Capita spesso di sentire notizie di furti in massa di password da parte di criminali che poi saccheggiano gli account violati oppure li rivendono ad altri criminali per commettere furti d'identità o estorsioni. Capita meno spesso di venire a conoscenza di chi compra queste credenziali rubate. Ma ora sappiamo il nome di almeno una delle organizzazioni che lo fa: Facebook.

Lo ha detto Alex Stamos, boss della sicurezza di Facebook, al Web Summit tenutosi pochi giorni fa a Lisbona. Per controllare che gli utenti di Facebook non usino sul social network una password che usano anche altrove, Facebook compra le password violate di altri siti, messe in vendita dai criminali informatici, e le confronta con quelle dei propri utenti.

In realtà Facebook non custodisce le password dei propri utenti, ma ne ospita una versione elaborata tramite una funzione matematica (hashing) difficilmente reversibile: si può partire da una password per crearne una versione hash, ma non è possibile risalire a una password partendo dalla sua versione hash. Quando un utente si collega a Facebook, la sua password viene elaborata al volo per crearne una versione hash: se questa versione corrisponde a quella custodita da Facebook, la password viene accettata. È una tecnica diffusissima nel campo della sicurezza informatica.

Comprando gli archivi di password rubate, Facebook può insomma scoprire quali suoi utenti usano anche altrove la password usata per Facebook e li può avvisare. Secondo Stamos, questa tecnica ha permesso di allertare decine di milioni di utenti, raccomandando loro di non usare per Facebook una password già usata per altri siti. Ovviamente questo significa che Facebook paga i criminali e quindi incentiva il furto di password, ma questo non sembra turbare il sonno di Mark Zuckerberg.

Fonti: Sophos, Cnet.