Infine ecco dei buoni motivi per usare sempre password differenti.
- Il gestore du Account potrebbe salvare la password in chiaro. E' difficile che capiti ma non impossibile. Se il sito subisce un attacco informatico al Database e vengono rubati i dati oppure se il gestore del Account è scorretto, potrebbe usare quella password che ha sul suo database per tentare di entrare nell'email, account facebook o altri account che in qualche modo riesce a far risalire a me. Personalmente mi è capitato almeno alcune volte che il sito di un fornitore o il gestore di un forum, mi fornissero tramite una sistema NON automatico, la password in chiaro invece di chiedermi, tramite un sistema di autenticazione alternativo di resettarla.
- Non tutti i servizi a cui ci registriamo usano il protocollo HTTPS (dove i dati vengono criptati al volo nel nostro computer, quindi attraversano internet in modo sicuro ed infine vengono decriptati sul server di destinazione che li deve elaborare), perché in effetti spesso non è necessario... ad esempio un Forum. Se i dati durante il tragitto su internet vengono intercettati da qualcuno, questo qualcuno vedrà la password in chiaro e da li tentare di accedere ai ad altri nostri account. Non deve essere per forza un attacco mirato, può capitare a chiunque.
- Se un Account ha una password compromessa NON dobbiamo preoccuparci di modificare il prima possibile tutte le password degli altri Account
Molti si chiederanno come sia possibile che un Gestore NON possa conoscere, in qualche modo, le Password dei propri utenti, perché in qualche modo devono essere leggibili in chiaro per poterle confrontare con quelle inserire di volta in volta dall'utente.
In effetti i sistemi di autenticazione fatti correttamente NON devono salvare la password in chiaro ma un HASH della Password, ovvero una stringa di testo a lunghezza predefinita ottenuta da una stringa di testo (la password) a lunghezza variabile. Naturalmente occorre usare un sistema di HASH a senso unico, cioè dalla Password ottengo l'HASH, ma dall'HASH non ottengo la Password. Quindi per validare l'autenticazione dell'utente, determino l'HASH della Password che l'utente sta digitando in quel momento e lo verifico con l'HASH memorizzato nel Database. Se sono identici la password è corretta e il sistema conferma l'autenticazione dell'utente.