Quando ti mandano una password in chiaro: perché è un problema.
È una cosa di una gravità molto più importante di quanto si pensi.
Quando riceviamo un email con dentro la password che abbiamo inserito per registrarci, prima si è scatenata una serie di attività.
La password inserita nella pagina web passa per un’applicazione che registra questa password nel database (difficile pensare che sia criptato).
Poi viene attivato un processo che accede a questo database e legge i dati per inviare il messaggio. Il messaggio, infine, contiene l’indirizzo email, il nome utente e la password perfettamente leggibile.
Va anche detto che in molti casi, per ragioni di monitoraggio e gestione dell’applicazione, la password viene anche salvata in file di log (file di testo senza alcuna protezione) che spesso circolano allegramente per l’azienda e anche fuori (sviluppatore).
Da quando è nata, l’email è sempre stata descritta come una cartolina postale che, ad ogni, passaggio, può essere letta da chiunque.
In aggiunta, tutti i server di posta elettronica che stanno in mezzo nei vari passaggi tra mittente e destinatario, normalmente salvano copie, registrano log etc.
Per fare un paragone, è come se, per fare una copia delle chiavi di casa, mandiamo la chiave ad un ferramenta che si trova all’estero e ogni corriere si fa una copia che tiene per sé nel caso la prima si perdesse; lo accettereste?
La cosa incredibile è che questa pratica che dovrebbe essere vietata per legge.. è vietata dal GDPR implicitamente, la ritroviamo in enti e organizzazioni che dovrebbero essere i massimi esperti di sicurezza.
Poco tempo fa mi sono registrato sul sito di https://www.federprivacy.org/ che, a detta loro, sono esperti di privacy, e come conferma di registrazione ho ricevuto una email con utente e password in chiaro.
Situazione piuttosto ridicola, imbarazzante e grave.
Un provider di servizi Internet (Serverplan), che dovrebbe essere una garanzia in materia di sicurezza, mi ha mandato le credenziali di accesso ai vari servizi con tanto di utente e password in chiaro; tutto questo fino a pochi mesi fa.
Alla richiesta di chiarimenti su questo metodo la risposta è stata: “per noi la sicurezza è importante”.
Il fatto è che non ci si può più fidare anche se cambiano la procedura perché se non era chiaro fino a ieri la sacralità della password, perché oggi dovrebbe essere diverso?
E ancora desso continuo a trovare siti che operano in questo modo ‘barbaro’: un fornitore di una soluzione GDPR, DeltaTech, (che si occupa di privacy), PubMe per l’auto pubblicazione e altri ancora che insistono a mandare la password in chiaro.
In alcuni casi si potrebbe soprassedere ma in altri decisamente NO.
La sensazione è che abbiano risparmiato, e molto, sulla progettazione e abbiano lasciato tutto in mano ai programmatori (come al solito).
Nel caso ci siano dubbi, questo è quello che può succedere.
Un’email viene inviata in chiaro e passa per non si sa quali server che potrebbero essere ostaggio di hacker ‘cattivi’. Con sistemi automatizzati vengono raccolti questi dati illegalmente (ma tanto stanno in Russia in Cina o chissà dove). A questo punto qualcuno nel mondo è in grado di fare qualcosa al posto tuo.
Se ti viene in mente una scemenza del tipo: “tanto non ho niente da nascondere” sappi che sei un deficiente perché se qualcuno opera a tuo nome, a tuo nome potrebbe anche commettere un crimine. Pensaci bene.
La gravità di questo fatto va oltre ciò che si vede perché nel 2018 chi ancora non ha recepito concetti ampiamente trattati oltre vent’anni fa, forse dovrebbe fare un altro mestiere.
È bene porre attenzione anche ai dettagli quando si sottoscrive un qualcosa su Internet; tutto ciò che fai lo fai su una piattaforma globale, cioè tutto il mondo vi può accedere.
Meno male che c’è l’Europa con il suo GDPR . Anche se ci vorrà tempo, queste oscenità dovrebbero ridursi almeno un po’.