Premessa

Ho una buona minestra in cottura e aggiungo un po’ di sale1 per rendere il sapore più gradevole. Se la password è sempre la stessa minestra e vi aggiungo del sale, posso stare tranquillo di ottenere qualcosa di maggiormente sicuro? E, se da quella minestra in cottura ci sono anche altre persone affamate e desiderose, è giusto che possano assaggiarla, prelevare un campione per analizzarne il risultato e trascrivere la ricetta segreta della nonna?

Le mie chat, la mia corrispondenza, i miei segreti sono al sicuro?

Non credo che tu possa essere tranquillo, non ti devi fidare delle affermazioni:

  1. Le password sono crittografate, massima sicurezza
  2. I dati in cloud sono sicuri.
  3. Le comunicazioni sono cifrate con tecnologia end-to-end.

E’ sempre possibile una backdoor del fornitore di servizi e di Stato.

Si, ma… ancor peggio si vuole far passare una normativa nell’UE che prevede di ficcare il naso da tutte le parti Chat Control.

E’ stato allestito un apposito sito Fight Chat Control dove puoi indignarti scrivendo ai politici di riferimento della tua nazione ed avere in tempo rale la mappa degli stati favorevoli, contrari ed indecisi sulla proposta di Chat Control.

Torneremo alle origini della corrispondenza tradizionale lettera imbustata e chiusa. L’articolo 616 del codice penale chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è punito.

Il paradosso è che è maggiormente tutelata la corrispondenza che qualsiasi messaggio di tipo digitale.

La vecchia pizzica, compromissione dei contenuti tra superficialità personale e ficcanasismo hacker e normativo

Da che mondo e mondo è sempre esistita la pratica di scambio in codice di parole per riconoscersi tra agenti segreti, concediti una pausa dalla lettura e prendi visone del video, se sei uno dei nostri 🤪.

Dal film: Totò d’Arabia: equivoco alla corrida.

Noi esseri umani siamo tra i più pigri e i peggiori generatori di password sicure. Quante persone le hanno usate come segreti personali: password, 12345678, qwerty123, ecc.

C’è una subdola perversione che limita la diffusione della crittografia asimmetrica associata a token specifici, presumibilmente giustificata dal fatto che una password è qualcosa generata da una persona e costituisce parte del suo patrimonio, rendendola identificabile per motivi giuridici e/o politici.

I nostri cellulari raccolgono una quantità enorme di dati personali: ogni chiamata, messaggio, navigazione o interazione con un’app genera informazioni su posizione, contatti, abitudini e, se usi il riconoscimento biometrico, anche dati sensibili come impronte o volto. Questi dati possono finire sui server di terze parti, spesso per scopi pubblicitari o di analytics, senza che l’utente ne sia pienamente consapevole.

E cosa succede se ci sequestrano un cellulare dal punto di vista giuridico?

Notizia del 22 agosto 2025 Fonte: Fourth Amendment Victory: Michigan Supreme Court Reins in Digital Device Fishing Expedition – articolo dell’EFF
articolo dell’EFF . L’articolo descrive un caso in cui il tribunale ha riconosciuto il diritto dei cittadini a opporsi a un accesso indiscriminato di dati digitali. In pratica, l’autorità investigativa richiedeva l’accesso a contenuti presenti sul dispositivo senza dimostrare alcun legame concreto tra tali dati e le attività oggetto dell’indagine. Questo approccio rischia di trasformare l’autorizzazione all’accesso a specifici contenuti in una licenza de‑facto per esaminare l’intero dispositivo, aprendo così la porta a una raccolta massiccia di informazioni che copre praticamente tutta la vita privata di una persona.

La nostra UE, con il sistema Chat Control, potrebbe accedere brutalmente a tutti i nostri dati personali, anche se non abbiamo commesso nessun reato o presunto tale!

Non dimentichiamo il caso del giornalista indipendente britannico Richard Medhurst , che rischia di riscrivere la storia della libertà di stampa nel Regno Unito. Per tutelare le sue fonti, il giornalista non ha consegnato le password di accesso ai cellulari che custodiscono dati sensibili, i quali potrebbero compromettere le sue fonti.

La crittografia fa paura

Aziende specializzate si occupano di sbloccare un telefono per investigazioni digitali come l’israeliana cellebrite e XRY di MSAB

Algoritmi e sistemi robusti di crittografia fanno paura.

Negli anni ’90 il governo statunitense considerava la crittografia forte una possibile minaccia alla sicurezza nazionale e vietava l’esportazione di software con chiavi superiori a 40 bit. Quando Phil Zimmermann rilasciò PGP Pretty Good Privacy) , un programma di cifratura per le e‑mail, le autorità lo accusarono di violare queste norme. Per aggirare il divieto, attivisti e ricercatori cominciarono a stampare il codice sorgente su carta e a distribuirlo fisicamente, dimostrando che la conoscenza non può essere fermata da barriere digitali. Con il tempo le leggi si allentarono ma, la copia cartacea rimase un simbolo di resistenza e di difesa della privacy contro le restrizioni governative.

