Proton
Iscriviti con RSS

Che cosa sono l’hashing e il salting delle password?

Condividi questa pagina

Se stai confrontando diversi gestori di password o cercando sicurezza password, ti imbatterai rapidamente in termini come hashing e salting. Anche se questi termini potrebbero sembrare passaggi per preparare le patate per colazione, in realtà sono processi essenziali per proteggere qualsiasi account online.

Questo articolo spiega cosa significano l’hashing e il salting delle password, come funzionano e perché sono necessari.

Hashing delle password

Salting delle password

Come Proteggiamo le Password su Proton

Hashing delle password

L’hashing è un modo per mescolare le informazioni in una stringa di lettere e numeri di lunghezza fissa. Puoi prendere informazioni non criptate, che siano una password, un’immagine o un intero libro, e inserirle in una funzione di hash, che trasforma quelle informazioni in un valore di hash con un numero specifico di caratteri. Ad esempio, SHA-256, una delle funzioni di hash più comuni, crea sempre valori di hash a 256 bit (32 byte).

Crea i tuoi valori di hash(nuova finestra)

Oltre a creare un prodotto di lunghezza fissa, ci sono altre due cose che distinguono l’hashing dalla criptazione standard. L’hashing è:

  • Irreversibile — Non puoi “dehashare” (o rigenerare le informazioni originali) un valore di hash in nessun modo.
  • Deterministico — Se inserisci le stesse informazioni in una funzione di hash, restituirà lo stesso valore di hash ogni volta.
  • Imprevedibile — Dovrebbe essere quasi impossibile indovinare il valore di hash risultante per qualsiasi informazione inserita. In effetti, se puoi prendere un valore hash e indovinare o creare facilmente l’input che genererebbe quel valore hash, allora quella funzione hash dovrebbe essere considerata vulnerabile e da evitare.

Queste tre caratteristiche rendono l’hashing un buon modo per memorizzare e verificare le password in modo sicuro.

Hashing, memorizzazione delle password e autenticazione delle password

Quando crei un nuovo account online, fornisci invariabilmente un nome utente (di solito il tuo indirizzo email) e crei una password. Questo permette al servizio di sapere chi sei e di verificare che sei effettivamente tu.

Ma la password crea un problema complicato per i fornitori di servizi. Hanno essenzialmente tre opzioni. Possono memorizzare la tua password in testo semplice, criptata o hashata.

Non serve essere un esperto di sicurezza informatica per vedere i problemi di memorizzare le password in testo semplice. Questo permetterebbe al servizio di accedere al tuo account quando vuole, e la tua password sarebbe esposta se ci fosse mai una violazione.

La crittografia non funziona nemmeno. Se un servizio crittografa una password usando chiavi che controlla, può comunque accedere alla tua password in qualsiasi momento (e potenzialmente esporla in una violazione). E non può crittografare la tua password usando una chiave che non controlla (una chiave che si trova sul tuo dispositivo, ad esempio) perché ciò non gli permette di verificare che la tua password sia corretta quando accedi.

L’hashing è un buon compromesso. Poiché l’hashing è irreversibile, i servizi possono memorizzare la tua password e assicurare agli utenti che non possono accedere ai loro account e che le loro password saranno sicure in caso di violazione.

E poiché l’hashing è deterministico, un servizio può verificare una password confrontando i due valori hash. Se i valori hash corrispondono, il servizio sa che le informazioni di input (le password) corrispondono, anche se il servizio non conosce qual è la password effettiva.

È un sistema intelligente, ma l’hashing ha un problema di prevedibilità. Se supponi che una delle password più comuni per qualsiasi servizio sia “password”. Con queste informazioni, puoi probabilmente trovare gli account che usano “password” semplicemente osservando i valori hash più ripetuti.

Infatti, esiste un cyberattacco dedicato a decifrare hash usando le cosiddette tabelle arcobaleno, che compilano hash e cercano di interpretare le regole che li governano in grandi tabelle. Sono efficaci proprio perché gli hash sono prevedibili.

