RSS

Archivi tag: password

And the winner is… 123456! (le peggiori password del 2018)

Anche quest’anno 123456 è in vetta alla classifica delle peggiori password più utilizzate al mondo! Lo riferisce SplashData, che ha elaborato un database di credenziali (5 milioni di utenze) formato da dati resi pubblici in seguito ad attacchi di varia natura, inclusi phishing e ransomware.

La classifica viene stilata da otto anni e 123456 vince per il quinto anno consecutivo. E’ evidente come, nonostante l’aumento degli attacchi e la crescita delle vulnerabilità rilevate, la consapevolezza degli utenti rimanga sempre allo stesso livello: scarso.

Ferma restando la certezza che nel mondo digitale nulla è sicuro al 100%, è ormai risaputo che una password solida deve rispondere ad alcuni requisiti minimi di complessità che la rendano difficilmente individuabile ed è necessario considerare che, per scoprirla, oltre ad espedienti ingannevoli per carpirle direttamente agli utenti, è possibile ricorrere a programmi che la trovano tentando ogni possibile combinazione di caratteri. Questi sistemi riescono in pochissimo tempo a scovare una password “semplice”: una frazione di secondo è sufficiente per rivelare una password che deriva da un termine presente nel dizionario, altrimenti – in caso di stringhe di caratteri prive di senso compiuto – pochi secondi bastano per individuare una password di sei caratteri, una decina di minuti per una da sette caratteri.

Molti utenti si demotivano a creare password sicure per due ragioni: il tempo e la memoria. Perché il tempo? Perché scegliere una nuova password è una seccatura, quindi spesso viene ideata di fretta perché accade ad esempio di doverne inventare una nuova alla scadenza di una password vecchia, e allora si ricorre ad una soluzione rapida per accedere velocemente a computer o dati. Ma si ha fretta anche quando la si deve digitare, perché anche scrivere una password lunga viene ritenuta una seccatura. A monte di tutto questo c’è la necessità di doversela ricordare – per questo parlavo di memoria – e una password semplice e breve è ovviamente più facile da ricordare di una complessa: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però, onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che protegge. Per capire quanto è sicura una password, propongo una piccola verifica su uno di questi due siti web:

Entrambi assicurano di non tenere traccia di quanto digitato, ma in ogni caso non è indispensabile scrivere esattamente la password che intendete utilizzare: è possibile provarne una simile, con lo stesso numero di caratteri e composta con lo stesso criterio.

 
Lascia un commento

Pubblicato da su 17 dicembre 2018 in news, security

 

Tag: , , , ,

C’è poco da dire “Yahoo!”

500 milioni di account Yahoo violati. Leggiamo su La Stampa:

I dati in questione sono nomi, indirizzi email, numeri di telefono, date di nascita, le domande e le risposte di sicurezza usate dagli utenti e le password. In particolare le password erano cifrate, le risposte di sicurezza in parte cifrate e in parte no (in chiaro). Yahoo ha invalidato le domande/risposte di sicurezza, ha obbligato gli utenti interessati a cambiare password e ha raccomandato a tutti gli altri di fare lo stesso se non l’avevano modificata dal 2014 (e di cambiare anche eventuali risposte su altri account). Inoltre suggerisce di usare l’autenticazione a due fattori per proteggere il proprio profilo (qui le sue indicazioni ). O ancora, un sistema basato su una app per smartphone, lo Yahoo Account Key .

Due velocissime considerazioni:

  1. La violazione si è verificata nel 2014. Yahoo lo ha confermato solo ieri. E senza neanche esprimere un granello di rammarico. Dopo due anni.
  2. Mentre le password erano cifrate, “le risposte di sicurezza in parte cifrate e in parte no”. In parte no? C’erano domande/risposte di sicurezza in chiaro???

