Link alla notizia: http://www.hwupgrade.it/news/software/gmail-e-hotmail-le-password-prendono-il-volo_30355.html

Le credenziali di accesso di parecchi account Gmail e Hotmail sono state rubate ai rispettivi utenti con azioni di phishing. Alla base del problema c'è sempre il PC dell'utente finale e le abitudini con le quali il web viene usato

Click sul link per visualizzare la notizia.

molto rassicurante la notizia del pishing e non di intrusioni nei server im ho

è il concetto stesso di password che andrebbe rivisto ... i polli però ci saranno sempre

molto rassicurante la notizia del pishing e non di intrusioni nei server im ho

effettivamente le responsabilità in questo caso non sono piu di MS o google ma di un po tutti utenti per primi

va ricordato che un sistema come hotmail ha alcune centinaia di milioni di account attivi quindi è fisiologico che prima o poi dei problemi simili possano accadere

è dagli albori dell'informatica che esiste il phishing...
anche se quello vero, "professionale", è bene identificarlo come "ingegneria sociale"... e avviene tramite contatto con la vittima, magari anche conoscenza... studio della persona etc...
il phishing, è una caxxata, a cui solo veramente i polli possono abboccare...
ho sempre avuto la password della posta distinta da quelle "comuni", e sempre relativamente piu' complessa... e non l'ho mai messa da nessuna parte... perchè OVVIAMENTE nessun sito dovrebbe chiederti la password della posta... ai tempi d'oro esisteva anche il phishing per ultima online, e rubavi le pass degli account altrui :asd:

Alla mia ragazza erano arrivate alcune email da parte di MSN che dicevano che la sua password era stata reimpostata

Ovviamente gli ho detto di cancellarle e non fare assolutamente nulla già dalla prima che gli era arrivata, alla 5a ormai era ormai chiaro che era una truffa! :D

Facile pubblicare millemila indirizzi dicendo che si è violato un sistema.. ma in realtà il bug piu grande di ogni pc è quello ce sta davanti allo schero e dietro la tastiera..... (cit.)

Certo che 30.000 fessi sono tanti..
pur vedendo continuamente utonti di ogni genere on avrei mai pensato che avrebbero abboccato addirittura in 30 mila :eek:

Altra cosa.. GENTE CHE USA LA STESSA PASSWORD PER HOME BANKING, CARTA DI CREDITO E TUTTO IL RESTO???
Esistono idioti di tale livello??? a gente simile dovrebbe essere proibito usare servizi di questo tipo!!!

A me da molto fastidio anche la brutta tendenza di tutti i siti di obbligarti ad inserire la domanda segreta.. la trovo una cagata mostruosa, una backdoor a tutti gli effetti!!!
Uno mette una password alfanumerica di 12 caratteri e poi la puoi recuperare con la domandina che magari ha una risposta che si recuprera facilmente..

quindi si tratta solo di polling, meno male!

a me sono arrivate via hotmail 5 "premi da 100" da parte delle poste, vinti delle strane lotterie dove io mi sarei iscritto, al giorno d'oggi nessuno regala niente su...

"a loro parziale discolpa va rilevato come il phishing sia oggi giorno sempre più evoluto e di difficile individuazione."

Non concordo. Per evitare di cadere nel tranello basta una sola regola di base, non cliccare su alcun link e digitare il dominio a mano nel proprio browser. Se ricevo una mail che dice che il mio account PayPal è stato violato basterà scrivere www.paypal.it anche su IE6 per essere sicuri di non cadere nella trappola del phishing, per quanto complesso possa essere il "tranello".

E' una sola e semplice regola.

... GENTE CHE USA LA STESSA PASSWORD PER HOME BANKING, CARTA DI CREDITO E TUTTO IL RESTO???
...




Io uso sempre "pippo" per tutto ! :D :lamer:

@ Commento # 10 di: izutsu pubblicato il 07 Ottobre 2009, 10:48

e si ma tu parti dal presupposto di sapere che potenzialmente cliccare su paypal in una mail sia differente da scriverlo a manina nel browser.
Sul sito bbc nella news in cui parla del problema viene segnato anche questo:
"
This should be a wake-up call to Google and Microsoft to educate their users

Carole Theriault
Security consultan"

ma solo io sono l'idiota che usa una password diversa per ogni cosa che utilizza? :mbe:

ah, non pensate che riesca a ricordarle tutte, a casa ho un foglio A4 dove le ho scritte e a fianco c'è il servizio delle quale fanno parte :stordita:

Altra cosa.. GENTE CHE USA LA STESSA PASSWORD PER HOME BANKING, CARTA DI CREDITO E TUTTO IL RESTO???
Esistono idioti di tale livello??? a gente simile dovrebbe essere proibito usare servizi di questo tipo!!!

