Le password che usi sono davvero sicure? Non circolano già tra i pirati? La domanda sorge perché, negli ultimi anni, gli identificatori di miliardi di account utente sono stati convogliati in database non sicuri per essere rivenduti sotto il mantello, compresa la darknet.

Negli ultimi mesi, ricercatore di sicurezza Troy Hunt offre sul suo haveibeenpwned.com sito, un servizio online che permette di conoscere se la password è stata compromessa, basandosi su una lista di 500 milioni di password da perdite di dati passati. È bello, ma non molto pratico ogni giorno. L’editor Okta ha ora sviluppato PassProtect , un’estensione Chrome open source che ti consente di fare la stessa verifica, ma in modo automatico. Ogni volta che inserisci una password, controlla che non si trovi nel database di Troy Hunt. In tal caso, verrà visualizzato un avviso (purtroppo in inglese).

Per quanto riguarda la procedura di verifica, non è necessario preoccuparsi. Le tue password non vengono mai inviate così come sono, né a Okta o Troy Hunt. L’estensione calcola un’impronta digitale con password SHA-1 e quindi invia al server di haibeenpwned.com solo i primi cinque caratteri di tale impronta digitale. L’API sottostante risponde con un elenco di fingerprint corrispondenti. Il controllo finale viene quindi effettuato dal lato client. Questo principio, chiamato “k-anonimato” , preserva la riservatezza di questi dati altamente sensibili.

Okta non è l’unico ad utilizzare questo servizio di verifica. Come rileva Troy Hunt in una nota del blog , è stato implementato anche in 1Password Password Manager, nella piattaforma di gioco EVE o nel sito Web dei rivenditori online di Kogan. Ora non avrai alcuna scusa per usare una password errata.