Video: Dvořák: 8. Sinfonie ∙ hr-Sinfonieorchester ∙ Manfred Honeck (Novembre 2024)
Il mese scorso, John Dvorak, editorialista di lunga data di PCMag e autoproclamato "geek irritabile", ha scritto una diatriba sul processo di reimpostazione della password. Ero seriamente occupato a coprire la Conferenza della RSA a San Francisco, quindi non ho prestato molta attenzione. Ora che ho dato un'occhiata, posso affermare che la posizione di John è completamente e totalmente sbagliata. Per prendere in prestito una frase da "Il Trono di Spade ", non sai nulla, John Dvorak!
Dvorak disse: "Qualunque cosa sia successa all'idea di inviare a qualcuno la password anziché un link di reimpostazione? Mi è piaciuta la vecchia password." Ha continuato a deridere invece l'uso di un link di reset, dicendo "Niente di tutto ciò protegge me o chiunque altro da qualsiasi cosa. È una sciarada. In che modo protegge qualcosa?" Bene, John, te lo dico io.
Non ce l'hanno
Il motivo principale per cui un sito Web sicuro non ti invierà una password dimenticata è molto semplice: non ce l'hanno. Non lo memorizzano da nessuna parte. E questa è una buona cosa. Se non memorizzano la tua password, la password non può essere rubata dagli hacker o pubblicata su Pastebin da un dipendente scontento. Davvero, un sito web che memorizza effettivamente la tua password sta mettendo in pericolo la tua privacy.
Quindi, se non memorizzano la tua password, come possono sapere che hai inserito quella giusta? La risposta sta in un concetto chiamato hashing. L'hash è molto simile alla crittografia, ma è un processo a senso unico. Lo stesso input per un algoritmo di hashing produce sempre lo stesso output, ma non c'è modo di prendere quell'output e riscoprire l'originale.
Supponi di registrarti per un nuovo account online utilizzando la tua password preferita, che è "password". Il sito inserisce ciò che hai inserito tramite un algoritmo di hashing e ti restituisce alcune cose incomprensibili come 991CEFz e Nw36, che memorizza. Quando accedi, il sito esegue la password che hai inserito attraverso lo stesso algoritmo. Se il risultato corrisponde, ci sei.
Non dovrebbero inviarlo
Anche se in un sito sicuro è stata memorizzata la tua password effettiva, non dovrebbero inviarti via email. L'email è intrinsecamente insicura. I tuoi messaggi rimbalzano da un server all'altro sulla strada verso la tua casella di posta. A meno che tu non abbia usato una sorta di crittografia e-mail, la tua password non è sicura durante i suoi viaggi.
Dvorak sostiene che un collegamento per reimpostare la password è altrettanto vulnerabile. Ha torto. Per prima cosa, i collegamenti di ripristino sono in genere di breve durata. Poco dopo aver richiesto il collegamento, questo diventa non valido. Una volta che hai usato il link, nuovamente, diventa non valido. Inoltre, l'utilizzo del collegamento imposta una connessione SSL sicura tra il browser e i server del sito. Immetti la tua nuova password, il sito l'hash e memorizza il risultato e sei di nuovo in affari.
Ma non ricordo!
Dvorak risolve il problema del suo account Dropbox, che utilizza solo poche volte all'anno. Naturalmente quando è costretto a usarlo, non riesce a ricordare la password. In effetti, una password che puoi ricordare facilmente è molto probabile che qualcun altro possa indovinare. Quello che deve davvero fare è iniziare a utilizzare un gestore di password e cambiare tutte le sue password esistenti con nuove, forti e uniche.
- Come creare password follemente sicure Come creare password follemente sicure
- I migliori gestori di password per il 2019 I migliori gestori di password per il 2019
- Il dilemma di reimpostazione della password Il dilemma di reimpostazione della password
Sì, è necessario un certo lavoro per passare a password complesse, ma ne vale la pena. La nostra Jill Duffy spiega come ha fatto per un periodo di cinque settimane. E non deve essere costoso. Alcuni dei gestori di password gratuiti disponibili fanno un ottimo lavoro.
"Ma devo ancora ricordare quella forte password principale", posso quasi sentire John dire. Davvero. Ma è solo una password e ci sono modi per renderla memorabile. Inoltre, lo utilizzerai tutti i giorni, non una volta all'anno. Quindi, John, considera questa la tua sveglia; è tempo di entrare nel mondo moderno e ottenere un gestore di password.