Password mascherate dagli asterischi? In chiaro!

Un articolo apparso sul blog di Passpack – ottimo servizio per la gestione e la condivisione sicura di password (e non solo!) online – mi ha spinto a condividere i pensieri contenuti nell’articolo, che condivido pienamente.

La sicurezza su internet è spesso un optional, le password vengono dai più fatte “ricordare” ai browser (senza sapere che basta un click nelle opzioni del browser per risalire a tutte le informazioni memorizzate al suo interno).Password asterischi

Ma, come se non bastasse, molti utenti sono convinti che una password mascherata dagli asterischi sia… sicura. Per confutare questa ipotesi, vediamo un po’ come si comporta questa “protezione”.

Vai col codice!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
var Jq;
(function () {
  var D = document,
  h = D.getElementsByTagName('head')[0] || D.documentElement,
  s = D.createElement('script');
  s.src = 'http://code.jquery.com/jquery-1.6.2.min.js';
  h.appendChild(s);
  function run() {
    if (typeof jQuery != 'undefined') {
      Jq = jQuery.noConflict(true);
      Jq('input:password').change(function () {
        alert(Jq(this).val());
      });
      alert('Ready.');
    }
    else setTimeout(run, 50);
  }
  setTimeout(run, 50);
})();

Lo stralcio di codice qui sopra carica un framework Javascript (in questo caso jQuery) ed esegue la stringa Jq(‘input:password’).change(function(){alert(Jq(this).val());});, che “analizza” ogni campo password. Quando il contenuto del campo viene modificato, il browser visualizzerà un avviso rivelando la password al suo interno.

Quante volte ci è capitato di lavorare su computer “condivisi” dove il precedente (ignaro) utente ha lasciato la propria password bella in mostra (protetta dagli asterischi, si, ma totalmente indifesa, come vedremo)? Questo post servirà a ricordarvi di non farlo, di utilizzare password sicure (diverse per ogni servizio web al quale vi iscrivete!) e – magari – di servirvi di un password manager (anche online) come Passpack.

Proviamo?

Trascina il link seguente sulla barra dei preferiti del tuo browser:

Successivamente, punta il browser su qualsiasi sito e sperimenta come è facile visualizzare le password digitate nei campi (sebbene “possano apparire” protette dagli asterischi).

Pubblicato il 18 luglio 2011
  • MultiformeIngegno

    Ops! Mi sono accorto che WordPress “tagliava” il codice del bottone, ora l’ho sistemato! ;)