Perchè mai molti servizi online inviano la password in chiaro via email?

Perchè mai molti servizi online inviano la password in chiaro via email?

Quando ci iscriviamo su numerosi siti tipicamente inserendo la nostra anagrafica ed il nostro indirizzo email, clicchiamo sul tasto di conferma dell’iscrizione e, dopo qualche istante, ci arriverà una mail di conferma: quest’ultima serve a mettere nero su bianco il fatto che siamo iscritti al sito, e che le comunicazioni di servizio/commerciali offerte dal sito ci arriveranno all’indirizzo specificato.

In moltissimi casi di mia conoscenza, ad esempio per via di una comunissima impostazione di WHMCS (arrivato ormai alla versione 6.0.1), la password scelta dall’utente viene inviata in chiaro via email, il che è comodo come promemoria per l’utente stesso ma non è esattamente il massimo in termini di sicurezza informatica. Anche se non fossero accessibili dati sensibili dai servizi in questione, in molti casi chiunque intercetti la password in questione potrebbe visualizzare il nostro nome, cognome, indirizzo, città, email e telefono (il che non è poco, ovviamente).

Questa, ad esempio, è una mail di conferma ad un servizio a cui mi sono iscritto qualche giorno fa, che invia la password che ho scelto in chiaro, come indicato dalla freccia.

Screen 2015-08-06 alle 11.30.50

A livello pratico sarebbe opportuno, ad esempio, che gli hosting che utilizzano WHMCS, e con loro tutti i servizi che inviano la password in chiaro via email, evitassero di farlo, perchè comunque il cliente può cambiare la password che non ricorda mediante un link di ripristino, soprattutto perchè non c’è affatto bisogno di inviare un dato sensibile del genere via email. Per cambiare questa impostazione sarebbe opportuno modificare lo script che invia la password su WHMCS, oppure su qualsiasi altro servizio che invii le password in plain text.

Importanti informazioni ed accorgimenti sulla sicurezza di WHMCS sono disponibili a questo link ufficiale.

Questo, peraltro, potrebbe implicare (per fortuna per WHMCS non è così) che esista una tabella in cui username e password del sistema vengono salvate senza cifratura, e quindi sono leggibili da un amministratore quando invece il secondo dato andrebbe criptato (WHMCS lo fa, e lo fa anche WordPress, per dire). Questo non deve portare a pensare che sistemi usatissimi come WHMCS non siano sicuri perchè sarebbe fuorviante pensarlo, tuttavia bisogna tenere in conto questo aspetto ed il fatto di far circolare password via email non è affatto una cosa sicura, anche se certamente è comoda.

Photo by Gunnar Ries zwo

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.