Ieri pomeriggio Anna mi dice che la sua password per entrare nella mail Tiscali non funziona. Ovviamente la password non l’aveva cambiata, ed era improbabile che un gatto camminando sulla tastiera avesse combinato quel tipo di pasticcio. Dopo essere arrivato a casa e aver cercato di spiegare un po’ di fisica a Jacopo, sono andato al suo PC per vedere cosa era successo.
La password non funzionava, e Anna non aveva messo nessun numero telefonico o email di ricupero. Dunque? Mah. Esisteva sempre la possibilità – l’avevo sfruttata una decina d’anni fa, quando volevo recuperare la mia password email che non avevo mai usato – di mandare copia di un documento di identità, ma se l’avessi suggerito sarei stato oggetto di lanci di oggetti contundenti, mi sa. Continuando a girare, a un certo punto sono finito su My Tiscali, in una pagina di aiuto “password dimenticata?” dove sembrava che si dicesse che forse la password era stata bloccata perché troppo semplice, e mandava a un’altra pagina dove si poteva cambiarla… scrivendo quella vecchia, cosa che ho prontamente fatto.
Posso immaginare che telefonando al servizio clienti un qualche operatore ci avrebbe indicato quella pagina. Ma trovo buffo che occorra divinare il da farsi partendo dal sito.
(Ah: ho poi provato a modificare i dati di Anna, il cui indirizzo fisico era due case prima della nostra attuale. Al primo tentativo il sistema mi ha detto “modifiche registrate” ma in realtà non aveva fatto nulla; al secondo mi ha semplicemente scritto “errore, riprova più tardi. Qualche problemuccio ce l’hanno)
Sono stupito che Tiscali esista ancora: deve essere rimasta solo l’ombra di quella che era un tempo, e non mi stupisco di questo tipo di problemi.
È un po’ inquietante che abbiano potuto valutare la complessità della password: l’avevano salvata in chiaro?
beh, potrebbero molto più banalmente aver lanciato un programma che testa le password a forza bruta.
E` comunque un comportamento scorretto.
L’unico modo lecito con cui loro possono sapere che una password è debole è se fino alla data X ti facevano inserire solo password lunghe massimo n caratteri, e allora tutte le password inserite prima di quella data sono sicuramente deboli senza bisogno di decrittarle.