Cerca nel blog

2020/03/06

Perché tanti siti hanno elenchi pubblici di parolacce?

Ultimo aggiornamento: 2020/03/06 23:00. 

Moltissimi siti hanno regole complicate per la generazione delle password: bisogna che siano lunghe, che contengano almeno una cifra, almeno un carattere non alfabetico e non numerico, eccetera eccetera. Ma ci sono anche parole che non possono essere usate come password: le espressioni di turpiloquio.

Per evitare che gli utenti usino parolacce come password, è quindi necessario stilare un elenco di queste parolacce. In molti casi quest’elenco è pubblicamente accessibile, e sfogliarlo rivela molti pregiudizi culturali interessanti.

Per esempio, potete consultare l’elenco di parole proibite della Virgin (un tempo disponibile qui ma salvato per i posteri qui dalla riga 204 in poi): sono tutte in inglese. Quello di Paypal è salvato qui.

Le parole proibite sono tutte in inglese, come se nel mondo non si parlasse altro. Il risultato è che sono vietate password che contengano parole che in altre lingue sono innocue ma che in inglese sono ritenute volgari. FART, per esempio, in Svizzera è l’acronimo delle Ferrovie Autolinee Regionali Ticinesi; kunt è un cognome diffuso in Turchia. Anche l’equivalente inglese di “crema per il viso” è tabù (ci vuole un attimo di riflessione per capire perché); “gay” è vietato, ma “eterosessuale” no. Alcune divinità sono accettate; altre no.

Fin qui la cosa può essere moderatamente divertente per chi ride alle parolacce o vuole esplorare i pregiudizi linguistici inconsci, ma l’esperto di sicurezza Troy Hunt fa notare un problema di sicurezza informatica tutt’altro che banale: perché esistono questi elenchi di parole proibite?

Se esistono, vuol dire che servono a proteggere gli animi sensibili di chi legge le password degli utenti. Ma in un sistema informatico robusto, nessuno ha bisogno di conoscere le password degli utenti. Non ci deve essere un operatore dall’animo sensibile che le può vedere.

Le password, infatti, non vanno memorizzate in chiaro: si deve usare una tecnica chiamata hashing, per cui il sito non custodisce la password vera e propria ma ne conserva solo una rappresentazione matematica non reversibile (un hash), dalla quale non è possibile risalire alla password ma è possibile verificare che la password immessa sia valida. Quindi questi elenchi di parole proibite sono una foglia di fico che non c’entra nulla con la sicurezza informatica ma ha molto a che fare con i pregiudizi umani.

Nessun commento: