Valtiberina Online - Un portale Wineuropa

Il noto ricercatore di sicurezza Troy Hunt ha recentemente aggiornato il suo Pwned Passwords, un servizio telematico che permette di controllare la sicurezza di una password comparando l'input dell'utente con il massiccio database integrato contenente le chiavi di accesso già finite on-line e quindi da considerarsi come assolutamente compromesse.

Una delle caratteristiche di Pwned Passwords è la possibilità di interfacciarsi al servizio tramite un'apposita API, ed è una possibilità che gli sviluppatori del manager di password 1Password hanno deciso di sfruttare a brevissima distanza dal debutto della nuova versione del servizio.

Gli utenti di 1Password hanno quindi a disposizione un nuovo strumento per valutare la sicurezza delle loro chiavi di accesso, un modo per garantire l'unicità e l'"integrità" di una password grazie ai 500 milioni di stringe compromesse incluse nel database di Pwned Passwords.
Ma gli sviluppatori di 1Password hanno deciso di andare oltre il semplice controllo on-line, visto che il meccanismo adottato dal tool per la verifica garantisce un livello di protezione in più: invece di controllare una password nella sua interezza, 1Password compara i primi cinque caratteri del suo hash SHA-1.

Pwned Passwords restituirà le stringe contenenti quei primi cinque caratteri, e 1Password si incaricherà del controllo finale tra la password specificata dall'utente - sotto forma di hash SHA-1 - e le possibili scelte restituite dal servizio on-line.

Nel prossimo futuro 1Password includerà nuove possibilità di verifica ancora più sicure e indipendenti dai server remoti, ma per il momento gli sviluppatori del password manager dovranno accontentarsi dei commenti positivi di Troy Hunt sul metodo di controllo a base di hash che rispetta la privacy.

Alfonso Maruccia
tratto da www.punto-informatico.it