Chrome cambierà le password non sicure: funzione utile o incubo?

Google sta facendo di tutto per migliorare la gestione delle password e in generale delle credenziali di accesso in Chrome.
In tanti nostri articoli abbiamo però visto quanto sia semplice risalire all’elenco delle credenziali memorizzate nel browser e perché, in generale, l’utilizzo dei password manager integrati nel software che si usa ogni giorno per “navigare” sul Web non sia un’idea favolosa. Anzi. Trovare le password salvate con il browser è molto semplice: e non solo nel caso di Chrome ma anche di altri browser.

Il password manager del browser, però, è uno strumento comodo da usare e sempre pronto: per questo la stragrande maggioranza degli utenti continua a servirsene; spesso attivando anche la sincronizzazione di Chrome e quindi lo scambio dei dati personali, credenziali comprese, tra più dispositivi.

In occasione del World Password Day abbiamo visto come creare password sicure e qual è il ruolo ricoperto dall’autenticazione a due fattori.

La novità è che Chrome non soltanto sarà presto in grado di rilevare le password “compromesse” ovvero quelle già nelle mani dei criminali informatici (cosa possibile già oggi) ma provvederà a cambiare le password insicure in automatico.

La notizia può suonare un po’ sinistra. E in parte è così. Il servizio di controllo password di Google Chrome attivabile digitando chrome://settings/passwords/check?start=true&search=passw non fa altro che confrontare gli hash delle password memorizzati in locale con quelli conservati su Have I been pwned, sito che raccoglie le informazioni relative ai data breach via via verificatisi.
Il controllo password di Chrome non fa né viaggiare in chiaro le password né le invia così come sono attraverso un canale cifrato: l’hash è una funzione non reversibile che può essere utilizzata per verificare se una password memorizzata sul sistema locale sia presente nel database di Have I been pwned.
Poiché Chrome mette a confronto soltanto le password, le eventuali segnalazioni di password inefficaci mettono solo in evidenza che quella parola chiave è stata trovata su Have I been pwned ma non che sia effettivamente abbinata al servizio e all’username utilizzato dal singolo utente del browser.

L’immagine è tratta da questo tweet.

Per fare un esempio banale è ovvio che se l’utente avesse temporaneamente impostato la semplice password test123 per accedere a un’applicazione Web di prova accessibile solo tramite la rete locale l’hash di test123 risulterà certamente presente nell’archivio di Have I been pwned.

Con la nuova funzione alla quale stanno lavorando i tecnici di Chrome, il browser (si comincia prima con la versione per Android e poi con quella per i sistemi desktop) si offrirà di cambiare automaticamente la password potenzialmente compromessa o insicura.
Sui dispositivi mobili ciò avverrà chiamando in causa l’assistente digitale Google Assistant che informerà l’utente del problema e si offrirà di applicare una soluzione.

Impossibile che Chrome possa riuscire a cambiare le password per tutti i servizi online e i siti Web: quasi sicuramente il raggio d’azione sarà limitato alle pagine che indicano le routine per la modifica delle credenziali, ad esempio usando il percorso /.well-known/change-password.