Grazie per l'offesa gratuita, ma potevi anche tenerla per te...
Sono molto più furbi invece quelli che usano una password diversa per ogni sito a cui si iscrivono e poi si lamentano che non si ricordano mai la password :ciapet:
Io sono uno di quelle che usa sempre le stesse 2/3 password e non ho mai avuto problemi. Come dici? Se dovessero scoprirmi la password e accedere al mio conto sono fottuto? Non credo, visto che per fare qualsiasi operazione viene richiesto un codice segreto :rolleyes:

ma finchè gli utonti riempiono i form di pagine farlocche che promettono di dirti chi ti ha bloccato su msn, non possiamo lamentarci :D

Ok hanno avuto accesso a 30 mila account, e il grave problema quale sarebbe?:stordita:
Che cosa mai possono aver recuperato come dati sensibili? L'unico vero problema, mi sembra, è per chi usa la stessa pw anche per siti di banche o carte di credito, ma questi effettivamente se le cercano le rogne.
L'importante è che qualcuno si sia accorto. Mi sfugge forse qualche cosa di più grave?

la cosa che non capisco è come mai tutte queste persone insieme,cos'è,un raduno di polli?

che poi basta mettere il mouse sopra il link per vedere che il sito non è quello scritto nella mail, è cosi difficile?

Grazie per l'offesa gratuita, ma potevi anche tenerla per te...
Sono molto più furbi invece quelli che usano una password diversa per ogni sito a cui si iscrivono e poi si lamentano che non si ricordano mai la password :ciapet:
Io sono uno di quelle che usa sempre le stesse 2/3 password e non ho mai avuto problemi. Come dici? Se dovessero scoprirmi la password e accedere al mio conto sono fottuto? Non credo, visto che per fare qualsiasi operazione viene richiesto un codice segreto :rolleyes:

Si, sono sopratutto furbi chi usa servizi bancari senza token.... le banche serie ti danno l'user name (in genere il seriale del token), il pin a 5/6 cifre e sopratutto l'obbligo di usare il codice unico a tempo che genera il token per qualsiasi operazione.
Ci aggiungo meglio quelle banche che ad ogni operazione ti mandano un avviso sul cellulare tramite sms.

Se non e' sicuro almeno in questo modo sai se qualcuno accede al conto o usa la tua carta di credito.

Per le password... onestamente una per ogni sito e non meno di 16 caratteri fra minuscole-maiuscole-numeri oltra a cambiarle di tanto in tanto...

Per gestirle un buon password manager open source e passa la paura..

Ciao

Poi ti si brasa il disco fisso e sai quante risate col password manager...

Per le password... onestamente una per ogni sito e non meno di 16 caratteri fra minuscole-maiuscole-numeri oltra a cambiarle di tanto in tanto...

Per gestirle un buon password manager open source e passa la paura..

Ciao

Così è molto ordinato, anche se forse un pò troppo esagerato il fatto di scegliere almeno 16 caratteri e cambiarle spesso (almeno che non sei una persone molto spiata :p).
Però la mia paura sarebbe quella di perdere tutto l'archivio per disgrazia, anche se di queste cose bisogna avere sempre un paio di backup a portata di mano.

Una cosa mi chiedo però (non ho mai usato programmi simili):
quando non sei davanti al tuo pc che devi accedere a un sito da lavoro/casa di un amico/qualsiasi altro posto, come fai a recuperare la password?
Devi sempre avere dietro una chiavetta con programma e backup dell'archivio?

Magari fare un back up del disco ogni tanto? mai sentito?

Ok hanno avuto accesso a 30 mila account, e il grave problema quale sarebbe?
Che cosa mai possono aver recuperato come dati sensibili?
certo non il codice del bancomat o le chiavi di casa tua, ma tutto quello che scrivi nelle mail, compreso magari il tuo curriculum con tutti i dati per un furto di identità coi fiocchi e le varie password di servizi che ti arrivano per mail, non è sufficiente? più gli indirizzi mail dei tuoi amici da riempire di spam o peggio, a nome tuo chiaramente...

Il sito della mia carta di credito obbliga a cambiare pass ogni 90 giorni, quindi alla fine sei costretto ad usarne una diversa dal solito...

@Dave83: dipende dal programma, io uso LastPass, è un estensione per firefox (anche per altri browser credo) che ti tiene le pass in archivio criptate su un server remoto, e ti auto-logga quando accedi ad un sito. E' anche in grado di generare una password casuale e complessa quando ti registri ad un sito, quindi hai una pass diversa ogni sito e non devi tenerle a mente, tanto ti logga lui in automatico quando accedi. Alle pass puoi accederci quando vuoi da browser, ovviamente devi conoscere la "master pass" che apre il tuo archivio di credenziali sui loro server.

Il sito della mia carta di credito obbliga a cambiare pass ogni 90 giorni, quindi alla fine sei costretto ad usarne una diversa dal solito...

Ho un amico che per un servizio del genere usa password1->password2->password3 aggiungendo un numero ogni tot giorni.

:muro: :muro: :muro:

coooococococo

a me l'hanno craccata non so se rientro in questi casi,certo è che non sono abboccato a nessun pishing,la password di gmail l'avevo memorizzata e non la inserivo da nessuna parte ormai da piu di un anno,guarda caso dopo il down che c'è stato mi hanno craccato la password...ma non sia mai che la storia di dare la colpa al phising e agli utenti sia uno scarico di responsabilità

Il sito della mia carta di credito obbliga a cambiare pass ogni 90 giorni, quindi alla fine sei costretto ad usarne una diversa dal solito...

