Google ha appena informato i clienti del servizio G Suite che alcune password sono state memorizzate sui server dell’azienda senza applicare alcun algoritmo di hashing ovvero in maniera non cifrata.
Come spiega Suzanne Frey (Google) in questo post, si è ovviamente trattato di un errore che interessa alcuni clienti G Suite (nessun account gratuito o comunque destinato agli utenti privati è in alcun modo interessato).
La Frey spiega comunque che “i tecnici dell’azienda hanno condotto un’analisi approfondita sull’incidente e durante le verifiche non vi sono stati riscontri circa l’utilizzo non autorizzato degli account né alcun impiego improprio delle credenziali G Suite“.
Google ha contattato gli amministratori degli account G Suite coinvolti chiedendo di scegliere, a scopo precauzionale, una nuova password e di attivare – qualora non lo si fosse ancora fatto – la verifica in due passaggi. Nel caso in cui gli utenti non modificassero le password di accesso, sempre per maggiore sicurezza, Google ne effettuerà il reset in automatico.
Il problema del mancato hashing delle password risale addirittura al 2005 ed è stato introdotto con una modifica sulla vecchia procedura che permette di reimpostare manualmente le password di accesso alla piattaforma G Suite.
Gli algoritmi di hashing più sicuri fanno in modo che a partire da qualunque stringa ne venga generata una versione codificata. Partendo da quest’ultima nessuno, neppure il fornitore del servizio né qualunque altro utente, può risalire alla stringa di partenza.
Nel caso delle password algoritmi di hashing sicuri devono essere sempre utilizzati lato server perché anche nella malaugurata ipotesi di un’aggressione subita da parte di terzi, i criminali informatici non potranno risalire alle credenziali degli utenti.
Le funzioni di hash sono insomma progettate per lavorare in un’unica direzione e, a meno di problemi di sicurezza in fase di design, non possono e non devono risultare reversibili.
L’algoritmo di hashing MD5 è già da tempo considerato “decaduto”: per invertirlo e sferrare un attacco brute force basta addirittura un semplice smartphone e pochi secondi di lavoro. Di recente, sono stati gli stessi tecnici di Google a dichiarare superato anche SHA-1: L’algoritmo di hashing SHA-1 non è più sicuro: Google spiega perché.