Cloud Master Decryption Key

Prima di adottare un servizio cloud, devi chiederti se esiste una chiave master che consenta di decifrare i dati. In linea di massima, se le policy prevedono la responsabilità dei contenuti, devi dare una risposta adeguata.

Secondo te, i fornitori di servizi hanno la possibilità di accedere ai tuoi dati in cloud?

Ti consiglio di leggere: Io sono cloud e tu sei un fesso.

Quando mi innamorai di bcrypt

Memorizzare in un sistema informatico la password cifrata è una pratica censurabile, poiché può esporre gli utenti a un elevato rischio di attacchi informatici e alla possibile divulgazione del contenuto in chiaro della loro password. Inoltre, oltre a non garantire la generazione di password robuste, molte utenze inseriscono la password in chiaro nelle domande di recupero, facilitando così l’operato dei malintenzionati.

La pratica corretta consiste nell’adottare un algoritmo di hashing crittografico per il quale è impossibile risalire alla password originale. Il lettore deve sapere che un’azienda come Adobe è scivolata sulla buccia di banana nel 2013, rendendo semplice l’attacco di credential stuffing2 su circa 130 milioni di password, perché queste erano state crittografate anziché hashate. Fonte

Rimasi folgorato da bcrypt un po’ di sale ogni volta e diversi risultati corretti di hash tutti diversi.

#!/usr/bin/python

import bcrypt
import time

passwd = "password".encode('utf-8') # Conversione della password in byte

start = time.time()
salt = bcrypt.gensalt(rounds=10) # Generazione del valore di salt
hashed = bcrypt.hashpw(passwd, salt) # Esecuzione dell'hashing della password
end = time.time()

print("Tempo impiegato:", end - start)
print("Salt:", salt)
print("Hashed:", hashed)

# Stampa info in utf 8
print(f"Actual Password: {passwd.decode('utf-8')}")
print(f"Hashed Password: {hashed.decode('utf-8')}")

Esempio di risultato:

  • Tempo impiegato: 0.07086873054504395
  • Salt: b’$2b$10$dwOCwMmr3OlN9O6ePVDuFe'
  • Hashed: b’$2b$10$dwOCwMmr3OlN9O6ePVDuFePfaDt5KNtXQZCFZ3UhVakHZLhMyniO2'
  • Actual Password: password
  • Hashed Password: $2b$10$dwOCwMmr3OlN9O6ePVDuFePfaDt5KNtXQZCFZ3UhVakHZLhMyniO2

Puoi verificare online il risultato se è corretto copia l’Hashed Password e immetti password il link.

Non bisogna innamorarsi degli algoritmi, considera che bcrypt è stato presentato nel 1999 ed è comunque valido ma, l’aumento della potenza delle schede grafiche ha reso possibile attaccarlo con tecniche basate su GPU, indebolendo così la sua robustezza.

Quando ho capito che non si finisce mai di innamorarsi

La Password Hashing Competition PSH è stata una gara globale che ha raccolto e valutato proposte di funzioni di hashing per password, con l’obiettivo di migliorare la sicurezza delle credenziali online. Il risultato più noto è Argon2, che oggi è ampiamente consigliato e utilizzato come algoritmo di riferimento per la protezione delle password.

Puoi cifrare una password online con l’algoritmo Argon2 il link.

Quando la potenza di calcolo diventa quantistica corriamo tutti verso il reticolare

L’obiettivo del progetto Open Quantum Safe OQS è quello di supportare la transizione verso una crittografia resistente ai computer quantistici. Sono già in sviluppo librerie di algoritmi, tra cui liboqs rappresenta una delle scelte di riferimento per chi vuole preparare le proprie applicazioni alla futura era dei computer quantistici.

Conclusione, i tuoi dati sono al sicuro?

Allora dopo tutto questo pippone un’idea te la sei fatta? I tuoi dati sono al sicuro? Anche se qualcuno li conserva senza poter accedere al contenuto, questo non esclude che, in futuro, possa riuscire a decifrarli quando le tecnologie e le capacità di calcolo non rappresenteranno più un ostacolo. Pertanto, non bisogna mai abbassare la guardia.

  1. Cosa rappresenta il sale? In ambito informatico, il sale è un valore casuale (salt) che si aggiunge a una password prima di hash‑arla. Questo rende più difficile per un attaccante usare tabelle pre‑calcolate (rainbow tables). ↩︎

  2. Credential stuffing è una tecnica di attacco informatico in cui gli aggressori sfruttano grandi elenchi di username e password rubate da una violazione precedente per tentare di accedere a altri servizi online. ↩︎