{"id":7988,"date":"2025-03-20T10:49:39","date_gmt":"2025-03-20T09:49:39","guid":{"rendered":"https:\/\/www.boxxapps.com\/?p=7988"},"modified":"2025-03-20T10:56:37","modified_gmt":"2025-03-20T09:56:37","slug":"proteggere-le-password-con-lhashing-algoritmi-minacce-e-contromisure","status":"publish","type":"post","link":"https:\/\/www.boxxapps.com\/index.php\/2025\/03\/20\/proteggere-le-password-con-lhashing-algoritmi-minacce-e-contromisure\/","title":{"rendered":"Proteggere le password con l’hashing: algoritmi, minacce e contromisure"},"content":{"rendered":"\n

Introduzione<\/strong><\/p>\n\n\n\n

Le password sono la prima linea di difesa per proteggere gli account online, ma spesso non sono gestite con la dovuta attenzione. Ogni anno migliaia di credenziali vengono compromesse a causa di metodi di archiviazione inadeguati o attacchi informatici mirati. Tra i metodi pi\u00f9 efficaci per proteggere le credenziali vi \u00e8 l\u2019hashing<\/strong>, una tecnica che impedisce agli hacker di leggere direttamente le password in caso di violazione dei dati.<\/p>\n\n\n\n

In questo articolo approfondiremo cos\u2019\u00e8 l\u2019hashing, come funziona e quali sono le migliori pratiche per proteggere le password da attacchi come brute force e tabelle arcobaleno.<\/p>\n\n\n\n

Cos\u2019\u00e8 l\u2019hashing e in cosa si differenzia dalla crittografia?<\/strong><\/p>\n\n\n\n

L\u2019hashing \u00e8 un processo che trasforma un dato di input (come una password) in una stringa di lunghezza fissa, chiamata \u201cdigest\u201d<\/em> attraverso una funzione matematica unidirezionale. Una funzione si definisce \u201cunidirezionale\u201d quando \u00e8 semplice da calcolare, ma estremamente complessa da invertire: ci\u00f2 significa che, conoscendo il risultato finale di una funzione hash (digest), risalire alla password originale \u00e8 praticamente impossibile. Tuttavia, ci teniamo a precisare che non \u00e8 ancora stata dimostrata matematicamente l’esistenza di funzioni completamente unidirezionali (cio\u00e8, assolutamente impossibili da invertire), poich\u00e9 ci\u00f2 implicherebbe una soluzione definitiva alla famosa congettura matematica “P diverso da NP”.<\/p>\n\n\n\n

Proprio grazie alla natura unidirezionale, le password vengono archiviate nei database (idealmente) attraverso funzioni hash. Ci\u00f2 garantisce che, anche in caso di violazione dei dati, le password restino segrete e non direttamente leggibili dagli attaccanti.<\/p>\n\n\n\n

\u00c8 fondamentale distinguere l’hashing da altri processi simili, come la crittografia e l’encoding:<\/p>\n\n\n\n

<\/div>\n\n\n\n
\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Mentre la crittografia consente di recuperare i dati originali tramite una chiave nota esclusivamente alle entit\u00e0 autorizzate, l\u2019hashing produce un risultato irreversibile progettato per impedire il recupero dei dati originali. Per questo motivo l\u2019hashing \u00e8 ampiamente utilizzato per proteggere le password: anche in caso di compromissione di un database contenente tutti gli hash, gli attaccanti non potrebbero recuperare facilmente le credenziali originali.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Algoritmi di hashing pi\u00f9 diffusi e il loro livello di sicurezza<\/strong><\/p>\n\n\n\n

Come facilmente comprensibile dal paragrafo precedente, l\u2019efficacia dell\u2019algoritmo di hash scelto \u00e8 fondamentale per la sicurezza delle password. Un buon algoritmo deve resistere a vari tipi di attacchi, come la forza bruta \u2013 ampiamente noto come \u201cbrute force<\/em>\u201d \u2013, le collisioni e l\u2019uso di hardware specializzato per il cracking.<\/p>\n\n\n\n

Nel corso degli anni, alcuni algoritmi sono stati resi obsoleti a causa della scoperta di vulnerabilit\u00e0, mentre altri si sono evoluti diventando sempre pi\u00f9 affidabili. Di seguito analizzeremo i principali algoritmi di hashing attualmente in uso, evidenziandone i livelli di sicurezza:<\/p>\n\n\n\n

<\/div>\n\n\n\n
 <\/td>Algoritmo di hashing<\/strong><\/td>Descrizione<\/strong><\/td><\/tr>
\"\"<\/td>MD5<\/td>Oggi considerato obsoleto<\/strong> a causa della vulnerabilit\u00e0 alle collisioni, in cui due input diversi generano lo stesso digest, e alla sua eccessiva velocit\u00e0 di calcolo, che rende facile il cracking con hardware moderno.<\/td><\/tr>
\"\"<\/td>SHA-256<\/td>Pi\u00f9 sicuro rispetto a MD5 e SHA-1, ma pu\u00f2 essere vulnerabile agli attacchi di forza bruta se non accompagnato da tecniche aggiuntive come il salting<\/strong> e il peppering<\/strong>. Viene spesso impiegato in contesti crittografici (es. blockchain Bitcoin), ma per proteggere password esistono opzioni migliori.<\/td><\/tr>
\"\"<\/td>PBKDF2<\/td>Algoritmo che deriva la chiave mediante interazioni multiple per rallentare il cracking. Considerato sicuro, ma meno efficiente rispetto a bcrypt e Argon2 contro attacchi con GPU o ASIC, a meno che non si aumentino significativamente le iterazioni.<\/td><\/tr>
\"\"<\/td>bcrypt<\/td>Creato negli anni \u201890, resta una delle soluzioni pi\u00f9 sicure grazie a un fattore di costo configurabile e al salting automatico, che lo rende resistente agli attacchi di forza bruta e alle tabelle arcobaleno.<\/td><\/tr>
\"\"<\/td>Argon2<\/td>Vincitore della Password Hashing Competition del 2015, \u00e8 progettato per resistere agli attacchi a dizionario e agli attacchi con hardware specializzato. Dispone di varianti personalizzabili in termini di memoria, iterazioni e parallelizzazione, rendendolo tra le migliori opzioni per l\u2019hashing delle password.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Attacchi comuni e contromisure<\/strong><\/p>\n\n\n\n

Gli attacchi pi\u00f9 comuni alle password includono quelli di forza bruta e l\u2019uso delle tabelle arcobaleno. Gli attacchi brute force testano sistematicamente tutte le combinazioni possibili, accelerati dall\u2019uso di hardware specializzato. Le tabelle arcobaleno, invece, sono database precalcolati che velocizzano notevolmente la decodifica degli hash. Per contrastare questi attacchi si adottano tecniche come:<\/p>\n\n\n\n