Gli adulteri di Ashley Madison usavano password terribili: ecco le peggiori 30

Gli adulteri di Ashley Madison usavano password terribili: ecco le peggiori 30

Ashley Madison è stata colpita da un tremendo attacco hacker, anche se la società ha definito imbattibile la sua protezione crittografica. In realtà però sono state già decifrate 11 milioni di password, ma non è tutta colpa del servizio

di Nino Grasso pubblicata il , alle 15:31 nel canale Sicurezza
 

Non molto tempo fa parlavamo degli adulteri di Ashley Madison rimasti a brache calate. Il sito di incontri al buio fra gente sposata è stato violentemente hackato e una quantità industriale di dati era stata allora pubblicata online. È una notizia dei giorni scorsi, inoltre, che le prime password sono state decifrate e quanto si scopre dovrebbe far vergognare ancora di più gli utenti potenzialmente fedifraghi del servizio online.

Ashley Madison

Ashley Madison sosteneva che l'algoritmo crittografico utilizzato sulle password degli utenti fosse fra i migliori in circolazione, il che è vero. Il servizio usa Bcrypt, sistema che rende il processo di hashing così lento che un ipotetico brute-force sulle password del servizio potrebbe concludersi virtualmente dopo decine e decine di anni. Gli esperti, però, sono riusciti a decifrarne circa un terzo dopo poche settimane, ma come hanno fatto?

Analizzando la mole di dati pubblicati (circa 100GB complessivamente), il team ha identificato una vulnerabilità attaccabile nel modo in cui venivano gestite le password. I token per il log-in, nella fattispecie, erano protetti utilizzando MD5, algoritmo molto più debole e veloce da decifrare. Invece di "crackare" l'agoritmo Bcrypt, quindi, gli esperti hanno semplicemente effettuato un brute force sui token MD5 dei singoli account.

Questo approccio ha permesso di decifrare 11,2 milioni di password e riportarle in semplicissimo formato testuale, ma non consentirà di crackare tutti i 37,2 milioni di hash pubblicati online. La vulnerabilità dovrebbe consentire di scoprire altre 4 milioni di password nei prossimi giorni, e mettere a nudo altrettanti adulteri o aspiranti tali. Ma prestiamo attenzione alle password utilizzate dagli utenti.

Le varie firme del web vivono con i nostri dati. Ci profilano, sanno tutto o quasi di noi sia perché glielo diciamo esplicitamente, sia perché deducono le nostre caratteristiche dalle abitudini che abbiamo sul web. Riservatezza e privacy non vanno molto d'accordo con il web di oggi, tuttavia possiamo ancora mantenere un po' di riserbo impostando password uniche e complesse, soprattutto in quei casi in cui facciamo cose che non vogliamo che vengano scoperte.

Ma nonostante i vari moniti che possiamo trovare sul web, sono ancora in tantissimi gli utenti che preferiscono la comodità di una password semplice da ricordare (e sempre la stessa), senza considerare che più semplice è da ricordare, più facile è per i malintenzionati scoprirla. Sulle 11 milioni di password che gli esperti di sicurezza hanno decifrato, tuttavia, solo 4,6 milioni sono uniche, mentre le restanti (ben oltre il doppio) offrono una sicurezza quanto meno labile.

Ahsley Madison, password più comuni
Ahsley Madison, password più comuni

Fra le più note troviamo l'intramontabile 123456, seguita da 12345. Queste due sono state utilizzate da quasi 170 mila utenti, che accedevano quindi con la stessa password. Al terzo posto troviamo proprio password, seguita da DEFAULT, 123456789 e qwerty. Nella lista che riportiamo nella pagina troviamo anche tanti nomi comuni, naturalmente anch'essi semplici da decifrare con comunissimi attacchi brute-force.

I consigli da dare in questo caso sono sempre gli stessi, ed anche Ashley Madison ha cercato di ovviare alle problematiche insorte rilasciando alcune note da seguire. È necessario scegliere password il più possibile uniche e complesse e soprattutto diverse per ogni servizio. Se non si vuole rinunciare alla comodità, è possibile utilizzare un "password manager", scegliendolo però fra i più famosi e rinomati.

Ma sappiamo che con certi utenti è tutto inutile, e saranno sempre in tantissimi ad utilizzare ridicole progressioni numeriche anche per proteggere i dettagli più scabrosi della propria vita online. Tanto la colpa è sempre di chi offre il servizio.

63 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Notturnia14 Settembre 2015, 15:37 #1
dei geni.. 300 mila con delle pswd da decerebrati in un sito dove avevano messo carta di credito e infedeltà coniugale.. bravi..
marchigiano14 Settembre 2015, 15:49 #2
a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?
gd350turbo14 Settembre 2015, 15:50 #3
Secondo me, usano la stessa password anche per l'home banking...
Devono tenere fede al loro status di decerebrati
marchigiano14 Settembre 2015, 15:51 #4
infatti molti siti delel banche non accettano più pass troppo semplici e ti danno dei token e mandano sms al cellulare ogni volta che fai un operazione a rischio
esp1lon14 Settembre 2015, 15:51 #5
Gli utenti che hanno usato 1234567890 pensavo di stare al sicuro usando 80 bit invece di 48 bit di 123456.
Avatar014 Settembre 2015, 15:51 #6
696969 ... 8801 fedifraghi hanno vinto tutto.
Brigno14 Settembre 2015, 15:53 #7
Meritano di essere sputtanati anche solo per quello !!!

Filistad14 Settembre 2015, 15:56 #8

123456

Fantastici!
Password davvero molto difficili da decifrare!

Per fortuna che le banche per i servizi home banking, prevedono già da tempo token, conferme SMS e telefonate per conferme dispositive, altrimenti questa gente avrebbe i conti svuotati.

Ma sappiamo che con certi utenti è tutto inutile, e saranno sempre in tantissimi ad utilizzare ridicole progressioni numeriche anche per proteggere i dettagli più scabrosi della propria vita online. Tanto la colpa è sempre di chi offre il servizio.


La colpa [U]è anche[/U] di chi offre il servizio e permette in fase di registrazione di inserire numeri sequenziali e sequenze di lettere facilmente decifrabili e senza scomodare tecniche brute force...
Kyo7214 Settembre 2015, 16:02 #9
(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD
kaede8914 Settembre 2015, 16:15 #10
Originariamente inviato da: marchigiano
a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?


Generalmente le password memorizzate in un database, così come i dati della carta di credito, vengono cifrati tramite un algoritmo di cifratura.
Questo per evitare che chiunque riesca ad accedere al database possa leggere in chiaro le password o le carte di credito degli utenti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^