🚀 Nuova versione beta disponibile! Feedback o problemi? Contattaci

Crittografia e Hashing delle Password: Sicurezza nelle Applicazioni Web

Codegrind Team•Aug 28 2024

La sicurezza delle password è un aspetto cruciale nello sviluppo di applicazioni web. Le credenziali degli utenti sono spesso bersaglio di attacchi, e proteggere queste informazioni è fondamentale per mantenere la fiducia degli utenti e garantire la sicurezza dei dati. La crittografia e l’hashing delle password sono tecniche chiave per proteggere le password archiviate nei database. In questa guida, esploreremo come implementare l’hashing sicuro delle password utilizzando tecniche come bcrypt e scrypt, e discuteremo le best practices per la gestione sicura delle password.

Differenza tra Crittografia e Hashing

Crittografia

La crittografia è un processo reversibile che trasforma i dati in un formato cifrato utilizzando una chiave di crittografia. Solo chi possiede la chiave corretta può decifrare i dati e riportarli al loro stato originale. La crittografia è spesso utilizzata per proteggere i dati durante la trasmissione, ma non è ideale per la memorizzazione delle password poiché le chiavi di decrittazione possono essere compromesse.

Hashing

L’hashing è un processo unidirezionale che trasforma i dati in una stringa di lunghezza fissa, chiamata hash. L’hash è unico per l’input specifico e, a differenza della crittografia, non può essere decifrato per ottenere l’input originale. L’hashing è la tecnica preferita per la memorizzazione sicura delle password poiché, anche se l’hash viene compromesso, non è possibile risalire facilmente alla password originale.

Hashing delle Password

Quando un utente crea un account o modifica la propria password, la password viene sottoposta a un processo di hashing prima di essere memorizzata nel database. Quando l’utente tenta di accedere, la password fornita viene hashata e confrontata con l’hash memorizzato.

Algoritmi di Hashing Sicuri

Non tutti gli algoritmi di hashing sono ugualmente sicuri. Algoritmi come MD5 e SHA-1 sono ormai considerati insicuri a causa delle vulnerabilità scoperte nel corso degli anni. Gli algoritmi moderni come bcrypt, scrypt, e Argon2 sono progettati specificamente per l’hashing delle password e offrono maggiore sicurezza.

Bcrypt

Bcrypt è uno degli algoritmi di hashing più utilizzati per le password. È progettato per essere lento, rendendo gli attacchi di forza bruta più difficili. Bcrypt incorpora anche un salt, un valore casuale aggiunto alla password prima dell’hashing, che impedisce attacchi basati su tabelle di hash precompute (rainbow tables).

Implementare Bcrypt in Node.js

Per utilizzare bcrypt in un’applicazione Node.js, installa il pacchetto bcrypt:

npm install bcrypt

Ecco un esempio di come hashare una password usando bcrypt:

const bcrypt = require("bcrypt");

// Numero di cicli di salatura
const saltRounds = 10;

// Hashare la password
const password = "mySecurePassword";
bcrypt.hash(password, saltRounds, (err, hash) => {
  if (err) throw err;
  console.log("Hashed password:", hash);

  // Verifica della password
  bcrypt.compare(password, hash, (err, result) => {
    if (err) throw err;
    console.log("Password match:", result); // true se la password corrisponde
  });
});

Scrypt

Scrypt è un altro algoritmo sicuro per l’hashing delle password. È progettato per essere altamente resistente agli attacchi hardware, rendendolo ideale per proteggere le password contro gli attacchi con hardware specializzato.

Implementare Scrypt in Node.js

Node.js include un modulo built-in crypto che supporta scrypt:

const crypto = require("crypto");

// Salt casuale
const salt = crypto.randomBytes(16).toString("hex");

// Hashare la password
const password = "mySecurePassword";
crypto.scrypt(password, salt, 64, (err, derivedKey) => {
  if (err) throw err;
  const hash = salt + ":" + derivedKey.toString("hex");
  console.log("Hashed password:", hash);

  // Verifica della password
  const [saltStored, keyStored] = hash.split(":");
  crypto.scrypt(password, saltStored, 64, (err, derivedKey) => {
    if (err) throw err;
    const isMatch = keyStored === derivedKey.toString("hex");
    console.log("Password match:", isMatch); // true se la password corrisponde
  });
});

Argon2

Argon2 è un algoritmo di hashing delle password di nuova generazione, vincitore del Password Hashing Competition nel 2015. Offre un’elevata resistenza agli attacchi di forza bruta ed è configurabile per quanto riguarda la memoria e il tempo di esecuzione.

Implementare Argon2 in Node.js

Per usare Argon2, installa il pacchetto argon2:

npm install argon2

Ecco un esempio di hashing delle password con Argon2:

const argon2 = require("argon2");

// Hashare la password
const password = "mySecurePassword";
argon2
  .hash(password)
  .then((hash) => {
    console.log("Hashed password:", hash);

    // Verifica della password
    argon2
      .verify(hash, password)
      .then((match) => {
        console.log("Password match:", match); // true se la password corrisponde
      })
      .catch((err) => {
        throw err;
      });
  })
  .catch((err) => {
    throw err;
  });

Best Practices per la Sicurezza delle Password

Uso di un Salt Unico

Un salt è un valore casuale che viene combinato con la password prima dell’hashing. L’uso di un salt unico per ogni utente rende inefficaci le rainbow tables, poiché ogni password viene hashata in modo diverso anche se identica.

Iterazioni di Hashing

Gli algoritmi come bcrypt e scrypt permettono di configurare il numero di iterazioni (o cicli di salatura). Un numero maggiore di iterazioni rende l’hashing più lento, ma più sicuro, poiché aumenta il tempo richiesto per eseguire un attacco di forza bruta.

Aggiornamento Regolare degli Algoritmi

La sicurezza degli algoritmi di hashing evolve nel tempo. È importante monitorare i progressi nella crittografia e aggiornare periodicamente gli algoritmi utilizzati per l’hashing delle password.

Crittografia delle Password durante la Trasmissione

Oltre all’hashing, assicurati che le password siano trasmesse in modo sicuro utilizzando HTTPS per crittografare i dati durante la trasmissione. Questo impedisce agli aggressori di intercettare le password durante la trasmissione tra il client e il server.

Politiche di Password Forti

Implementa politiche di password forti che richiedano agli utenti di creare password complesse. Questo riduce la probabilità che le password siano vulnerabili ad attacchi di forza bruta.

Risolvere Problemi Comuni

Performance dell’Hashing

Se l’hashing delle password influisce negativamente sulle performance dell’applicazione, prova a bilanciare il numero di iterazioni in modo da mantenere la sicurezza senza compromettere la reattività del sistema.

Gestione delle Password Compromesse

Se sospetti che le password siano state compromesse, è importante invalidare le password correnti e richiedere agli utenti di cambiarle. Inoltre, monitora eventuali attività sospette.

Conclusione

Proteggere le password degli utenti è una responsabilità fondamentale per chi sviluppa applicazioni web. Utilizzando algoritmi di hashing sicuri come bcrypt, scrypt o Argon2, e implementando best practices di sicurezza, puoi garantire che le credenziali degli utenti siano al sicuro da attacchi. L’adozione di tecniche avanzate di hashing e una gestione attenta delle password sono essenziali per mantenere alta la fiducia degli utenti e proteggere i dati sensibili.

PrecedenteImplementazione di OAuthSuccessivoProtezione contro attacchi CSRF e XSS