Salatura delle password

Per minimizzare la prevedibilità di una funzione hash, i programmatori usano la salatura. La salatura è una tecnica che prende la funzione hash prevedibile e aggiunge un po’ di “sapore” extra — da qui il termine “sale” — sotto forma di imprevedibilità. Un sale è un breve insieme di caratteri casuali aggiunti a ogni password prima che venga eseguito l’hash.

Ciò che rende speciale un sale è che ciascuno è unico per ogni utente. Se crei una password con un servizio, ti viene assegnato un sale che nessun altro ha. Se cambi la tua password, alcuni servizi utilizzeranno un nuovo sale. Questo garantisce essenzialmente che nessuna password (e quindi, nessun valore hash) venga mai ripetuta fintanto che viene utilizzato un nuovo valore sale casuale per ogni nuova password.

Questo rende il compito di qualsiasi potenziale attaccante molto più difficile. Le loro tabelle arcobaleno sono inutili poiché il salting rende i valori hash imprevedibili. Tutto ciò che rimane è assicurarsi che la tua password sia abbastanza casuale da scoraggiare qualsiasi attacco a dizionario.

Come proteggiamo le password su Proton

Su Proton, mettiamo la privacy e la sicurezza dei nostri utenti al primo posto. Non inviamo mai la tua password ai nostri server, basandoci invece sul protocollo Secure Remote Password (SRP). SRP consente a un utente di autenticarsi a un server (e viceversa) dimostrando di conoscere la password senza condividerla o fornire informazioni che un attaccante potrebbe usare per derivare la password (come una somma hash, ad esempio). La tua password rimane sicura sul tuo dispositivo.

Scopri di più su come Proton usa SRP

Utilizziamo l’hashing e il salting, ma solo per le chiavi del tuo account. Una volta che effettui il login con successo, Proton invia le chiavi del tuo account al tuo client. Il tuo client quindi salta e hash la tua password usando bcrypt e utilizza il valore hash risultante come chiave per decriptare la chiave del tuo account. Una volta decriptata la chiave del tuo account, può essere utilizzata per accedere alle tue email, ai calendari, ecc. Questo processo avviene localmente sul tuo dispositivo quindi la tua password e il tuo hash non lasciano mai il dispositivo.

Puoi estendere questo livello di protezione anche ad altri account con Proton Pass, il nostro gestore di password crittografato end-to-end.

Come puoi leggere nel nostro dettagliato resoconto del modello di sicurezza di Proton Pass, noi crittografiamo end-to-end le tue password individualmente così come le casseforti in cui le conservi, impedendo a chiunque, inclusi noi, di visualizzare i tuoi elementi in qualsiasi momento durante il processo di trasferimento.

Possiamo offrire questo tipo di elevata sicurezza perché siamo finanziati interamente da te, il nostro utente. Senza azionisti o investitori di venture capital con cui preoccuparsi, possiamo concentrarci sullo sviluppo di strumenti che offrono il meglio in termini di sicurezza e usabilità senza ridurre i costi o fare compromessi.
Il risultato è un servizio che mette te al primo posto, sia che si tratti di avere la migliore tecnologia di crittografia, sia di offrire un’interfaccia di classe superiore. Se questo ti sembra qualcosa che vorresti provare tu stesso, iscriviti a Proton Pass oggi.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

An image showing Proton Drive's open-source code in GitHub
en
Proton Drive’s desktop apps are open source, meaning you can review the code of any Proton Drive app for yourself.
how to create a business email account
en
This article explains how to create a business email account that’s secure by default using Proton Mail.
A cover image for a Proton blog about how to safely share your wifi password - image shows a wifi symbol with a button saying 'share' with a key symbol
en
Is it safe to share Wi-Fi passwords in a text? Here’s how to share your Wi-Fi password easily and securely on any device, from any location.
A Proton blog cover image showing a phone screen with an empty one time password code field
en
  • Guide sulla privacy
What is a one time password?
One time passwords are a common method for authenticating your identity – are they safe? We explain what they are and how to use them safely.
en
In response to popular demand, our privacy-first AI writing assistant Proton Scribe is now available for free on our Duo and Family plans, in nine different languages.
en
  • Guide sulla privacy
How does Bitcoin work?
It’s easy to understand Bitcoin if you know a few simple concepts. This article explains how Bitcoin works and how to start using it.