Ho pubblicato una cosa su un sito fornendo come eventuale contatto una email di gmail nuova creata per l'occasione. La pagina potrebbe essere stata vista da un migliaio di persone. Dopo 2 giorni non riesco più ad accedere perchè la password non è giusta. Qualcuno si è divertito a cambiarla probabilmente per leggere i messaggi ricevuti (pochissimi e di scarso valore, sarà rimasto deluso). La password erano 15 lettere iniziali di 15 parole di una poesia pochissimo nota. Password sicurissima quindi, per quel che posso capire, e stupidamente non ho messo nè il telefono nè una mail alternativa. Provo quindi a fare la procedura guidata per la denuncia di cambiamento password/reset della password/password nuova: il sistema automatico mi chiede il mese in cui ho creato l'account, mi chiede qual'era l'ultima password che ricordavo e ovviamente ricordavo quella giusta, mi chiede se ricordo le email con cui ho dialogato (ne ricordo 2)... basta... mi manda il link per il reset+cambio, questa volta metto un'altra serie di lettere da un'altra poesia, il tetefono, 2 email alternative e tutto è finito bene. Ma mi chiedo: come ha fatto l'hacker? Devo pensare che i server di Gmail non sono sicuri? La cosa che immagino da ignorante di queste cose è che abbia fatto la procedura che ho fatto io, ma senza sapere ovviamente la cosa fondamentale: la password iniziale giusta. Possibile? Non è un po' strano che Gmail consenta a un estraneo il cambiamento di password e la conseguente entrata nella posta? Dove sbaglio nel ragionamento? Che pensate voi che ne sapete più di me?
Grazie a tutti!

mi spiace deluderti, ma una password di 15 caratteri dove i caratteri sono tutte lettere dell'alfabeto è una delle meno sicure che possano esserci.

se non ci credi, creane una poi prova a craccarla; vedrai che non ci metterai molto.

per assurdo, sarebbe stata certamente più sicura una password ben più corta, ma che che fosse stata composta da una sequenza casuale di lettere, numeri e caratteri speciali.

Grazie della risposta ma.... non saprei proprio dove iniziare per "craccarla".... "vedrai che non ci metterai molto" non credo proprio... mi interesso di informatica da anni ma queste cose non le ho mai frequentate.... cioè in pratica??? Un link?? Mi sto incuriosendo.... a parte il fatto che quando la crei viene visualizzata una linea verde con la scritto "password sicura!"... ma ache una password di 4 lettere con una parola di senso compiuto come "casa"... come si farebbe? Cioè provano un "forza bruta" e i server di Google accettano questa prova senza bloccarlo come fanno i bancomat che dopo 3 prove, credo, si mangiano la tessera?? Come vedi sono molto ignorante...
Grazie

1) Va be' vedo che l'argomento non interessa tanto...strano... non ho avuto lumi oltre all'assurda risposta di bio.hazard "se non ci credi, creane una poi prova a craccarla; vedrai che non ci metterai molto" .... non sarei qui a chiedere lumi in tal caso...
2) Doverosa premessa: mi rendo conto che gli argomenti di questo forum sono un po' pericolosi: si rischia di dare degli utili suggerimenti ai malintenzionati o agli stupidi, non solo a quelli come me a cui piace capire le cose. Per cui forse anche per questo non ho avuto risposte illuminanti. Ma illuminatemi anche su questo se volete.
3) Comunque ho provato a creare un nuovo account su Gmail senza mettere telefono o domande di sicurezza o mail alternativa. Poi ho provato a fingere di aver dimenticato la password mettendo come informazione solo il presunto ultimo accesso il giorno prima. Niente: Gmail non mi ha consentito il recupero della password fintamente dimenticata.
4) Ripeto: sono meravigliatissimo al pensiero che i server dei californiani Google (mica dilettanti allo sbaraglio) ammettano hackeraggi di qualunque tipo, men che meno "vedrai che non ci metterai molto"....
Per esempio una delle maggiori banche italiane consente la consultazione di tutta la situazione finanziaria (ma non per fortuna bonifici e altre operazioni, per quelli serve l'aggeggino otp) semplicemente con la immissione di due numeretti di 10 e 6 cifre dati una volta per sempre.... è insicura pure quella?
5) Ripeto ancora: anche una password semplice di senso compiuto come "casa" non riesco a immaginare come possa essere scoperta facendo fessi i californiani.... giustamente per esempio un mio conoscente ha avuto una segnalazione di un tentativo di accesso sospetto dall'Asia.
6) Grazie comunque se qualcuno mi segnalerà un link in cui queste questioni siano trattate in modo scientifico.

Esistono programmi fatti a posta per eseguire attacchi "dictionary" o "bruteforce" verso indirizzi di posta elettronica. Aggiungo che c'è una suite che contiene svariati software e ufficialmente sarebbe destinata all'uso in ambito di "sicurezza" informatica, non di attacchi informatici ma chiaramente è una lama a doppio taglio e può essere usata nel secondo caso.

Non aggiungo altro, sicuramente nessun nome e credo che non dovresti postare nulla di relativo in questo forum per quanto il tuo scopo sia "didattico", esistono scopi tutt'altro che didattici vedi il tuo punto 2)