Recupero password via email: perchè è tecnicamente sbagliato inviarla in chiaro?

Argomenti: ,
Pubblicato il: 09-09-2021 18:01

Dimenticare la propria password può capitare, e di fatto è un problema che il 99% dei servizi online permette di superare in modo semplice: si inserisce la propria email di registrazione e poco dopo arriverà un link per ripristinarla in autonomia all’interno del sito. Alcuni servizi, tuttavia, effettuano una pratica sconsigliabile, che consiste nell’inviare una nuova password in chiaro. Questa pratica è poco sicura, in genere, e dovrebbe essere evitata per qualsiasi servizio dato che si presta ad abusi ed eventuali violazioni informazioni.

Quando ci iscriviamo su numerosi siti tipicamente inserendo la nostra anagrafica ed il nostro indirizzo email, clicchiamo sul tasto di conferma dell’iscrizione e, dopo qualche istante, ci arriverà una mail di conferma: quest’ultima serve a mettere nero su bianco il fatto che siamo iscritti al sito, e che le comunicazioni di servizio/commerciali offerte dal sito ci arriveranno all’indirizzo specificato. In alcuni casi di mia conoscenza, ad esempio per via di una comunissima impostazione di WHMCS (versione 6.0.1), la password scelta dall’utente viene inviata in chiaro via email, il che è comodo come promemoria per l’utente stesso ma non è esattamente il massimo in termini di sicurezza informatica. Anche se non fossero accessibili dati sensibili dai servizi in questione, in molti casi chiunque intercetti la password in questione potrebbe visualizzare il nostro nome, cognome, indirizzo, città, email e telefono.

Questa, ad esempio, è una mail di conferma ad un servizio a cui mi sono iscritto qualche giorno fa, che invia la password che ho scelto in chiaro, come indicato dalla freccia, senza dare un link di ripristino interno al CMS e senza criptarla.

Screen 2015-08-06 alle 11.30.50

A livello pratico sarebbe opportuno, ad esempio, che gli hosting che utilizzano WHMCS, e con loro tutti i servizi che inviano la password in chiaro via email, evitassero di farlo, perchè comunque il cliente può cambiare la password che non ricorda mediante un link di ripristino, soprattutto perchè non c’è affatto bisogno di inviare un dato sensibile del genere via email. Per cambiare questa impostazione sarebbe opportuno modificare lo script che invia la password su WHMCS, oppure su qualsiasi altro servizio che invii le password in plain text.

Nota – Importanti informazioni ed accorgimenti sulla sicurezza di WHMCS sono disponibili a questo link ufficiale.

Questo, peraltro, potrebbe implicare (per fortuna per WHMCS non è così) che esista una tabella in cui username e password del sistema vengono salvate senza cifratura, e quindi sono leggibili da un amministratore quando invece il secondo dato andrebbe criptato (WHMCS lo fa, e lo fa anche WordPress, per dire). Questo non deve portare a pensare che sistemi usatissimi come WHMCS non siano sicuri perchè sarebbe fuorviante pensarlo, tuttavia bisogna tenere in conto questo aspetto ed il fatto di far circolare password via email non è affatto una cosa sicura, anche se certamente è comoda.

Photo by Gunnar Ries zwo

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Recupero password via email: perchè è tecnicamente sbagliato inviarla in chiaro? di Salvatore Capolupo su Trovalost.it
Recupero password via email: perchè è tecnicamente sbagliato inviarla in chiaro? (News, Assistenza Tecnica, Internet)

Articoli più letti su questi argomenti:
Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo - Alcuni contenuti e ads mostrate nel sito potrebbero non rispecchiare il pensiero degli autori.