Proton

Se stai confrontando diversi gestori di password o cercando sicurezza password, ti imbatterai rapidamente in termini come hashing e salting. Anche se questi termini potrebbero sembrare passaggi per preparare le patate per colazione, in realtà sono processi essenziali per proteggere qualsiasi account online.

Questo articolo spiega cosa significano l’hashing e il salting delle password, come funzionano e perché sono necessari.

Hashing delle password

Salting delle password

Come Proteggiamo le Password su Proton

Hashing delle password

L’hashing è un modo per mescolare le informazioni in una stringa di lettere e numeri di lunghezza fissa. Puoi prendere informazioni non criptate, che siano una password, un’immagine o un intero libro, e inserirle in una funzione di hash, che trasforma quelle informazioni in un valore di hash con un numero specifico di caratteri. Ad esempio, SHA-256, una delle funzioni di hash più comuni, crea sempre valori di hash a 256 bit (32 byte).

Crea i tuoi valori di hash(new window)

Oltre a creare un prodotto di lunghezza fissa, ci sono altre due cose che distinguono l’hashing dalla criptazione standard. L’hashing è:

  • Irreversibile — Non puoi “dehashare” (o rigenerare le informazioni originali) un valore di hash in nessun modo.
  • Deterministico — Se inserisci le stesse informazioni in una funzione di hash, restituirà lo stesso valore di hash ogni volta.
  • Imprevedibile — Dovrebbe essere quasi impossibile indovinare il valore di hash risultante per qualsiasi informazione inserita. In effetti, se puoi prendere un valore hash e indovinare o creare facilmente l’input che genererebbe quel valore hash, allora quella funzione hash dovrebbe essere considerata vulnerabile e da evitare.

Queste tre caratteristiche rendono l’hashing un buon modo per memorizzare e verificare le password in modo sicuro.

Hashing, memorizzazione delle password e autenticazione delle password

Quando crei un nuovo account online, fornisci invariabilmente un nome utente (di solito il tuo indirizzo email) e crei una password. Questo permette al servizio di sapere chi sei e di verificare che sei effettivamente tu.

Ma la password crea un problema complicato per i fornitori di servizi. Hanno essenzialmente tre opzioni. Possono memorizzare la tua password in testo semplice, criptata o hashata.

Non serve essere un esperto di sicurezza informatica per vedere i problemi di memorizzare le password in testo semplice. Questo permetterebbe al servizio di accedere al tuo account quando vuole, e la tua password sarebbe esposta se ci fosse mai una violazione.

La crittografia non funziona nemmeno. Se un servizio crittografa una password usando chiavi che controlla, può comunque accedere alla tua password in qualsiasi momento (e potenzialmente esporla in una violazione). E non può crittografare la tua password usando una chiave che non controlla (una chiave che si trova sul tuo dispositivo, ad esempio) perché ciò non gli permette di verificare che la tua password sia corretta quando accedi.

L’hashing è un buon compromesso. Poiché l’hashing è irreversibile, i servizi possono memorizzare la tua password e assicurare agli utenti che non possono accedere ai loro account e che le loro password saranno sicure in caso di violazione.

E poiché l’hashing è deterministico, un servizio può verificare una password confrontando i due valori hash. Se i valori hash corrispondono, il servizio sa che le informazioni di input (le password) corrispondono, anche se il servizio non conosce qual è la password effettiva.

È un sistema intelligente, ma l’hashing ha un problema di prevedibilità. Se supponi che una delle password più comuni per qualsiasi servizio sia “password”. Con queste informazioni, puoi probabilmente trovare gli account che usano “password” semplicemente osservando i valori hash più ripetuti.

Infatti, esiste un cyberattacco dedicato a decifrare hash usando le cosiddette tabelle arcobaleno, che compilano hash e cercano di interpretare le regole che li governano in grandi tabelle. Sono efficaci proprio perché gli hash sono prevedibili.

Salatura delle password

Per minimizzare la prevedibilità di una funzione hash, i programmatori usano la salatura. La salatura è una tecnica che prende la funzione hash prevedibile e aggiunge un po’ di “sapore” extra — da qui il termine “sale” — sotto forma di imprevedibilità. Un sale è un breve insieme di caratteri casuali aggiunti a ogni password prima che venga eseguito l’hash.

