Crittografia password dell'account utente da parte dei fornitori di servizi di posta elettronica basati sul Web?

Non sono crittografati , sono in realtà hash : sono entrambi operazioni di crittografia con la differenza che gli hash sono irreversibili.

Non si può semplicemente "decifrare" un hash della password. Tuttavia, data una password, si può generare un hash per esso.

Se un utente malintenzionato ha ottenuto in qualche modo il contenuto del database degli hash delle password, può quindi pensare a una password casuale, calcolare il suo hash, confrontare questo hash calcolato per verificare se corrisponde a uno degli hash memorizzati nel database. In tal caso, significa che l'autore dell'attacco ha appena indovinato la password corretta per l'utente corrispondente!

Per rendere il processo più veloce, l'attaccante usa due mezzi principali:

• Invece di pensare a una password casuale, userà una lista molto ampia delle parole d'ordine e delle parole più frequentemente usate, che di solito gli forniranno già molti account, ma poi applicherà automaticamente a queste potenziali password una serie di frequenti trasformazioni erroneamente percepite come sicure da molti utenti.
• Alcuni software di cracking della password consentono di accelerare il processo di hashing utilizzando la GPU (il processore della scheda grafica) che risulta essere più veloce della CPU per le operazioni crittografiche necessarie per calcolare un hash (l'efficacia dipende pesantemente dall'algoritmo hash esatto usato, l'algoritmo hash raccomandato moderno è pensato appositamente per combattere contro questo).

Tale processo di solito non consente di ottenere tutte password dai database trapelati, ma permetterà comunque di ottenere molti : tutti i più deboli. Pertanto, se utilizzi una password complessa e il sito Web utilizzato un corretto metodo di hash della password , quindi anche in caso di violazione del database la tua password potrebbe essere ancora al sicuro