@Dave83: dipende dal programma, io uso LastPass, è un estensione per firefox (anche per altri browser credo) che ti tiene le pass in archivio criptate su un server remoto, e ti auto-logga quando accedi ad un sito. E' anche in grado di generare una password casuale e complessa quando ti registri ad un sito, quindi hai una pass diversa ogni sito e non devi tenerle a mente, tanto ti logga lui in automatico quando accedi. Alle pass puoi accederci quando vuoi da browser, ovviamente devi conoscere la "master pass" che apre il tuo archivio di credenziali sui loro server.

Però devi sempre installare un programma.
Non c'è qualcosa del genere totalmente lato web e che non necessita di nessuna installazione o file eseguibile + archivio?

Però devi sempre installare un programma.
Non c'è qualcosa del genere totalmente lato web e che non necessita di nessuna installazione o file eseguibile + archivio?

con xmarks puoi condividere segnalibri e password,lo puoi usare come una sorta di archivio centralizzato,avendo cura di non condividere almeno le pass per banca/paypal ecc...

Così è molto ordinato, anche se forse un pò troppo esagerato il fatto di scegliere almeno 16 caratteri e cambiarle spesso (almeno che non sei una persone molto spiata :p).
Però la mia paura sarebbe quella di perdere tutto l'archivio per disgrazia, anche se di queste cose bisogna avere sempre un paio di backup a portata di mano.

Una cosa mi chiedo però (non ho mai usato programmi simili):
quando non sei davanti al tuo pc che devi accedere a un sito da lavoro/casa di un amico/qualsiasi altro posto, come fai a recuperare la password?
Devi sempre avere dietro una chiavetta con programma e backup dell'archivio?

Beh ovviamente.... la prima regola e' BACKUP. BACKUP, BACKUP.

Comunque ormai uso il PC dai tempi del vic 20 e dall'avvento di internet registrati qua , registati li mi ritrovo fra email, siti di e-commerce, telefonia e prodotti acquistati a dover gestire oltre 30/40 registrazioni.

Onestamente senza password manager non saprei come fare se non tenerle scritte su di un foglio.

Gestendole con un software 8 o 16 caratteri alla fine non fanno differenza, ovviamente cambio periodicamente solo quelle (3 o 4) piu' importanti.... chl o eplaza sono le stesse da 5/10 anni.

Un po scomodo lo e' ma alla fine con keepass qualsiasi cosa uso PC, PORTATILE, PALMARE ho la versione adatta del programma.

P.S.

QUELLE DELLA BANCA E DELLE CARTE DI CREDITO COMUNQUE SONO IMMAGAZZINATE SOLO NELLA MIA TESTA. ;) :D

P.S. 2

Speriamo che KEEPASS sia sicuro e non invii le password a qualke server ad ogni modifica..... :sofico:

Però devi sempre installare un programma.
Non c'è qualcosa del genere totalmente lato web e che non necessita di nessuna installazione o file eseguibile + archivio?

Il programma ti serve per "automatizzare" il processo, ma puoi anche usare solo l'archivio direttamente dal sito, basta loggarsi con username e master-pass su https://lastpass.com/ e cliccare "i miei siti"

Il programma ti serve per "automatizzare" il processo, ma puoi anche usare solo l'archivio direttamente dal sito, basta loggarsi con username e master-pass su https://lastpass.com/ e cliccare "i miei siti"

Ah ok, allora è ottimo ;)
Sperando sempre che non venga violato :asd:

concordo con chi dice che rasenta la stupidità usare la user e pass di hotmail/gmail anche per il banking...
...è anche vero che cmq ormai sono poche le banche che non chiedono anche un token da inserire al momento del login.
Il phishing invece è diventato talmente ben fatto che posso capire che qualche utente un pò disattento e non molto pratico possa caderci

Personalmente uso 3-4 pass con qualche variante...ho poi una super pass di 16 caratteri casuali e mi ricordo a memoria...era un codice di Tennis ACE per master system...l'ho messa talmente tante volte che non me la scordo più...ma probabilmente questa cosa è da persona con seri problemi mentali:P

Ah ok, allora è ottimo ;)
Sperando sempre che non venga violato :asd:

Il tuo archivio e criptato con la tua master-pass, quindi si riduce tutto a "quanto è facile sgamare la tua master pass?"

Ovviamente è bene sceglierla MOLTO sicura.

si vabbè tante cazzate tutti ad additare gli utonti...ma mi fa strano che siano utonti solo coloro che hanno account con lettere a/b iniziali! no? :rolleyes:

si vabbè tante cazzate tutti ad additare gli utonti...ma mi fa strano che siano utonti solo coloro che hanno account con lettere a/b iniziali! no? :rolleyes:

Ah, sicuramente gli autori del phishing ne hanno altre, quelle sono quelle che sono "trapelate" in rete.

Comunque ribadisco ciò che ho detto in un'altro thread: se hanno la vostra pass si tratta SICURAMENTE di phishing, perchè hotmail, gmail, ecc... NON HANNO LE VOSTRE PASSWORD! Hanno solo gli HASH ovviamente! Quindi se violassero i sistemi di google o MS otterrebbero una serie di hash, di cui poi andrebbe fatto un reverse, in bruteforce, per vedere quale pass li ha generati.

