Craig Anderson affronta il problema su SitePoint offrendo il suo punto di vista ed una possibile soluzione.

Per questo motivo in un progetto che sto affrontando in questo periodo ho deciso che l’utente non potrà agire direttamente sulla password ma sarà sempre il sistema ad occuparsene. Al momento della registrazione verrà creata una password comunicata all’utente via mail (caratteri alfanumerici); in caso di smarrimento l’utente potrà richiedere una nuova password con relativo reset della precedente dovuto al fatto che la password non verrà memorizzata in chiaro sul database.

L’approccio non è certo rivoluzionario, tuttavia in molte applicazioni la gestione password è diversa e lascia più libertà all’utente andando a dare spazio quindi ai problemi visti in precedenza.

Una strada per innalzare la sicurezza della propria applicazione e dell’intero sistema è quella di fornire all’utente una password creata dal sistema seguendo un determinato criterio con l’intento di rispettare quelli che sono i requisiti minimi per una password sicura. Vogliamo quindi utilizzare:

• un insieme di caratteri alfabetici maiuscoli e minuscoli
• un insieme di numeri

La classe che vediamo di seguito è molto semplice prende 2 valori in input length e numbers che indicano rispettivamente la lunghezza totale della password ed il numero di cifre intendiamo inserire nella stringa che andiamo a generare. E’ costituita dal costruttore che si occupa di creare l’oggetto al momento dell’istanziazione della classe e dal metodo getPassword() che si occupa dell’elaborazione vera e propria dell’input per la generazione dell’output: la password.

Il costruttore si occupa appunto di costruire l’oggetto facendo le dovute verifiche sui tipi, di cui abbiamo parlato in un post precedente, ed agendo in base alla situazione che si verifica.

public function __construct($length, $numbers) {
if (!is_int($length) || !is_int($numbers)) {
die("randoPassword() richiede argomenti di tipo intero\n");
}
if ($length < $numbers) {
die("length deve essere maggiore di numbers\n");
}
$this->length = $length;
$this->numbers = $numbers;
}


Come anticipato il metodo getPassword() si occupa del lavoro vero e proprio, vediamo quindi come si comporta. Innanzitutto andiamo ad inserire nell’array random_char un numero di caratteri alfabetici presi da $alphabet pari al valore di $length meno il valore di $numbers. In secondo luogo aggiungiamo dei caratteri numerici presi casualmente tra 0 e 9 fino a raggiungere una numerosità dell’array random_char pari a $length. A questo punto avremmo già una password composta da lettere (maiuscole e minuscole) con n=$numbers caratteri numerici in coda. Per rendere le password meno ripetitive ho deciso di rimischiare i valori interni all’array con la comoda funzione shuffle prima di eseguire il return del metodo.

public function getPassword() {
$a = 0;
while ($a < ($this->length - $this->numbers)) {
$random_char[$a] = $this->alphabet[rand(0,51)];
$a++;
}

while ($a < $this->length) {
$random_char[$a] = rand(0,9);
$a++;
}

shuffle($random_char);

$a = 0;
while ($a < ($this->length + $this->numbers)) {
$password .= $random_char[$a];
$a++;
}
return $password;
}


Come sempre potete scaricare il codice completo della classe randomPassword.class.php in modo da studiarlo attentamente (l’indentazione lì è corretta) e provarlo ma soprattutto modificarlo e perfezionarlo in base a quello che vi ha insegnato la vostra esperienza.

Usate i commenti qui sotto per esprimere il vostro parere, i vostri dubbi, le vostre critiche e i suggerimenti che riteniate possano essere utili a me ed ai lettori.

CREDITS
L’immagine utilizzata nell’articolo proviene da Flickr, dove è stata pubblicata da Imagined Reality con licenza Creative Commons.