Molti servizi, se cambiate password, richiedono che la nuova password non sia troppo simile a quella già adoperata precedentemente, di solito con un limite di tempo o numerico.
Eppure, come dovrebbe essere noto, le password non vanno mai salvate in chiaro ma vanno opportunamente hashate, ossia sottoposte ad una funzione matematica che restituisce un output di lunghezza fissa e, se possibile, dovrebbe essere aggiunto un sale, fisso per utente e derivato da una sua caratteristica (ad esempio il timestamp dell’iscrizione).
Come fanno questi servizi, dunque, a fare il confronto? Conservano copia della password in chiaro? No, ecco, di solito, come fanno.
Se vi chiedono la vecchia password
Se vi chiedono la vecchia password, come nella stragrande maggioranza dei form di cambio password, di solito viene effettuato un controllo al volo: Il server, ricevute le due password, le compara e se sono sufficientemente lontane – esistono vari algoritmi che lo verificano – permette la modifica.
Poi, ovviamente, i dati in chiaro vengono scartati subito e viene salvata solo la versione hashata e, possibilmente, salata.
E se non viene chiesta?
Può essere l’esempio di un form di recupero password. O, magari, vi viene chiesta l’ultima password ma quella che scegliete è troppo simile a una vecchia password. Come fa, in questo caso, il sistema a fare il calcolo?
Di solito la soluzione è questa: Presa la nuova password vengono calcolate un tot di permutazioni considerate troppo simili. Tutte queste permutazioni vengono hashate/salate e confrontate con le password vecchie. Se anche solo una di queste combacia la password viene considerata troppo simile.
Se, quindi, usavate come password la fortissima “password” e il sistema è tarato per sostituire ogni carattere letterale con uno numerico equivalente – sistema rozzo preso a scopo d’esempio – non potrete usare “p455w0rd”, poiché ricadrebbe sotto le regole di modifica.
In ogni caso la vostra password, sia quella attuale sia quelle usate, resta al sicuro cifrata.
