Facebook ha un problema con le password. Ieri il social network blu ha diffusa una nota ufficiale con cui ha spiegato che, nei prossimi giorni, chiederà a decine di milioni di utilizzatori della propria piattaforma (comprese la variante Facebook Lite e Instagram) di modificare le proprie password. Il motivo? A gennaio, durante una verifica interna di routine, i tecnici dell’azienda californiana si sono accorti che numerose chiavi di accesso erano state salvate sui server societari in chiaro ed erano quindi potenzialmente leggibili da chiunque. Una situazione anomale, in quanto i sistemi di Facebook sono progettati per mascherare le stringhe alfanumeriche in modo da farle diventare incomprensibili agli esseri umani.

“Abbiamo risolto i problemi e, come precauzione, manderemo un avviso a tutti gli utenti le cui password sono state memorizzate in modo sbagliato”, ha scritto il colosso di Menlo Park. “Per chiarezza, nessuno di questi codici era visibile fuori dal nostro perimetro e finora non abbiamo trovato prove di abusi né di utilizzi impropri interni”. Il social network, nel corso delle verifiche, ha preferito modificare anche i sistemi di archiviazione di altre informazioni, come i token di accesso, risolvendo le lacune e rafforzando ulteriormente l’infrastruttura.

Le best practice seguite da Facebook sono quelle tipiche delle grandi aziende. Quando una persona crea un account, la password viene registrata sui server dopo essere stata sottoposta a tecniche di hashing e salting, utilizzando una funzione chiamata scrypt e una chiave crittografica che sostituisce la stringa scelta dall’utente con una sequenza casuale di altri caratteri.

“Con questo metodo possiamo essere certi che una persona stia effettuando il login con la password corretta senza avere il bisogno di conservarla in testo non formattato (plain text, ndr), ha spiegato il social network. In attesa delle eventuali segnalazioni dell’azienda californiana è consigliabile modificare le proprie informazioni di accesso entrando nelle impostazioni del proprio account.