Speriamo che KEEPASS sia sicuro e non invii le password a qualke server ad ogni modifica...

Non scherziamo! :rofl: Questo è impossibile perchè keepass non è solo un software gratuito ma è un software LIBERO sotto licenza GPL il cui codice è visionabile da chiunque, è questa la vera garanzia.

io per le pass uso un bel file word o excel con accesso protetto da password. non mi fido dei programmi tipo keepass o simili.

scopri chi ti ha bloccato da MSN MessAnger su www.salcazzo.com

buona parte di queste pass saranno state beccate con robe del genere

si vabbè tante cazzate tutti ad additare gli utonti...ma mi fa strano che siano utonti solo coloro che hanno account con lettere a/b iniziali! no? :rolleyes:

quello è chiaramente un estratto infatti alcuni utenti hanno detto di avere email che cominciano con quelle lettere e non ritrovarsi nella lista
la stessa lista circolante non conteneva 30.000 indirizzi

Non scherziamo! :rofl: Questo è impossibile perchè keepass non è solo un software gratuito ma è un software LIBERO sotto licenza GPL il cui codice è visionabile da chiunque, è questa la vera garanzia.

Appunto ho scelto keepass... hai notato la faccina? ---:sofico: --- il mio era solo un commento scherzoso.

Salutoni.

io per le pass uso un bel file word o excel con accesso protetto da password. non mi fido dei programmi tipo keepass o simili.

Ma LOL!! Keepass cifra le pass in AES con chiave a 256bit , il tuo bel file word/excel si craccka in 2 minuti... E' divertente vedere come nell'essere paranoici si fa la scelta meno sicura :rolleyes:

Ti prego adesso dimmi che giri con il suddetto file word/excel delle password su una chiavetta USB...

Programma di password manager? Un utente medio non ha la più pallida idea dell'esistenza di certi programmi. Uso anche io keepass e anche se il MIO pc problemi in questo momento ho una copia di backup dove sono salvate almeno quelle più importanti.

Poi certo si possono usare tutte le password alfabetagammanumeriche che si vogliono, finchè si è così tonti da dare email e pass al primo sito che passa perchè dice che hai vinto nmila euri meriti quasi di essere preso all'amo.

Esistono anche le versioni portable dei password manager, basta anche solo 1 Pen drive e hai sempre con te le password, senza bisogno di installare niente. Io personalmente senza keepass e l'autotype (Sempre sia lodato xD) non saprei neanche loggarmi nel mio account di windows oramai xD

Bisogna EDUCARE gli utenti, un pc è pur sempre un "elettrodomestico", prima di usare la lavatrice si dovrebbe leggere il manuale d'istruzioni.

Ma LOL!! Keepass cifra le pass in AES con chiave a 256bit , il tuo bel file word/excel si craccka in 2 minuti... E' divertente vedere come nell'essere paranoici si fa la scelta meno sicura :rolleyes:

Ti prego adesso dimmi che giri con il suddetto file word/excel delle password su una chiavetta USB...

no .... è su pc. però dai adesso ho scaricato lexe di keeppass e mi metto di buona lena (speriamo che mi venga D) e trasferisco il tutto lì.

bravo vedrai che non te ne pentirai!!

Keepass lo puoi lasciare tranquillamente su una chiavetta USB perchè senza la master non esiste ALCUNA possibilità di risalire alle password salvate... E non esiste alcuna backdoor è software libero al 100%.

Grazie per l'offesa gratuita, ma potevi anche tenerla per te...
Sono molto più furbi invece quelli che usano una password diversa per ogni sito a cui si iscrivono e poi si lamentano che non si ricordano mai la password :ciapet:

LOL! Non volevo offendere nessuno ma non smetto di targare la cosa come assolutamente idiota!!
Innanzitutto chi usa diverse password di una certa importanza semplicemente tiene un registro delle password e non si scervella per ricordarsi chissà quali parole.
In secondo luogo le password di una certa importanza NON sono parole di senso compiuto ma stringhe alfanumeriche co variazioni tra minuscole e maiuscole.
Terzo, il fatto che banche e servizi AUMENTINO la sicurezza con codici vari per prevenire le cazzate degli utonti non vuol dire ASSOLUTAMENTE che puoi lasciare le porte spalancate perchè poi la volta che ti fanno il sorpresone sono cazzi amari!
Quarto: nessuno dice che puoi usare le setesse due-tre password per accedere al forum di hwupgrade o a quake wars ma le cose serie sono e devono essere discorso a parte! :mbe:

nella notizia si fa riferimento a hacker che avrebbero preso di mira i più diffusi servizi online.

povero Linus. si sentirà offeso :D :D
si chiamano CRACKER come quelli che si mangiano :D . e vanno distinti dagli hacker, che sono brava gente, e dai pirati informatici, che sono quelli che fanno le copie e scaricano file protetti. altrimenti vanno chiamati black hat hackers. il termine hacker è entrato in un circolo vizioso dove tutti lo usavano per indicare i crackers, la massa ha cominciato a chiamare i crackers hackers e i media sono costretti a chiamarli hackers per farsi capire.

beh, io posso star sicuro. se era un attacco di phishing, io non mando mai le mie pass (anche perchè solitamente i proprietari dei servizi non dovrebbero aver problemi a risalirvi negli archivi) e poi con p2pforum-mail (Gmail) non ho problemi di questo tipo: la robaccia va tutta nello spam, la probabilità di errore è di una mail su più di 50.

