolato da altri utenti malintenzionati: questo permette di violare i profili altrui servendosi di password precedentemente rubate. Di conseguenza, anche se la password fosse “pr€c1p1t€v0l1$$1m€v0lm€nt€”, sarebbe sconsigliato usarla se fosse già stata intercettata e condivisa.
Per ovviare a questo problema, il plugin di Okta informa l’utente tramite un pop-up di quante volte la password inserita è stata precedentemente violata, e una volta visualizzato il messaggio, l’utente eventualmente si assume la responsabilità di utilizzare la stessa password.
Sarebbe normale chiedersi se questo sistema è sicuro, dal momento che analizza e ottiene l’accesso alla nostra password.
In realtà tutto ciò avviene con la stessa tecnologia con cui i principali siti web processano le password quando si effettua il login: la password viene criptata con un algoritmo di “hashing” che la converte in un’altra stringa di caratteri pseudo-casuali da cui è quasi impossibile risalire alla password originale. Da questa stringa vengono estratti i primi cinque caratteri, che successivamente vengono confrontati con le altre password crittografate presenti nel database di Have I Been Pwned (che raccoglie le informazioni dei siti web precedentemente hackerati). Il database rimanda indietro un insieme di password criptate che iniziano con gli stessi cinque caratteri, successivamente si effettua una ricerca mirata sull’insieme ridotto.
Questo sistema assicura una quasi totale impenetrabilità nel caso in cui venga esteso anche al controllo dello username perchè gli utenti sono abituati ad usare lo stesso username in siti diversi; ecco perché Okta vorrebbe sviluppare un plug-in anche per il loro controllo.
