È circolata qualche giorno fa tra i miei feed RSS la notizia che Facebook ha introdotto “una nuova feature” / “un nuovo bug” (a seconda di come vogliate vederla) che prevede la possibilità di autenticarsi anche con una password diversa da quella immessa in fase d’iscrizione. Ovviamente non basta mettere a caso un po’ di caratteri per accedere, però se si attiva il Caps Lock e si digita la propria password il login verrà effettuato comunque. Ciò significa che se “Ciao” è la propria chiave d’accesso, anche il suo complemento “cIAO” è considerato valido ai fini dell’autenticazione.
Una debolezza nella sicurezza del sito? Non necessariamente. Dal punto di vista asintotico, matematicamente parlando, la situazione non cambia: significa solo che un attacco brute force avrà la possibilità di individuare due chiavi anziché una sola tra milioni e milioni (se non miliardi) di combinazioni possibili, il che, in termini di tempo necessario per bucare il sistema, significa che il proprio account verrebbe violato mediamente qualche millisecondo prima del tempo previsto se Facebook non accettasse la password complementare.