Martedì scorso Google ha dichiarato: hai presente lo strumento dell’amministratore del dominio per reimpostare le password nel prodotto business G Suite? Quello che abbiamo implementato 14 anni fa?
Abbiamo commesso un errore, ha rivelato Google. Per tutto questo tempo la società ha archiviato copie di password unhashed – cioè, in chiaro, non crittografate.
Da un post sul blog scritto dal vicepresidente dell’engineering di Google Suzanne Frey:
Abbiamo commesso un errore durante l’implementazione di questa funzionalità nel 2005: la console di amministrazione ha memorizzato una copia della password non crittografata. Questa condotta non è stata all’altezza dei nostri standard.
Solo un piccolo numero di clienti aziendali sono stati colpiti, ha affermato, senza però aver dichiarato una cifra. Le persone che utilizzano la versione consumer gratuita non sono state interessate. Google ha notificato a un sottoinsieme dei suoi clienti aziendali di G Suite che alcune delle loro password erano archiviate in testo normale nei suoi sistemi interni crittografati.
Frey ha detto che non ne è derivato alcun danno, per quanto Google possa accertare, e da allora è stato corretto:
Per essere chiari, queste password sono rimaste nella nostra infrastruttura crittografata sicura. Questo problema è stato risolto e non abbiamo riscontrato alcuna prova di accesso o abuso improprio delle password interessate.
Come dovrebbe funzionare
Il modo in cui Google gestisce in genere le password consiste nel criptarle con un algoritmo di hashing in modo che gli utenti non possano leggerle. Quindi memorizza le password criptate e i relativi nomi utente. Poi, sia i nomi utente sia le password vengono crittografati prima di essere salvati sul disco.
La volta successiva che un utente tenta di accedere, Google cripta nuovamente la password con lo stesso algoritmo di hashing. Se il risultato corrisponde alla stringa memorizzata, Google sa che devi aver digitato la password corretta, in modo che l’accesso possa continuare.
Come ha spiegato Frey, la bellezza dell’hash è che è a senso unico: criptare una password è facile, ma è quasi impossibile decodificarla. Quindi, se qualcuno ottiene la tua password criptata, non sarà in grado di risalire a quella vera. Presumendo, cioè, che sia anche stata “salata”. Un “sale” è una stringa casuale aggiunta a una password prima di essere crittografata con hash.
Il sale non è un segreto. È lì solo per fare in modo che due persone con la stessa password ottengano diversi hash. Ciò impedisce agli hacker di utilizzare le tabelle rainbow degli hash precalcolati per decifrare le password. (In un database di hash non salati, l’hash che si verifica più frequentemente è probabilmente la versione hash del notoriamente popolare “123456”, per esempio.)
Il rovescio della medaglia di questa strada di hashing delle password a senso unico è che sei sfortunato se dimentichi la password: Google non può aiutarti a decifrarla per te. Quello che può fare è reimpostarla con una password temporanea, renderla valida solo per un uso singolo e quindi fartene richiedere una nuova.
Questo è il modo in cui dovrebbe funzionare, anche se abbiamo visto un sacco di casi in cui utenti smemorati ricevono via email la loro password in chiaro: un’indicazione che esse vengono archiviate, in chiaro, senza sale e senza hash.
Addio, vecchio pratico strumento di recupero password
Per evitare di archiviare le password in testo semplice e di essere ancora in grado di aiutare gli utenti che le hanno dimenticate, Google nel 2005 ha introdotto uno strumento per la loro impostazione e per il loro ripristino in G Suite.
Lo strumento, situato nella console di amministrazione, consente agli amministratori di caricare o impostare manualmente le password per gli utenti della propria azienda. L’intenzione di Google di introdurre lo strumento era di aiutare con l’onboarding di nuovi utenti, ad esempio quando un nuovo dipendente ha bisogno di un account il primo giorno in cui inizia a lavorare e anche per il recupero dell’account.
Bene, possiamo dargli il bacio d’addio. Google ha rimosso la funzionalità.
Ma aspetta, c’è di più: Google afferma che durante la risoluzione dei problemi relativi al flusso di registrazione dei nuovi clienti di G Suite, ha scoperto che a partire da gennaio 2019, ha archiviato inavvertitamente un sottoinsieme di password unhashed nella sua infrastruttura crittografata sicura. Le password sono rimaste lì per, al massimo, 14 giorni. Anche quel problema tecnico è stato risolto. E come l’altro problema, questo secondo apparentemente non ha portato nessuno a carpire le password.
Spiacenti, Google ha detto: cercheremo di garantire che si tratti di un incidente isolato.
Non si tratta solo di Google
Sfortunatamente, Google non è l’unica azienda tecnologica, grande o piccola, colpevole di “incidenti isolati” che comportano l’archiviazione di password in chiaro.
Facebook, ad esempio, ha ammesso, nell’aprile 2019, di aver accidentalmente registrato milioni di password di Instagram all’interno della sua rete, in quello che sembra un errore simile a quello di Google.
La morale della storia è che i colossi tecnologici come Google e Facebook a volte sbagliano e archiviano le password di testo in chiaro, il che fa pensare che qualsiasi altro servizio online minore che impiega una tecnologia meno efficace e un numero decisamente minore di ingegneri della sicurezza potrebbe sbagliare e fare lo stesso.
Tuttavia, l’autenticazione a due fattori (2FA) è un buon modo per mettersi in salvo. Usatela ovunque potete: le chiavi di sicurezza 2FA o U2F (Universal 2nd Factor) faranno in modo che la password da sola non sia sufficiente ai criminali per rubare il tuo account.
Lascia un commento