🔐 Come vengono memorizzate le password quando ci registriamo a un sito o a un'app

Pubblicato da

  



Quando ci registriamo a un sito web o a un'applicazione, ci viene quasi sempre richiesto di scegliere una password per proteggere il nostro account. Ma cosa succede a quella password dopo che l’abbiamo inserita nel modulo di registrazione? Il sito la memorizza così com'è? Fortunatamente no.

Conservare le password in chiaro (cioè leggibili così come vengono inserite) sarebbe estremamente pericoloso, perché in caso di violazione dei dati, chiunque potrebbe vedere le credenziali degli utenti. Ecco perché esiste un sistema molto più sicuro: l’hashing.

🔗 Ti piace Techelopment? Dai un'occhiata al sito per tutti i dettagli!

🔍 Cos’è l’hashing?

L’hashing è un processo che prende in input una sequenza di caratteri (come una password) e la trasforma in una stringa fissa di lunghezza predefinita, che rappresenta l’impronta digitale (o digest) del dato originale. Questo processo è irreversibile: non è possibile risalire alla password originale a partire dall’hash.

Un esempio concreto:

  • Password: IlMioCane123!

  • Hash (usando SHA-256):
    e07a32a7b038abc7c2f1571bb5cbb3ff0551592d65fc8931ac42125df7f2536e

Questa stringa apparentemente casuale è ciò che il sito salva nel suo database, non la password originale.


🔄 Come funziona il salvataggio della password?

Quando ti registri:

  1. Inserisci la password nel modulo.

  2. Il sito applica una funzione di hash alla password.

  3. L’hash viene memorizzato nel database.

  4. La password originale non viene mai salvata né inviata via internet in chiaro.

Spesso viene anche utilizzato un "salt", cioè un valore casuale aggiunto alla password prima di effettuare l’hashing, per aumentare la sicurezza contro gli attacchi detti "precomputed" o "rainbow table".


✅ E durante il login?

Quando inserisci la tua password per accedere:

  1. Il sito non la confronta direttamente con il valore nel database.

  2. Invece, applica la stessa funzione di hash alla password che hai appena inserito.

  3. Poi confronta l’hash risultante con quello già memorizzato nel database.

  4. Se i due hash corrispondono, l’accesso è autorizzato.


🧠 Perché l’hashing è sicuro?

  • È deterministico: la stessa password produrrà sempre lo stesso hash.

  • È irreversibile: non si può "decodificare" un hash per scoprire la password originale.

  • È veloce, ma algoritmi moderni come bcrypt o Argon2 sono anche progettati per essere computazionalmente costosi, rendendo gli attacchi a forza bruta più difficili.

  • Con l’uso del salt, si garantisce che anche due utenti con la stessa password abbiano hash diversi.


🧭 Diagramma di flusso del processo di login

Ecco un diagramma che mostra chiaramente il processo di verifica della password durante il login:

Processo di verifica password


🧩 Conclusione

Quando ti registri a un sito, la tua password non viene mai salvata in chiaro, ma trasformata tramite una funzione di hashing. Durante il login, il sistema non ha bisogno di conoscere la tua password originale: gli basta verificare che il suo hash coincida con quello salvato.

Questo metodo protegge la tua privacy e i tuoi dati, anche in caso di violazione del database. Per questo è sempre consigliabile usare password forti e uniche per ogni servizio.



Follow me #techelopment

Official site: www.techelopment.it
facebook: Techelopment
instagram: @techelopment
X: techelopment
Bluesky: @techelopment
telegram: @techelopment_channel
whatsapp: Techelopment
youtube: @techelopment