Poi ti si brasa il disco fisso e sai quante risate col password manager...

ehm.. esiste una cosa che si chiama backup..:rolleyes:

Comunque esiste un'ottimo plugin per il password manager di firefox e si chiama Password Exporter (indovinate che fa?:D ) check it out.


Quarto: nessuno dice che puoi usare le setesse due-tre password per accedere al forum di hwupgrade o a quake wars ma le cose serie sono e devono essere discorso a parte! :mbe:

Perfettamente d'accordo. Come non darti ragione?

madonna mia, quanti maniaci della sicurezza...
ragazzi basta un pelo di accortezza non serve il kit di James Bond

Il phishing è una piaga da non sottovalutare, molto subdola come strategia per impossessarsi di dati sensibili di malcapitati.
Se poi ti ricostruiscono una pagina web UGUALE e spiccicata alla homepage dei 2 provider più famosi.. e va beh.. lì te la prendi nelle chiappette, non te ne accorgerai mai (almenocchè non lo rilevi il browser con stratagemmi di verifica AUTENTICITA' della pagina visualizzata).

basta accedere alla posta dal proprio client sul PC, cancellare tutte le email con filtri antispam aggiornati ed efficaci e non usare i propri dati sensibili in nessuna email o form di risposta.

I problemi si riducono al minimo.
(volendo si usa anche un altro provider: freemail.it, foxmail.it, cheapnet.it ecc.) lì problemi ce n'è molto meno e anche rischi di vedere casella di posta andare persa con tutto il suo contenuto!!!

certo non il codice del bancomat o le chiavi di casa tua, ma tutto quello che scrivi nelle mail, compreso magari il tuo curriculum con tutti i dati per un furto di identità coi fiocchi e le varie password di servizi che ti arrivano per mail, non è sufficiente? più gli indirizzi mail dei tuoi amici da riempire di spam o peggio, a nome tuo chiaramente...
Grazie sbaffo della spiegazione, non mi ero portato così avanti nel ragionamento.

Il phishing è una piaga da non sottovalutare, molto subdola come strategia per impossessarsi di dati sensibili di malcapitati.
Se poi ti ricostruiscono una pagina web UGUALE e spiccicata alla homepage dei 2 provider più famosi.. e va beh.. lì te la prendi nelle chiappette, non te ne accorgerai mai (almenocchè non lo rilevi il browser con stratagemmi di verifica AUTENTICITA' della pagina visualizzata).

Permettimi, bonariamente, di contraddirti. Una persona che conosco ha inserito uno ad uno tutti i valori numerici di una tessera per le password monouso prima di rendersi conto che forse la cosa era un tantino sospetta ed io stesso sono incappato, distrattamente, in un sito che era pari pari quello di ebay e mi sono reso conto che era taroccato solo un attimo dopo aver inserito nome e password ma è stato sufficiente cambiarla al volo sul sito vero.
In sostanza il phishing si riconosce in diversi modi.
Prima di tutto l'email è palesemente una traduzione maccheronica fatta per lo più da traduttori on line o da software di traduzione ed il risultato è inconfondibile e pertanto deve insospettire.
Seconda cosa, fate sempre attenzione alla corrispondenza tra il sito che il link dice di essere con il link reale: ad esempio il link seguente www.intesa.com (http://212.56.142.3//Editor/assets/cap.htm) che dice di mandare sul sito di intesa.com mentre il link reale è http://212.56.142.3//Editor/assets/cap.htm
portando il mouse sopra il link, solitamente, viene visualizzato il link reale sulla barra di stato, quindi ... "occhio!!!"

tutto vero, password lunghe ed alfanumeriche, non fare i "polli" con le mail,
ma se questo articolo è reale, e tutte le nostre password (non gli HASH) e mail sono salvate negli hard disk dei provider, o come sostengono, lo erano, siamo fritti lo stesso :help:
http://www.repubblica.it/2009/10/sezioni/tecnologia/navigatori-spiati/navigatori-spiati/navigatori-spiati.html

tutto vero, password lunghe ed alfanumeriche, non fare i "polli" con le mail,
ma se questo articolo è reale, e tutte le nostre password (non gli HASH) e mail sono salvate negli hard disk dei provider, o come sostengono, lo erano, siamo fritti lo stesso :help:
http://www.repubblica.it/2009/10/sezioni/tecnologia/navigatori-spiati/navigatori-spiati/navigatori-spiati.html

Solitamente le password non vengono memorizzate ne in chiaro e ne crittografate ma ne viene salvato solo l'hash. Innanzitutto cosa significa? Che nel primo caso le password in qualche modo sono fisicamente salvate e quindi "recuperabili", nel secondo caso no perchè la verifica viene fatta applicando la formula sulla password inserita e si verifica la corrispondenza con l'hash salvato. L'algoritmo usato non è invertibile come nel primo caso. Come fare per accorgersene? Il sistema più banale che mi viene in mente è quello utilizzato per il recupero della password in caso di "dimenticanza". Ovvero seguendo le istruzioni basta verificare se nella casella email arriva l'email precedentemente impostata oppure solo il link per cambiare la password attuale. Nel primo caso probabilmente la password era stata salvata da qualche parte e nel secondo, probabilmente, la password non viene salvata ma si attiva una procedura per la sua "sostituzione" semplicemente perchè la pwd non può essere letta. Anche nel caso in cui viene REimpostata direttamente una password casuale rientra nel secondo caso. Quindi in conclusione si può facilmente avere un'idea di chi salva le password e chi no.

