Spesso ci viene naturale pensare alla sicurezza come a qualcosa di buio, nascosto, segreto. Se voglio proteggere un tesoro, lo nascondo dove nessuno sa guardare. Di conseguenza, sorge un dubbio legittimo quando si parla di software Open Source come WordPress: se il codice è pubblico e chiunque (inclusi gli hacker) può scaricarlo e studiarlo, non è intrinsecamente insicuro?

Se tutti conoscono il progetto della serratura, non sarà facilissimo aprirla?

La risposta è no. Anzi, è vero l’esatto contrario. E la spiegazione sta nella differenza tra “fiducia cieca” e “matematica”.

La sicurezza non è “nascondino”

Nel mondo informatico esiste un concetto fallimentare chiamato Security by Obscurity (Sicurezza tramite l’oscurità). Si basa sull’idea che il sistema sia sicuro solo perché nessuno sa come funziona. È come nascondere la chiave di casa sotto lo zerbino: funziona solo finché il ladro non ha l’idea di guardare lì. Una volta scoperto il trucco, la sicurezza crolla a zero.

L’Open Source (codice aperto) segue invece il Principio di Kerckhoffs, formulato nell’800:

“Un sistema crittografico deve essere sicuro anche se tutto di esso è di pubblico dominio, tranne la chiave.”

In altre parole: io posso darti lo schema esatto della mia cassaforte, dirti di che lega è fatta, mostrarti gli ingranaggi interni. Ma se non hai la combinazione (la password), tu non entri comunque.

Crittografia vs Hashing: perché non si torna indietro

Qui sta il cuore della sicurezza delle password su piattaforme come WordPress. Quando inserisci la tua password, il sistema non la salva in un file di testo (sarebbe follia) e non la “cifra” semplicemente.

C’è una differenza abissale tra Cifrare e fare l’Hashing:

• Cifrare è come mettere un messaggio in una scatola chiusa a chiave. È un processo reversibile: se hai la chiave, puoi riaprirla.
• L’Hashing è come passare il messaggio in un tritacarne industriale e poi bruciarne i resti. È un processo irreversibile.

WordPress usa algoritmi di hashing (come Bcrypt) che trasformano la tua password in una stringa di caratteri apparentemente casuali (chiamata hash). Non esiste una formula matematica inversa per trasformare quella cenere di nuovo nella parola originale.

Il fatto che il codice sia Open Source significa che tutti sappiamo quale “tritacarne” viene usato. E proprio perché lo sappiamo, migliaia di esperti di sicurezza lo hanno testato per anni, confermando che è un tritacarne perfetto, che non lascia pezzi interi. Se il codice fosse chiuso (proprietario), dovremmo fidarci ciecamente dell’azienda che lo produce, sperando che non abbiano usato un tritacarne difettoso.

Il “Sale” della sicurezza

C’è un tocco di poesia matematica anche qui. Se due utenti usano la stessa password (es. “gatto”), i loro codici nel database saranno comunque completamente diversi. Questo perché il sistema aggiunge un ingrediente segreto casuale, chiamato Salt (Sale), prima di tritare tutto. È il caos che protegge l’ordine. Anche conoscendo la ricetta, senza conoscere quel pizzico di sale specifico generato in quel millisecondo, il risultato è imprevedibile.

Il vero punto debole: il fattore umano

Se la matematica è solida e il codice è trasparente, come fanno gli hacker a rubare le password? Non decifrando il codice, ma andando per tentativi (Forza Bruta).

Immaginano che la tua password sia “123456”, la tritano e vedono se la cenere assomiglia alla tua. Se no, provano con “password”, poi con “marco1969”. L’algoritmo Open Source è progettato apposta per essere lento a fare questi calcoli, rendendo impraticabile provare milioni di combinazioni al secondo.

La sicurezza, quindi, non dipende dal nascondere il funzionamento del sistema, ma dalla “pienezza” della tua password. Una password complessa è un vuoto incolmabile per un computer che cerca di indovinare. Una password semplice è una porta aperta.

Conclusione

Non dobbiamo temere la trasparenza. Un sistema che mostra le sue carte è un sistema che non ha bisogno di segreti per essere sicuro. Si basa sulla solidità della sua struttura. L’Open Source è consapevolezza: so esattamente come sono protetto, e proprio per questo, so che sono al sicuro.