Il noto ricercatore di sicurezza Troy Hunt ha recentemente aggiornato il suo Pwned Passwords , un servizio telematico che permette di controllare la sicurezza di una password comparando l’input dell’utente con il massiccio database integrato contenente le chiavi di accesso già finite on-line e quindi da considerarsi come assolutamente compromesse.
Una delle caratteristiche di Pwned Passwords è la possibilità di interfacciarsi al servizio tramite un’apposita API, ed è una possibilità che gli sviluppatori del manager di password 1Password hanno deciso di sfruttare a brevissima distanza dal debutto della nuova versione del servizio.
Gli utenti di 1Password hanno quindi a disposizione un nuovo strumento per valutare la sicurezza delle loro chiavi di accesso , un modo per garantire l’unicità e l'”integrità” di una password grazie ai 500 milioni di stringe compromesse incluse nel database di Pwned Passwords.
Ma gli sviluppatori di 1Password hanno deciso di andare oltre il semplice controllo on-line, visto che il meccanismo adottato dal tool per la verifica garantisce un livello di protezione in più : invece di controllare una password nella sua interezza, 1Password compara i primi cinque caratteri del suo hash SHA-1.
Pwned Passwords restituirà le stringe contenenti quei primi cinque caratteri , e 1Password si incaricherà del controllo finale tra la password specificata dall’utente – sotto forma di hash SHA-1 – e le possibili scelte restituite dal servizio on-line.
Nel prossimo futuro 1Password includerà nuove possibilità di verifica ancora più sicure e indipendenti dai server remoti, ma per il momento gli sviluppatori del password manager dovranno accontentarsi dei commenti positivi di Troy Hunt sul metodo di controllo a base di hash che rispetta la privacy.
Alfonso Maruccia
Ti potrebbe interessare
28 feb 2018