Per quanto riguarda l'articolo di cui riporti il link, appena ho un attimo ti dico cosa ne penso ma ti anticipo solo una cosa: non facciamo terrorismo soprattutto se gli articoli sono scritti da giornalisti che ci capiscono poco o niente, in materia, ed il loro scopo è principalmente creare la notizia e renderla più "appetibile" possibile.

Io uso la stessa password dal primo modem a 28 kBs aggiungo solo una variante numerica se mi viene richiesto , ho hotmail , home banking paypal , non so quanti forum e non ho mai avuto problemi ?
Sono un fesso ?

Io uso la stessa password dal primo modem a 28 kBs aggiungo solo una variante numerica se mi viene richiesto , ho hotmail , home banking paypal , non so quanti forum e non ho mai avuto problemi ?
Sono un fesso ?

Non nascondo che anch'io ho alcune password da ancora prima di te, credo che i modem all'epoca fossero asimmetrici 300/75, se non ricordo male, e si usavano appoggiandoci sopra la cornetta del telefono.
Non sono decisamente un maniaco dei cambi di password ogni mese, sarebbe impossibile, e devo dire che non ho mai avuto problemi di alcun tipo. L'importante è agire con intelligenza piuttosto che con la superficialità che hanno dimostrato molti utenti di gmail e hotmail. Ma hai visto che razza di password? asdfgh, 123456 e simili? Forse il trucco è che nessuno può pensare che possano essere utilizzate password così banali. ;)

No, direi che non ci siamo e la faccenda è ben differente: Microsoft - che gestisce Hotmail - ha confermato che nei propri sistemi non vi è stata alcuna intromissione.

Questa notizia mi pare una ghazzata...
Come può un utente fornire 10000 (o peggio, 30000) utenze frutto di phishing...e per di più delle lettere A e B ...
E se "faccio" phishing su così larga scala mica vado poi a postarli in giro, quelle utenze se ne accorgerebbero in ben altro modo..
Cosa dovrebbe dire Microsoft, "Ah si, ci han bucato e han preso milioni di credenziali"

maddai.. phishing... hahhà

Questa notizia mi pare una ghazzata...
Come può un utente fornire 10000 (o peggio, 30000) utenze frutto di phishing...e per di più delle lettere A e B ...
E se "faccio" phishing su così larga scala mica vado poi a postarli in giro, quelle utenze se ne accorgerebbero in ben altro modo..
Cosa dovrebbe dire Microsoft, "Ah si, ci han bucato e han preso milioni di credenziali"

maddai.. phishing... hahhà

A parte il fatto che 10000 o 30000 non sono cifre da capogiro in rapporto al numero di utenti di gmail o hotmail.
Senza contare che il phishing è un a vera piaga, a me giornalmente arrivano almeno 10/20 mail di fantomatiche banche o poste.it o paypal e se non si sta attenti si rischia spesso per sola distrazione di digitare i propri dati nel posto sbagliato.
Che la storia di microsoft sia poco credibile posso ben immaginarlo, ammesso che effettivamente tali dati siano stati realmente memorizzati e ne dubito. Se non ricordo male, dalla procedura di recupero password smarrita di hotmail si ottiene solo un link per la modifica mentre su altri siti viene banalmente recapitata la password via email e solo in quest'ultimo caso si può avere la certezza dell'immagazzinamento delle password in qualche database.

La domanda non è quanti utenti hotmail caschino nel phishing ogni giorno...la domanda è come faceva questa persona a sapere i dati di accesso di 10.000/30.000 users...che è diverso...

La domanda non è quanti utenti hotmail caschino nel phishing ogni giorno...la domanda è come faceva questa persona a sapere i dati di accesso di 10.000/30.000 users...che è diverso...

Giusto. Ma un elenco di user/password te lo posso fornire pure io. Poi chi va a verificare se tutti e 30000 sono veri o inventati? Chi ti dice che io non sia il solito spara-frottole che vuole comparire su qualche articolo di giornale? O semplicemente per screditare questo o quel gestore?

Ho quotato la parte di articolo pubblicato che mi pare una evidente .."azzardo" :D

L'articolo non dice "folle mitomane pubblica una lista di 30.000 utenze hotmail spacciandole come violate", dice "30.000 fessi sono fessi, hotmail è bella."
Inoltre, sul blog ufficiale di windowslive, viene affermato che quelle pass sono frutto di phishing... come dire "Quella persona ha davvero le pass, ma mica è colpa nostra".