Al netto dell’origine dell’attacco, forse attribuibile all’hacker Tess88, e del fatto che potrebbe anche essere stato “sponsorizzato da uno Stato” (un’attività condotta da gruppi ritenuti legati ad un governo), la correttezza e la trasparenza del fornitore di servizi Yahoo nei confronti dei propri utenti è venuta meno, e questo ne disintegra la reputazione nei confronti di chiunque. Gli aspetti critici sul fronte della sicurezza erano già emersi a inizio 2014, quando era stata comunicata una precedente violazione agli account di 273 milioni di utenti, solo una settimana dopo quel tweet con cui Yahoo aveva sottolineato in modo puerile (e un po’ gradasso) alcuni problemi tecnici patiti temporaneamente da Gmail.

Credo che molti (altri) utenti stiano per dire “Bye-bye, Yahoo!”. E forse – viene da aggiungere – non solo loro, perché questa collezione di figuracce non gioverà nella trattativa di acquisizione di Yahoo da parte di Verizon.

 
1 Commento

Pubblicato da su 23 settembre 2016 in news

 

Tag: , , , , , ,

L’insostenibile leggerezza delle password

ashleymad_pass[1]

Qualche settimana fa, parlando di (in)sicurezza, avevo citato il caso Ashley Madison, il sito web per incontri clandestini a cui sono stati carpiti i dati personali di oltre 30 milioni di utenti. Nei giorni scorsi sono state rese note le password più utilizzate da una parte degli iscritti.

Se tanto mi dà tanto, mettendo insieme le password più universali con quelle più aderenti al contesto (ma comunque prevedibili), si forma un elenco che è uno specchio della (scarsa) consapevolezza dell’importanza delle password. Non parlo solo di chi è iscritto ad Ashley Madison, ma della generalità degli utenti.

Anche da questo punto di vista ci sarebbe da mettersi le mani nei capelli: affidare la sicurezza delle proprie informazioni personali a una password come 123456 è alquanto puerile e ridicolo.

Se questa situazione vi ricorda quanto già visto in altri casi (come con The Fappening), siete sulla buona strada per capire che sarebbe ora di pensare meglio alla sicurezza delle proprie informazioni personali.

 

 
Commenti disabilitati su L’insostenibile leggerezza delle password

Pubblicato da su 15 settembre 2015 in News da Internet, privacy, security

 

Tag: , , ,

Dieci milioni di password. Paura eh?

Questo è un altro paio di maniche, ma tanto per evidenziare quanto l'argomento sia complesso...s

In occasione della Giornata per la Sicurezza in Internet, l’esperto di sicurezza Mark Burnett ha pensato di farci cosa gradita pubblicando un archivio contenente dieci milioni di password, abbinate ai rispettivi username.

Una buona notizia: non le ha rubate lui, si tratta di credenziali già carpite (e pubblicate) da altri in passato. Burnett le mette a disposizione a scopo accademico, per dare agli esperti di sicurezza un supporto significativo nello studio di soluzioni per l’autenticazione degli utenti. Lo scopo è arrivare a migliori procedure di autenticazione e sensibilizzare gli utenti all’adozione di password forti e di non facile identificazione.

Una cattiva notizia: non tutte queste password sono state modificate. Sì, insomma, da qualche parte in Internet alcune di quelle credenziali sono ancora valide. Ma questo leak è decisamente postumo alla loro razzia e non deve certo preoccupare oggi.

Ancora una volta ribadisco – con maggior ragione se in quell’archivio doveste ritrovare vostre credenziali – il consiglio di adottare password forti e sicure, create con criteri di complessità (leggete Scegliere password più sicure su Mozilla Support, oppure Creazione di una password forte curato da Google Support). E quando c’è un servizio di password reset non scegliete risposte prevedibili.

Per andare oltre, mi aggancio al post odierno di Stefano e vi suggerisco la lettura di questi numeri di Ouch! (potete anche scegliere ciò che più vi interessa in base al titolo):

 

 
1 Commento

Pubblicato da su 10 febbraio 2015 in news

 

Tag: , , , , ,

Password Gmail trafugate, un altro caso per riflettere

isleaked-com

Da ieri circola la notizia di un clamoroso furto di password ai danni degli utenti di Gmail: si parla di circa 5 milioni di utenze, i cui dati di accesso sarebbero stati pubblicati da un utente del forum russo Bitcoin Security.