Ciò che rende speciale un sale è che ciascuno è unico per ogni utente. Se crei una password con un servizio, ti viene assegnato un sale che nessun altro ha. Se cambi la tua password, alcuni servizi utilizzeranno un nuovo sale. Questo garantisce essenzialmente che nessuna password (e quindi, nessun valore hash) venga mai ripetuta fintanto che viene utilizzato un nuovo valore sale casuale per ogni nuova password.

Questo rende il compito di qualsiasi potenziale attaccante molto più difficile. Le loro tabelle arcobaleno sono inutili poiché il salting rende i valori hash imprevedibili. Tutto ciò che rimane è assicurarsi che la tua password sia abbastanza casuale da scoraggiare qualsiasi attacco a dizionario.

Come proteggiamo le password su Proton

Su Proton, mettiamo la privacy e la sicurezza dei nostri utenti al primo posto. Non inviamo mai la tua password ai nostri server, basandoci invece sul protocollo Secure Remote Password (SRP). SRP consente a un utente di autenticarsi a un server (e viceversa) dimostrando di conoscere la password senza condividerla o fornire informazioni che un attaccante potrebbe usare per derivare la password (come una somma hash, ad esempio). La tua password rimane sicura sul tuo dispositivo.

Scopri di più su come Proton usa SRP

Utilizziamo l’hashing e il salting, ma solo per le chiavi del tuo account. Una volta che effettui il login con successo, Proton invia le chiavi del tuo account al tuo client. Il tuo client quindi salta e hash la tua password usando bcrypt e utilizza il valore hash risultante come chiave per decriptare la chiave del tuo account. Una volta decriptata la chiave del tuo account, può essere utilizzata per accedere alle tue email, ai calendari, ecc. Questo processo avviene localmente sul tuo dispositivo quindi la tua password e il tuo hash non lasciano mai il dispositivo.

Puoi estendere questo livello di protezione anche ad altri account con Proton Pass, il nostro gestore di password crittografato end-to-end.

Come puoi leggere nel nostro dettagliato resoconto del modello di sicurezza di Proton Pass, noi crittografiamo end-to-end le tue password individualmente così come le casseforti in cui le conservi, impedendo a chiunque, inclusi noi, di visualizzare i tuoi elementi in qualsiasi momento durante il processo di trasferimento.

Possiamo offrire questo tipo di elevata sicurezza perché siamo finanziati interamente da te, il nostro utente. Senza azionisti o investitori di venture capital con cui preoccuparsi, possiamo concentrarci sullo sviluppo di strumenti che offrono il meglio in termini di sicurezza e usabilità senza ridurre i costi o fare compromessi.
Il risultato è un servizio che mette te al primo posto, sia che si tratti di avere la migliore tecnologia di crittografia, sia di offrire un’interfaccia di classe superiore. Se questo ti sembra qualcosa che vorresti provare tu stesso, iscriviti a Proton Pass oggi.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

proton scribe
La maggior parte di noi invia email ogni giorno. Trovare le parole giuste e il tono corretto, tuttavia, può richiedere molto tempo. Oggi presentiamo Proton Scribe, un assistente di scrittura intelligente e orientato alla privacy integrato direttament
Le persone e le aziende sono generalmente soggette alle leggi del paese e della città in cui si trovano, e queste leggi possono cambiare quando si trasferiscono in un nuovo luogo. Tuttavia, la situazione diventa più complicata quando si considerano i
I tuoi dati online non vengono più utilizzati solo per annunci pubblicitari ma anche per addestrare AI. Google utilizza informazioni pubblicamente disponibili per addestrare i suoi modelli AI, sollevando dubbi sulla compatibilità dell’AI con le leggi
iPhone memorizza le password nel Portachiavi iCloud, il gestore di password integrato di Apple. È conveniente ma ha alcuni svantaggi. Un problema principale è che non funziona bene con altre piattaforme, rendendo difficile per gli utenti Apple utiliz
Ci sono molte ragioni per cui potresti aver bisogno di condividere password, dettagli bancari e altre informazioni altamente sensibili. Ma abbiamo notato che molte persone lo fanno tramite app di messaggistica o altri metodi che mettono a rischio i t
I grandi modelli di linguaggio (LLM) addestrati su dataset pubblici possono servire a una vasta gamma di scopi, dalla composizione di post sui blog alla programmazione. Tuttavia, il loro vero potenziale risiede nella contestualizzazione, ottenuta sia