Giacchè sono affezionato a HWU, mi spiace leggere articoli del genere :)

Ho quotato la parte di articolo pubblicato che mi pare una evidente .."azzardo" :D

L'articolo non dice "folle mitomane pubblica una lista di 30.000 utenti spacciandoli come violati", dice "30.000 fessi sono fessi, hotmail è bella."
Inoltre, sul blog ufficiale di windowslive, viene affermato che quelle pass sono frutto di phishing... come dire "Quella persona ha davvero le pass, ma mica è colpa nostra".

Giacchè sono affezionato a HWU, mi spiace leggere articoli del genere :)

Infatti direi, più che altro, che l'articolo è un pochino in stile "terrorista" e probabilmente non verificato. Ne più ne meno di quanto accade su molte testate. Però non crederei ciecamente ne ai numeri ne che l'accaduto abbia realmente la gravità sottolineata.
Ho letto, qualche post più dietro, il link ad un articolo su repubblica che mi ha lasciato molto perplesso. E dire "perplesso" è già una grossa concessione.

I giornali non contano nulla su questi argomenti! Tantomeno le versioni online! HWU è ben altra cosa...

Sulle testate dei quotidiani chi si occupa di tecnologia (come di musica) è qualcuno che con tutta probabilità non sa neanche cosa sta dicendo, ed ha letto un paio di blog online 10 minuti prima di scrivere. Persino i lettori non sanno cosa stanno leggendo. Fai te :mbe:

Si suppone invece che su HWU sia chi scrive, sia chi legge, sappiano che zzo stanno facendo..

I giornali non contano nulla su questi argomenti! Tantomeno le versioni online! HWU è ben altra cosa...

Sulle testate dei quotidiani chi si occupa di tecnologia (come di musica) è qualcuno che con tutta probabilità non sa neanche cosa sta dicendo, ed ha letto un paio di blog online 10 minuti prima di scrivere. Persino i lettori non sanno cosa stanno leggendo. Fai te :mbe:

Si suppone invece che su HWU sia chi scrive, sia chi legge, sappiano che zzo stanno facendo..

Io, leggendo la notizia, mi son detto: ah, vabbè, di polli ce ne son tanti, ma poi chissà se è vero o meno, ma un dato di fatto c'e' ed è che di polli ce ne sono veramente tanti. E tutto finisce qui.
In fin dei conti ci si meraviglia che i propri dati vengano diffusi, ma ci rendiamo conto che è possibile creare un nostro profilo a partire dai soli dati relativi ai pagamenti effettuati con bancomat e carte di credito che utilizziamo anche per comprare il pane? Secondo, ci meravigliamo tanto e poi permettiamo ai nostri figli di utilizzare facebook per pubblicare le proprie fotografie, le informazioni personali o per rispondere ai vari quiz proposti sui loro amici? Ci rendiamo conto di quanto siamo stupidi certe volte? Ho visto con i miei occhi una ragazzina di 13 anni chattare con un adulto ed inviare fotografie trasferite dal telefonino via usb. Cosa che, tra l'altro nel caso specifico, ha avuto pesanti conseguenze visto che conoscevo sia lei che i genitori.
Ti assicuro che il furto di una manciata di user e password non mi scandalizza più di tanto.
Per quanto riguarda i giornali, bah, che ti devo dire, per quello che contano .....

L'articolo non verte sullo scarso valore che diamo ai nostri dati personali, o sui molteplici metodi dei social network/forum/istant messaging per disperderli nell'ambiente; l'articolo mira invece a discolpare microsoft dalla perdita di migliaia di password, con un tono fin arrogante, il che mi pare alquanto curioso.

Che fossero da determinare un paio di accrediti?

Nota a margine: su pastebin sarebbero comparse 10,028 utenze europee comincianti per A e B, dettaglio che mi pare NON irrilevante, e che non leggo nell'articolo di HWU
Per finire l'allegro riepilogo, 1/2 ottobre, per alcuni istanti, hotmail.com non mi era raggiungibile.

L'articolo non verte sullo scarso valore che diamo ai nostri dati personali, o sui molteplici metodi dei social network/forum/istant messaging per disperderli nell'ambiente; l'articolo mira invece a discolpare microsoft dalla perdita di migliaia di password, con un tono fin arrogante, il che mi pare alquanto curioso.

Che fossero da determinare un paio di accrediti?

Nota a margine: su pastebin sarebbero comparse 10,028 utenze europee comincianti per A e B, dettaglio che mi pare NON irrilevante, e che non leggo nell'articolo di HWU
Per finire l'allegro riepilogo, 1/2 ottobre, per alcuni istanti, hotmail.com non mi era raggiungibile.

Ammetto che la circostanza sia piuttosto "curiosa", anche l'uso del grassetto lascerebbe intravvedere una certa volontà di porre l'attenzione in maniera grossolana su qualche aspetto della notizia, ma questo non significa che sia da affermare che si tratti di accrediti.
E' un po come quando vai dal medico, o ti fidi o non ti fidi anche se dice cose scomode.
In fin dei conti non è certo un grassetto che mi fa convincere di qualcosa se non ci sono altre motivazioni. Mi calo un pochino nei panni di un gestore che si trova a dover scegliere se proteggere dati inutili (le password) per i propri scopi assumendosi dei rischi oppure preferire di non averli proprio ed evitare simili "inconvenienti" comunque prevedibili.
Io, dal canto mio, cerco di mantenere il minor tempo possibile i pc ed i backup dei clienti in laboratorio proprio per evitare che furti materiali o immateriali possano mettere in giro dati "scomodi" e pertanto ritengo credibile la "difesa d'ufficio" anche perchè di polli ce ne sono davvero tanti in giro.