Nel comunicare la notizia, molte fonti indicano di rivolgersi al sito isleaked.com, per le opportune verifiche. Il sito è stato messo online a nome di Egor Buslanov, con un dominio registrato in data 8 settembre 2014, proprio due giorni prima della pubblicazione su Bitcoin Security (dati verificabili attraverso qualunque servizio whois disponibile in rete). Non fornisce alcun elenco, ma chiede all’utente di inserire il proprio indirizzo e-mail promettendo un celere responso. La homepage di default è scritta in russo, con versioni in inglese e spagnolo.

Questi presupposti – insieme a quanto sto per aggiungere – mi sembrano sufficienti ad essere guardingo e a non affrettarmi a sfruttare questo servizio. Per consapevole autolesionismo tecnologico ho inserito personalmente i dati di un account Gmail. Il responso è stato positivo, tanto che isleaked.com – per dimostrarsi attendibile – mi ha anche indicato i primi due caratteri della password che gli risulta trafugata. Peccato che non fossero affatto corrispondenti a quelli della password reale (ne’ attuale, ne’ precedente).

Questo risultato inattendibile, insieme al fatto che la verifica si basa sul fatto che un utente debba comunicare il proprio indirizzo e-mail ad uno sconosciuto, suggerisce di utilizzare la dovuta cautela e di rivolgere attenzione altrove. Certo, il rischio più immediato potrebbe essere limitato a ricevere un po’ di spam aggiuntivo, ma personalmente penso di poterne comunque fare a meno.

L’Online Security Blog di Google ieri ha pubblicato un articolo in cui si spiega che, fra tutti i dump pubblicati in rete (ottenuti dalla combinazione di dati provenienti da fonti esterne a Google), le combinazioni username+password che possono realmente consentire l’accesso ad un account altrui sono meno del 2% e, in ogni caso, i sistemi anti-hijacking di Google sono in grado di bloccare buona parte dei tentativi di accesso fraudolento. Considerando che l’ecosistema Google in fatto di privacy è imbattibile (nel senso che loro sono maestri assoluti nel raccogliere ed elaborare informazioni personali altrui), penso che l’affidabilità di questi sistemi sia quantomeno verosimile.

Avete il dubbio che il vostro account possa essere stato compromesso? Non pensateci due volte: cambiate password, scegliendone una forte e sicura (come ricordavo qualche giorno fa), perché…

Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

 
Commenti disabilitati su Password Gmail trafugate, un altro caso per riflettere

Pubblicato da su 11 settembre 2014 in security

 

Tag: , , , , , , , ,

8 is megl che 6

LiberoErrorePassword

Nel caso siate utenti dei servizi mail di ItaliaOnLine gestiti su Libero.it e vi capitasse di dover impostare una nuova password, tenete presente che le indicazioni sul numero di caratteri non sono precisissime (comunque, fa fede la scritta in rosso).

 
Commenti disabilitati su 8 is megl che 6

Pubblicato da su 9 maggio 2014 in curiosità

 

Tag: , , , , , , ,

Google pensa alle password audio

Google ha messo le mani su SlickLogin, azienda israeliana specializzata in applicazioni che permettono il login – ossia l’accesso – attraverso password audio o sonore.

Il funzionamento di una password audio è abbastanza semplice: da un’app installata su un dispositivo mobile (smartphone o tablet) si analizza un segnale audio emesso da un computer dotato di altoparlanti. Quello specifico segnale deve corrispondere a quello generato dinamicamente da un altro computer in un preciso istante. In pratica il procedimento è simile a quello che, ad esempio, genera certe password temporanee emesse da una banca per confermare le operazioni di Internet Banking, la differenza è che – invece di inserire un codice alfanumerico, ricevuto via SMS o ottenuto da un token – si deve confermare un suono.

 
Commenti disabilitati su Google pensa alle password audio

Pubblicato da su 17 febbraio 2014 in Internet, security

 

Tag: , , , , , ,

Un codice nucleare insospettabile

Minuteman

Quanto è sicura la password 00000000 (otto zeri)? Per nulla sicura, sembra uno di quei PIN predefiniti per sbloccare funzioni di un dispositivo qualunque (come 0000, 1234, 9999, eccetera). Eppure – riferisce Today I Found Out – nel periodo della Guerra Fredda e per almeno quindici anni (dal 1962 al 1977), quel codice è stato la password necessaria a sbloccare il lancio di cinquanta Minuteman, missili balistici intercontinentali con testata nucleare utilizzati dall’esercito USA per colpire bersagli distanti anche migliaia di km.

