Come capire se un sito memorizza le password come testo normale (e cosa fare)

siti web-store-Password

Ogni volta che ti registri su un sito, ti stai fidando dei tuoi dettagli personali. Hanno accesso almeno al tuo indirizzo e-mail, e probabilmente molto di più, tra cui, ovviamente, la tua password.

Ma come puoi sapere se il sito si sta prendendo cura delle tue informazioni private? Perché è un problema quando i siti memorizzano i dettagli dell'account in testo semplice? E cosa puoi fare a riguardo?

Cos'è il testo normale? Perché è un problema?

Il testo in chiaro è esattamente ciò che sembra: la tua password è memorizzata esattamente quando la scrivi.

Diciamo che un sito che usi è stato violato. L'hacker ha accesso a un elenco di account con password annotate. Supponiamo che la tua password sia "Pa €€ w0rd" (e speriamo davvero che non lo sia). Il criminale informatico può esaminare l'elenco, trovare il tuo indirizzo e-mail e leggere facilmente che il tuo login "sicuro" è "Pa €€ w0rd".

Il grosso problema è che non importa quanto sia oscura e inaffidabile la tua password. Perché chiunque abbia accesso al tuo account può leggerlo, così facilmente come stai leggendo questo.

password di registrazione e-mail memorizzata come testo in chiaro

È ancora più preoccupante se si utilizza la stessa password su numerose piattaforme. MakeUseOf consiglia di non farlo proprio per questo motivo, come fanno tutti gli esperti di sicurezza. Ciò nonostante, comprendiamo la tentazione di mantenere una password facile da ricordare.

Ma se lo fai, rischi che gli hacker utilizzino fonti in chiaro trapelate per entrare nei tuoi conti bancari online, sul tuo Facebook e su qualsiasi altra cosa duplichi la password.

Si stima che il 30% dei siti di eCommerce memorizzi le proprie password in testo semplice. Questo non è qualcosa che possiamo facilmente trascurare.

Non è limitato a siti piccoli e indipendenti. Alcune grandi aziende sono state scoperte, tra cui NHL, Match.com, LinkedIn, National Trust e Vodafone. Fortunatamente, hanno implementato metodi di archiviazione più sicuri.

Come possono essere memorizzate le password in modo sicuro?

Qual è l'alternativa al testo in chiaro? In realtà, ci sono alcune opzioni per la memorizzazione delle password, ma non tutte sono sicure come potrebbero inizialmente sembrare.

Molti siti utilizzano una funzione di hash, che trasforma la tua password in un altro gruppo di cifre. Se un hacker entra, possono vedere solo questi personaggi randomizzati. È un algoritmo imperfetto, tuttavia, perché ogni volta che inserisci la tua password, genera lo stesso hash. Il sistema quindi assicura che tali cifre siano correlate per consentire l'accesso al tuo account.

E sì, possono essere spezzati, specialmente attraverso attacchi a forza bruta.

Se usi un sito eCommerce, dovresti invece usare gli hash salati. Questi adottano lo stesso principio, ma le cifre aggiuntive bloccano la password prima che entri nell'algoritmo di hash.

Gli hash lenti sono anche migliori: limitano il numero di volte in cui un hacker può attaccare il set di dati al secondo. Se un criminale informatico sa che impiegherà più tempo a craccare una password, è meno probabile che scelga come target l'account.

Come capire se un sito memorizza le password come testo in chiaro

È difficile dirlo a meno che non lavori per la società in questione. E se lo fai, devi avvertire il tuo team tecnico che l'archiviazione di dati privati ​​in testo non è etico.

Tuttavia, c'è un buon indicatore che puoi seguire. Se si imposta un account e il sito invia un'e-mail che elenca la password, è probabile che venga archiviata in testo normale.

password memorizzata come testo in chiaro mostrata tramite e-mail

Di sicuro non sono sicuri se fai clic su "Password dimenticata" e te lo inviano via email. Se fosse stato crittografato, non sarebbero in grado di farlo. Invece, dovresti verificare che sia il tuo account e quindi reimpostare la password.

Le email non sono al sicuro comunque. Sono suscettibili all'hacking. Anche se il sito non memorizza le tue informazioni come testo in chiaro, l'invio di un messaggio dettagliato non è sicuro.

Se si desidera adottare un approccio completo ai propri principi attivi online, utilizzare una password segnaposto quando si registra con un negozio online. Quindi fai clic su "Lost My Password" (o su una variante di esso) e controlla la tua email. Se l'unica opzione è ripristinarla, fallo.

Altrimenti, se puoi vedere chiaramente la password del tuo segnaposto nella tua casella di posta, questo è un segnale preoccupante.

Potresti anche verificare Plaintext Offenders , un sito dedicato ad evidenziare le aziende che non prendono sul serio la tua sicurezza.

Cosa puoi fare a riguardo?

Se sospetti che un sito memorizzi la tua password in testo semplice, mandali per email. Chiedi loro di rispondere alle tue preoccupazioni.

Dovresti rispondere da loro, nel qual caso probabilmente ti assicureranno che usano la crittografia per proteggere i tuoi dati. Ma non lasciarti dissuadere da te. Non credere al mito che la crittografia sia infallibile .

Altrimenti, dobbiamo parlare della limitazione del danno. Non usare le stesse credenziali per tutto. Sappiamo che è allettante e probabilmente penserai che non ci siano danni reali. Ma ti sbagli. Siamo sicuri che una ditta che hai usato in passato sia già stata compromessa. Questo potrebbe essere MySpace , Tumblr, Dropbox … o un'intera serie di siti.

Controlla digitando il tuo indirizzo email in Have I Been Pwned .

I gestori di password proteggono il testo in chiaro?

come verificare se il tuo indirizzo email è stato violato trapelato

I gestori di password sono un modo pulito per mantenere le tue credenziali al sicuro senza doverle ricordare tutte. Usi una password sicura per accedere al gestore che conosce il resto per te.

Ma non aiutano a combattere i siti usando il testo in chiaro. Il gestore è un sistema di archiviazione per la tua sicurezza, non del sito. I tuoi dati privati ​​saranno comunque leggibili se qualcuno entra nel tuo account.

Tuttavia, sei chiaramente interessato a mantenere le tue informazioni private per te, quindi ci sono sicuramente dei vantaggi nell'utilizzare i gestori di password .

Le password in chiaro non sono sicure!

Plaintext significa semplicemente che la tua password è memorizzata esattamente mentre la scrivi. E questo è un problema perché gli hacker possono leggerlo facilmente.

Una volta registrati con un sito, tutte le email di benvenuto che hai ricevuto non dovrebbero avere la tua password inclusa; se lo fanno, questo è indicativo di un account che utilizza testo in chiaro. Se fai clic su "Ho dimenticato la mia password", e ti inviano per e-mail la password, è un segno sicuro che le tue informazioni personali sono conservate in mod
o non sicuro.

Preoccupato un sito non sta facendo questo in modo sicuro? Mandateli via email per le vostre preoccupazioni. Potrebbero assicurarti che usano la crittografia, ma nulla è indistruttibile. In caso contrario, scopri come siti Web affidabili dovrebbero memorizzare le password e dirglielo.

Leggi l'articolo completo: Come capire se un sito memorizza le password come testo normale (e cosa fare)

Fonte: Utilizzare