Sono uno studente ormai prossimo alla laurea specialistica in informatica, e con i compagni del mio anno abbiamo una mailing list su gmail. Su questa sono arrivate delle mail da parte di 4 dei miei compagni a cui era stato chiaramente violato l'account. Conosco personalmente tutte e 4 queste persone e sono sicuro che non sono così polli da cadere vittime del phising; nonostante io dia molto poco credito a coloro che vedono complotti o falsità dietro ad ogni angolo, i fatti che ho descritto non possono che farmi pensare che forse Microsoft e Google non l'hanno raccontata proprio tutta...

1. La vera garanzia se hai un programma di gestione password e controllarti il codice e compilartelo da te perché nessuno ti assicura che l'eseguibile che stai usando é stato prodotto da quei sorgenti.

2. Usare un server remoto significa dare letteralmente in pasto a terzi le tue password.

3. Gli ingenui esistono ed esisteranno sempre. Chiamarli ingenui non serve, aiutarli a capire forse!

4. Dí ai tuoi amici di non inserire la tua email in servizi che promettono loro agevolazioni se lo fanno. Perché cosí espongono poco carinamente il tuo account a phishing.

5. Le famose Catene di sant'Antonio servono proprio a questo. Alla fine le email contengono una lista chilometrica di indirizzi che il tuo amico carinamente ha inserito dalla sua intera rubrica credendo, per esempio, che il tizio in questione sta veramente morendo e gli serve davvero il rarissimo gruppo sanguigno. Alla fine chi ha fatto la catena raccoglie tutti sti indirizi, tra cui il tuo, ed é sicuro che funzionano per i suoi attacchi.

6. Nessuna email buona chiede A PRIORI password o ti fa collegare a un sito che la chiede. Se il tuo account é stato fregato non é una email che te ne informa. Tu te ne accorgi quando non puoi piú entrare. A quel punto usi la procedura standard del sito che ti hanno soffiato e se ti arriva una email a tal proprosito sei sicuro che sei stato tu a chiederla.

7. Se usi la stessa password per vari siti esponi te stesso e sei molto vulnerabile. Sta a te decidere se il gioco vale la candela. Io non ti critico ma ti avverto. Soltanto non mi dire che non hai mai avuto problemi perché assomigli al fumatore che dice: io non ho avuto il cancro fin ora.

8. Prega di aver fortuna e non essere mai vittima di un attacco serio XD

i polli in questione sono quelli (e ne vedo tanti) che quando gli dici: scrivi l'indirizzo sulla barra degli indirizzi, loro lo scrivono sulla barra di ricerca di google. ovviamente perche non sanno cosa sia la barra degli indirizzi pur avendola sotto gli occhi tutti i giorni.
più che phishing direi auto-fotting :D

La vera garanzia se hai un programma di gestione password e controllarti il codice e compilartelo da te perché nessuno ti assicura che l'eseguibile che stai usando é stato prodotto da quei sorgenti.

In linea generale hai ragione ma...Tu vuoi dirmi che non ti fidi di keepass scaricato dal sito ufficiale di keepass?? Ma LOL :D

è il concetto stesso di password che andrebbe rivisto ... i polli però ci saranno sempre

Basterebbe fare una campagna informativa, sono troppi quelli che usano il pc senza sapere realmente quello che stanno facendo.

Cmq da un po' di tempo a questa parte uso passphrase più che password.

Basterebbe fare una campagna informativa, sono troppi quelli che usano il pc senza sapere realmente quello che stanno facendo.

Cmq da un po' di tempo a questa parte uso passphrase più che password.

C'e' anche da dire che effettivamente tra password, pin e codici vari, più che un cervello dovremmo avere un archivio. :)

C'e' anche da dire che effettivamente tra password, pin e codici vari, più che un cervello dovremmo avere un archivio. :)

Non necessariamente se usi una frase che ti puoi ricordare facilmente (almeno ove possibile naturalmente).

Non necessariamente se usi una frase che ti puoi ricordare facilmente (almeno ove possibile naturalmente).

Dove possibile, hai ragione, ma ad esempio sui bancomat devono essere numeri così come su molti servizi non hai la libertà necessaria per usare le "frasi" e quindi ti devi accontentare di adattamenti alle frasi che a volte sono più difficili dei numeri.

Sulle testate dei quotidiani chi si occupa di tecnologia (come di musica) è qualcuno che con tutta probabilità non sa neanche cosa sta dicendo, ed ha letto un paio di blog online 10 minuti prima di scrivere. Persino i lettori non sanno cosa stanno leggendo.
non solo pc e musica, ho pilotato cessna per 10 anni e mi basta leggere cosa scrivono quando c'è un incidente...

però....vendere computer a moltissimi "u-tonti" ha permesso di poterli comprare a 300 e non a 3000 euro ;)