Il 1962 è l’anno in cui JFK firmò il National Security Action Memorandum 160, provvedimento che stabiliva che ogni arma nucleare utilizzata degli USA dovesse essere dotata di un PAL (Permissive Action Link), un piccolo dispositivo di blocco con un codice di sicurezza, un lucchetto blindato che potesse essere sbloccato, in caso di necessità estrema, solo dall’autorità competente. La presenza di questi missili in Paesi alleati al di fuori degli Stati Uniti costituiva una preoccupazione e il PAL sembrava la giusta misura di sicurezza per evitare utilizzi indesiderati e indebiti, in quanto era considerato particolarmente sicuro e pressoché impossibile da forzare.

Talmente sicuro che allo Strategic Air Command, allergici alle disposizioni impartite da Robert McNamara (segretario alla Difesa ai tempi della presidenza Kennedy), non appena questi lasciò l’incarico resettarono tutti i PAL  impostando su ognuno il codice 00000000, rendendo così inutile l’attesa di una conferma presidenziale. Il codice fu impostato correttamente solo nel 1977, dopo che Bruce Blair rivelò al mondo questa incongruenza e il conflitto tra norme di sicurezza e necessità belliche (i militari incaricati al presidio dei missili, in caso di guerra nucleare, sarebbero stati impossibilitati a lanciare i missili qualora non avessero potuto contattare nessuno all’esterno.

 

 
Commenti disabilitati su Un codice nucleare insospettabile

Pubblicato da su 4 dicembre 2013 in news, security

 

Tag: , , , , , , , , ,

Sicurezza fa rima con “consapevolezza”

prince-william-pre-doctored1

Avete presente il motivo per cui l’accesso ad un sistema è subordinato all’utilizzo di un nome utente (username) e di una password? E le (ovvie) ragioni per cui queste informazioni devono essere mantenute riservate?

Bene. Ora osservate questo esempio, non recentissimo, ma utile a rendere l’idea. La foto riprodotta qui sopra (click per ingrandire) ritrae il duca di Cambridge – meglio noto come principe William – in una base della RAF ed è stata pubblicata puramente per questioni di immagine. Qui non si nota niente di particolare, anche perché questa risoluzione non è il massimo per i dettagli, ma osservando bene l’immagine, in alto a sinistra c’è un foglietto appeso alla parete. In questo ingrandimento si vede meglio (intanto, meglio metterci delle pecette, va’):

Prince-William-Passwords

Sicuramente quei MilFlip Logon Details non apriranno al mondo le porte di importantissimi segreti militari, ma – come si diceva sopra – se esistono credenziali di autenticazione, un motivo c’è. Lo conferma la reazione del ministero della difesa britannico che, dopo averne ricevuto segnalazione, ha provveduto a sbiancare il dettaglio incriminato…

photo_prince_william_1_photoshopped-620x434

 
Commenti disabilitati su Sicurezza fa rima con “consapevolezza”

Pubblicato da su 31 gennaio 2013 in news, security

 

Tag: , , , , , , ,

Skype, problemi di reset della password

Su Skype è stato disattivato il reset della password: Microsoft si è vista costretta a questa contromisura a causa di una grave vulnerabilità che potrebbe portare, attraverso l’e-mail dell’utente, a violarne la password e la riservatezza del suo account.

La pericolosa falla riguarda utenti che hanno più account su Skype, ma associati ad un unico indirizzo e-mail. Ad un malintenzionato sarebbe sufficiente conoscere una di queste associazioni (account+e-mail) per creare un nuovo account Skype farsi inviare da Skype il reset token della password. Opzione che ora è stata temporaneamente bloccata e che sarà ripristinata non appena Microsoft avrà risolto il problema.

 
Commenti disabilitati su Skype, problemi di reset della password

Pubblicato da su 14 novembre 2012 in news, News da Internet

 

Tag: , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: