Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/gli-adulteri-di-ashley-madison-usavano-password-terribili-ecco-le-peggiori-30_58795.html

Ashley Madison è stata colpita da un tremendo attacco hacker, anche se la società ha definito imbattibile la sua protezione crittografica. In realtà però sono state già decifrate 11 milioni di password, ma non è tutta colpa del servizio

Click sul link per visualizzare la notizia.

dei geni.. 300 mila con delle pswd da decerebrati in un sito dove avevano messo carta di credito e infedeltà coniugale.. bravi..

a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?

Secondo me, usano la stessa password anche per l'home banking...
Devono tenere fede al loro status di decerebrati

infatti molti siti delel banche non accettano più pass troppo semplici e ti danno dei token e mandano sms al cellulare ogni volta che fai un operazione a rischio

Gli utenti che hanno usato 1234567890 pensavo di stare al sicuro usando 80 bit invece di 48 bit di 123456.

696969 ... 8801 fedifraghi hanno vinto tutto. :D

Meritano di essere sputtanati anche solo per quello !!!

:) :) :)

Fantastici!
Password davvero molto difficili da decifrare!

Per fortuna che le banche per i servizi home banking, prevedono già da tempo token, conferme SMS e telefonate per conferme dispositive, altrimenti questa gente avrebbe i conti svuotati. :doh:

Ma sappiamo che con certi utenti è tutto inutile, e saranno sempre in tantissimi ad utilizzare ridicole progressioni numeriche anche per proteggere i dettagli più scabrosi della propria vita online. Tanto la colpa è sempre di chi offre il servizio.

La colpa è anche di chi offre il servizio e permette in fase di registrazione di inserire numeri sequenziali e sequenze di lettere facilmente decifrabili e senza scomodare tecniche brute force...

(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD

a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?

Generalmente le password memorizzate in un database, così come i dati della carta di credito, vengono cifrati tramite un algoritmo di cifratura.
Questo per evitare che chiunque riesca ad accedere al database possa leggere in chiaro le password o le carte di credito degli utenti.

a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?il database contiene gli hash delle password, non sono in chiaro. Se avevano anche le password in chiaro erano senza speranza.

Questi hash sono stati generati con Bcrypt, che rende il database in sè inattaccabile.

La cazzata sta nel token di autenticazione per il login (token = gettone = coso software che immagazzina utente/password nel browser così non devi rimettere la password ogni volta che cambi pagina, e che sparisce quando chiudi il sito o non apri nuove pagine di quel sito per X tempo), che sono criptati con Md5, che oggigiorno viene principalmente usato per verificare l'integrità dei files scaricati più che per criptare roba.

La colpa è anche di chi offre il servizio e permette in fase di registrazione di inserire numeri sequenziali e sequenze di lettere facilmente decifrabili e senza scomodare tecniche brute force...This. Come diceva qualcuno, se non hai un controllo sui dati in entrata nel database, quelle scimmie degli utenti te lo riempiono di boiate. :rolleyes:

beh dai la password pussy era indicata, tanto di pussy nel sito non ce n'era molta :asd:

Secondo me, usano la stessa password anche per l'home banking...
Devono tenere fede al loro status di decerebrati

:winner:
you made my day

in ogni caso, si, si meritano il peggio.... il bello è che vorrei capire se nei cortocircuiti che danno vita alla loro inutile materia grigia (evidentemente ancora imballata) il motivo scatenante di cotanta idiozia nasce da:

- bah, è un sito del piffero, fregasega se mi trovano la password
o
- 12345... geniale! solo a me e altri pochi illuminati poteva venire in mente!

:doh:

beh anche un sito che permette la memorizzazione nel 2015 di password a 5 cifre...

Appunto...INAFFIDABILE!:doh:

Faccio un po' l'avvocato del diavolo.

Ma avere una password banale a cosa rende più vulnerabili esattamente?
Io non uso password del genere sia chiaro, ma giusto per parlarne.

La password nel database sarà criptata, quindi che sia 123456 o jnvu12ER nel database sarà sempre una stringa simile.
Ovvio rende più vulnerabili all'indovinare la password ma non credo che si siano messi a indovinare la password di 11 milioni di utenti.
Rende più veloce un attacco brute force, ma un database non dovrebbe permettere un attacco brute force, mi pare di capire che qui hanno scaricato il database e poi usato il brute force giusto?

Quindi esattamente dov'è che sono più vulnerabili?
E vorrei far notare un'altra cosa: non hanno forse trovato le password anche degli utenti con password più solida e complicata?

si tratta semplicemente di una "bad practice"... piu gente usa queste password, piu è facile bucare l'account, semplice, perché è come NON ci fosse una password
poi scoperta una (ormai hai capito che hai a che fare con "uno sveglio") puoi iniziare a fare il giro di tutti gli altri suoi account skype/facebook/mail/ e chi piu ne ha piu ne metta, tirare su tutto e sperare che tra le fesserie non ci siano credenziali di carte di credito o altro. :oink:

perchè il database non dovrebbe permetterlo? ovvero, non è nemmeno difficile fare un bruteforce su una gmail... e mi pare che se ne intendano di informatica in google

Ok perchè le password uguali anche se criptate avranno la stessa stringa, quindi trovata una le hai trovate tutte.


In teoria no perché gli hash hanno anche il salt, quindi non dovrebbero avere la stessa stringa.

Il vero problema è avere la password uguale per tutti gli account, perchè violato uno (leak, brute force, phishing non ha importanza) li hai violati tutti.

Faccio un po' l'avvocato del diavolo.
Ma avere una password banale a cosa rende più vulnerabili esattamente?
Io non uso password del genere sia chiaro, ma giusto per parlarne.
Il 99.999% degli attacchi ad un sistema sicuro (quindi uno che ti blocca il brutefoce come il nostro forum che dopo X tentativi ti blocca il login per un'ora o giù di lì) si basa su dizionari.

Dizionario = lista di password probabili o parole che composte insieme a casaccio possono formare una password.

Cioè non vanno in bruteforce che ci metterebbero dodicimila anni, ma provano prima le password più dimmerda visto che statisticamente sai benissimo che una valanga di deficienti usa quelle citate nell'articolo.

Qui non hanno usato un bruteforce, perchè per un bruteforce una password

12345

ha la stessa difficoltà di

1Sa5&

se il tuo bruteforce tiene conto di password con numeri, lettere (maiuscole e minuscole) e simboli.

Ma nel 2015 esiste ancora un bruteforce senza dizionario?
È ovvio che prima si provano le password banali, a meno che non metti proprio 123456 ci vogliono comunque mesi per scovare la password di un account se dopo 5 tentativi ti banna per 1 ora e per 11 mila account ci metti appunto 12 mila anni.

Ma infatti ho subito scritto "Rende più veloce un attacco brute force" :D
Se il database é offline il problema non si pone :D

Esistono toolkit di ingegneria sociale per creare dizionari personalizzati.
____________________
Però che password a prova di attacco, a nessuno verrebbe in mente di usarle :asd:

Ma nel 2015 esiste ancora un bruteforce senza dizionario?In teoria il Fappening. :rolleyes:

http://www.cultofmac.com/297709/apple-aware-icloud-security-flaw-6-months-fappening/

La vulnerabilità che lo ha permesso rendeva possibile aggirare il "blocco dopo X tentativi".

Ci hanno messo mesi e almeno una botnet per fare il lavoro sporco. E un software che era opensource... su GitHub, chiamato iBrute. https://github.com/hackappcom/ibrute (ora è inutile visto che hanno patchato il problema, resta per ragioni storiche :) )

Se vedi il sorgente è un programmino semplice che usa un dizionario di password/login.

Ma la vulnerabilità in sè permetteva anche il bruteforce puro, tutti quelli con password con meno di 4 caratteri li freghi.

La mancanza di altri sistemi di sicurezza aggiuntivi che magari scattavano quando un account riceveva tipo MILLE login sbagliati in assoluto resta un pò una cazzata atomica imho, ma parliamo di Apple dopotutto.

non vedo trustno1 nella classifica

QUanta gente che si sorprende di queste password... ok le azienda, ma avete mai fatto assistenza ai privati? Non vedo mai password diverse da quelle elencate qua sopra, a parte la versione "Italiana" invece che inglese :)

(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD

spaceballs!!!!!!!!!!!!!

:sofico: :sofico: :sofico:

l'era digitale era appena agli albori e mel brooks aveva capito tutto, grande onore a quest'uomo

https://www.youtube.com/watch?v=a6iW-8xPw3k

la cosa piu inquietante è che quella pw , sicuro che la usano per tutto!

cmq va anche detto che oltre ad essere decelebrati loro , lo sono anche quelli del sito ..

non dovrebbero accettare pw del genere.

non è stata menzionata la mega classicità del username coincidente con la password
il peggio....

spaceballs!!!!!!!!!!!!!

:sofico: :sofico: :sofico:

l'era digitale era appena agli albori e mel brooks aveva capito tutto, grande onore a quest'uomo

https://www.youtube.com/watch?v=a6iW-8xPw3k
https://www.youtube.com/watch?v=foi-sINWxeg

Vorrei focalizzare il discorso sul consiglio del password manager.

Anche noi abbiamo il consiglio di usarlo, ma preferisco il taccuino e penna ben nascosti in casa e password tutte aggiornate a 90 giorni... ad ogni modo cerco da tempo di documentarmi su questo mondo dei password manager.

E' affidabile annidare tutte le proprie password in un solo punto digitale?

Ho letto che molti fanno una sorta di funzionamento cloud con accesso multipiattaforma, utile... ma alla fine è come mettere le nostre password online, dietro una sola password e soprattutto consegnarle a terzi.

Sicuramente sbaglio... ma mi aiutereste a capire dove?

Grazie.

Vorrei focalizzare il discorso sul consiglio del password manager.

Anche noi abbiamo il consiglio di usarlo, ma preferisco il taccuino e penna ben nascosti in casa e password tutte aggiornate a 90 giorni... ad ogni modo cerco da tempo di documentarmi su questo mondo dei password manager.

E' affidabile annidare tutte le proprie password in un solo punto digitale?

Ho letto che molti fanno una sorta di funzionamento cloud con accesso multipiattaforma, utile... ma alla fine è come mettere le nostre password online, dietro una sola password e soprattutto consegnarle a terzi.

Sicuramente sbaglio... ma mi aiutereste a capire dove?

Grazie.

Non sbagli , rimane il sistema piu sicuro . Eccetto che sul cambiare pw ogni 3 mesi che imho non ha senso.

Cioè avrebbe senso cambiarla ad ogni accesso , ma diventa ingestibile la cosa , ma ogni 3 mesi non ser e a niente perche chi la trova in 2 minuti te la cambia e ci fa quello che vuole.

Tutta sta smania a far cambiare pw serve solo a farsele scordare.

L'unica vera pw sicura che dovete avere è quella della mail perche se bucano quella hanno accesso a tutte tramite il recovery . E li consiglio l'autenticazione tramite sms

Vorrei focalizzare il discorso sul consiglio del password manager.

Anche noi abbiamo il consiglio di usarlo, ma preferisco il taccuino e penna ben nascosti in casa e password tutte aggiornate a 90 giorni... ad ogni modo cerco da tempo di documentarmi su questo mondo dei password manager.

E' affidabile annidare tutte le proprie password in un solo punto digitale?

Ho letto che molti fanno una sorta di funzionamento cloud con accesso multipiattaforma, utile... ma alla fine è come mettere le nostre password online, dietro una sola password e soprattutto consegnarle a terzi.

Sicuramente sbaglio... ma mi aiutereste a capire dove?

Grazie.

Per quanto mi riguarda, uso da tempo Last-Pass che è multipiattaforma e funziona ovunque.
E' vero che affidi la tua passaword a terzi, ma quello lo fai comunque su qualsiasi sito dove ti registri quindi si presume che dietro ci siano opportune misure di criptaggio dei dati inseriti.
Poi aggiungi anche il fatto che puoi attivare la verifica in due passaggi con conferme SMS. ;)
Inzomma...Non so se è più sicuro tenersi i fogliettini con tutte le password in casa, registrarsi a siti con password idiote oppure usare un gestore di password che genera password alfanumeriche sicure e dove per aprire la cassaforte devi avere con te una seconda chiave (il tuo telefono) per confermare che sei effettivamente tu.

https://www.youtube.com/watch?v=kxYAzNMZ2CU

Il video di Balle Spaziali in italiano. :D

E li consiglio l'autenticazione tramite smsThis. A million times this. :O

Se è un account serio, DEVI metterci il numero di telefono per gli SMS di sicurezza.

Quando vuoi fare cambiamenti all'account (password ad esempio) ti mandano un sms con un codice monouso da immettere.

Quindi eventuali malintenzionati dovrebbero ciularti le password dell'account E IN AGGIUNTA anche il cellulare.

Non so se è più sicuro tenersi i fogliettini con tutte le password in casa, registrarsi a siti con password idiote oppure usare un gestore di password che genera password alfanumeriche sicure e dove per aprire la cassaforte devi avere con te una seconda chiave (il tuo telefono) per confermare che sei effettivamente tu.Ma è più sicuro usare password idiote, che domande :D

Il mio problema non è soltanto riguardo alla possibilità che qualche malintenzionate sottragga le password e le modifichi impossessandosi dell'account, quello si recupera molto facilmente... in genere, quanto il fatto stesso che sottragga le password.

Se dovesse esserci un leak dal sito del gestore delle password, praticamente impossibile? probabile, ma non in assoluto.

A casa mia sono sicuro che non ci siano leak... ditemi dove sbaglio che mi farebbe davvero comodo, con oltre 40 password da ricordare per tutti i device.

La doppia conferma ce l'ho in tutti i siti che lo permettono, con sms o più spesso authenticator in app.

Il mio problema non è soltanto riguardo alla possibilità che qualche malintenzionate sottragga le password e le modifichi impossessandosi dell'account, quello si recupera molto facilmente... in genere, quanto il fatto stesso che sottragga le password.

Se dovesse esserci un leak dal sito del gestore delle password, praticamente impossibile? probabile, ma non in assoluto.

A casa mia sono sicuro che non ci siano leak... ditemi dove sbaglio che mi farebbe davvero comodo, con oltre 40 password da ricordare per tutti i device.

La doppia conferma ce l'ho in tutti i siti che lo permettono, con sms o più spesso authenticator in app.


Dubbi condivisibili i tuoi, ma a sto punto non sei nemmeno sicuro con i fogliettini in casa.
Io non mi pongo troppe domande...1password e LastPass sono sistemi più che sicuri, mi devo ricordare solo una password di accesso (che poi nel caso hai smartphone con fingerprint non serve) e volendo posso cambiarla ogni settimana.
Poi ovvio che ci metto le password dei siti dove non ci sono in ballo carte di credito e home banking.
Ma comunque, dove ci sono in ballo soldi, puoi anche usare le password più stupide del mondo che oggi ci sono altri sistemi avanzati di sicurezza che parano "abbastanza" il culo anche per quelli poco attenti.
Per farti un'esempio, per entrare in home banking nella mia banca, serve solo un numero di 8 cifre, seguito da una data importante (che scegli tu) e seguito da un'altra serie di numeri da sei cifre che diciti su un tastierino a schermo e che varia la posizione dei numeri di volta in volta (questo per evitare i Keylogger).
Questo solo per entrare, poi per fare azioni dispositive, occorre un numero di telefono registrato in precedenza a cui hai accesso fisicamente (quindi sarà bloccato da password).
Capisci che puoi anche loggarti con 123456 compilando tutti i campi dove ti vengono richiesti numeri che alla fine, ti manca sempre una chiave per poter entrare in modo definitivo nella cassaforte.
Insomma...io col cavolo che mi metto a scrivere 40 password diverse su fogliettini che potrei anche perdere, uso un gestore di password, adotto tutte le protezioni del caso per dati più importanti (la banca) e finisce lì.

Capisco il concetto.

Ma a parte che se sottraessi i siti dove ci sono in ballo soldi, fra varie carte e collegamento di tutti i siti di acquisto a carte o paypal, e i siti o accessi di lavoro... mi ridurrei a 3 o 4 forum, il problema è che se sottraggono i foglietti a casa me ne accorgo. :D :D


Ripeto il mio è un poco il ruolo dell'avvocato del diavolo, ma mi sento ancora poco sicuro... ho provato a cercare dei gestori di password offline, ma allora tanto vale che mi affido alla memoria del mio browser, tanto protetto anche lui da password master su notebook con fingerprint.

la cosa migliore è fartelo il password manager usi un bel file access protetto da password e poi lo zippi con una password per un privato basta a meno di non mettere password idiote, se proprio vuoi lo codifichi pure ma poi diventa un'agonia usarlo.
mettere password su un password manager online è una cosa quantomeno sconveniente.
Dopotutto l'interesse nei dati di una persona sfuma nel momento in cui i soldi che spendi (compreso il tempo che ci metti) per carpire i dati sono superiori a quelli che mediamente potresti guadagnarci...
mett

(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD

12345? Sorprendente! E' la stessa combinazione della mia valigia! :asd: :asd:

Faccio un po' l'avvocato del diavolo.

Ma avere una password banale a cosa rende più vulnerabili esattamente?
Io non uso password del genere sia chiaro, ma giusto per parlarne.

La password nel database sarà criptata, quindi che sia 123456 o jnvu12ER nel database sarà sempre una stringa simile.
Ovvio rende più vulnerabili all'indovinare la password ma non credo che si siano messi a indovinare la password di 11 milioni di utenti.
Rende più veloce un attacco brute force, ma un database non dovrebbe permettere un attacco brute force, mi pare di capire che qui hanno scaricato il database e poi usato il brute force giusto?

Quindi esattamente dov'è che sono più vulnerabili?
E vorrei far notare un'altra cosa: non hanno forse trovato le password anche degli utenti con password più solida e complicata?

https://it.wikipedia.org/wiki/Attacco_a_dizionario

Capisco il concetto.

Ma a parte che se sottraessi i siti dove ci sono in ballo soldi, fra varie carte e collegamento di tutti i siti di acquisto a carte o paypal, e i siti o accessi di lavoro... mi ridurrei a 3 o 4 forum, il problema è che se sottraggono i foglietti a casa me ne accorgo. :D :D


Ripeto il mio è un poco il ruolo dell'avvocato del diavolo, ma mi sento ancora poco sicuro... ho provato a cercare dei gestori di password offline, ma allora tanto vale che mi affido alla memoria del mio browser, tanto protetto anche lui da password master su notebook con fingerprint.

Certo che si!
Lo svantaggio è che se cambi dispositivo o browser, perdi la possibilità di usar le password.
LastPass è un password manager che funziona su qualunque browser e dispositivo mobile. ;)

Basta copiare la cartella del profilo con mozilla, della cartella userdata con chrome... sui vari dispositivi. O sincronizzarla con qualche file manager.

Niente sync online. :D :D

Io sto implementando un archivio keepass da piazzare, insieme alla versione portatile del suddetto programmino, su una penna usb che porto sempre con me.
Il problema è che sono pieno d'iscrizioni a siti/forum e l'archivio sarò enorme. :asd:

archivio di cui farò un backup ovviamente. :D

Basta copiare la cartella del profilo con mozilla, della cartella userdata con chrome... sui vari dispositivi. O sincronizzarla con qualche file manager.

Niente sync online. :D :D

E come la sincronizzi se non la metti online? :D



Firefox ha il sync, Chrome/Chromium ha il sync, IE/Edge ha il sync (ma non è multipiatta)... gli altri non so ma credo proprio di si.

Appunto...
Safari ad esempio ha il sync tra OSX e IOS, ma se usi ad esempio Linux sei fregato.

@Unicopcmaster.

Anche Keepass è molto buono come password manager.

Ad esempio con sw tipo uranium? :D :D

Qualunque sw che gestisca la sincronizzazione automatica fra 2 cartelle o più file. Si deve fare ogni 90 giorni, ci si mette pochi minuti. :D :D

Scusate ma chrome salva le pw gia da se... Perche mai uno deve metterci una estensione.

Salva tutte le pw dei siti poco importanti e non salva banche e carte di credito .

Se le memorizza anche sul telefono ma non le fa vedere in nessun modo ..( in caso di smarrimento non possono cambiarla senza saperla )

Direi perfetto

In realtà sia firefox che chrome permettono di vedere le password salvate, il che è molto comodo secondo me, così se non ricordo la password posso andare a vederla.
Se qualche malintenzionato ha accesso fisico al terminale la protezione deve essere del sistema operativo secondo me.

Ti chiede la pw di windows.
certo se la pw di windows è 1234 ....

Scusate ma chrome salva le pw gia da se... Perche mai uno deve metterci una estensione.

Salva tutte le pw dei siti poco importanti e non salva banche e carte di credito .

Se le memorizza anche sul telefono ma non le fa vedere in nessun modo ..( in caso di smarrimento non possono cambiarla senza saperla )

Direi perfetto

Ma funziona se usi chrome su tutti i dispositivi.
Nel momento in cui hai un dispositivo dove usi ad esempio Safari (Mac o Iphone) ecco che hai per forza bisogno di un'estensione che si sincronizza con qualunque browser.
Poi bon...di casi eclatanti dove hanno bucato il server di last pass ne ho letti davvero pochi, in ogni caso vieni informato per email e hai la possibilità di proteggerti con sistemi a doppia verifica ogni volta che accedi alla tua cassaforte.
Se usi chrome sul PC e hai un keylogger che sniffa quello che digiti che fai?

Ma funziona se usi chrome su tutti i dispositivi.
Nel momento in cui hai un dispositivo dove usi ad esempio Safari (Mac o Iphone) ecco che hai per forza bisogno di un'estensione che si sincronizza con qualunque browser.
Poi bon...di casi eclatanti dove hanno bucato il server di last pass ne ho letti davvero pochi, in ogni caso vieni informato per email e hai la possibilità di proteggerti con sistemi a doppia verifica ogni volta che accedi alla tua cassaforte.
Se usi chrome sul PC e hai un keylogger che sniffa quello che digiti che fai?

Certo che se uno non usa il solito browser ha necessita di uma estensione. Cmq il problema sicurezza non si pone .

Per i siti veramente importanti , come banche carte conti steam , e sito di incontri le pw non andrebbero salvate.



Tornando IT, ma secondo voi su quel sito il rapporto uomini \ donne ( non oscene) a quanto sarà? 100 a 1?:asd:

E come la sincronizzi se non la metti online? :D
OwnCloud (tipo dropbox ma sul tuo NAS).
Cartella condivisa del tuo NAS con WebDav (protocollo che funziona anche attraverso la rete internet).

E così non è online? :rolleyes:

Se cripta il file , non è online . È solo una serie di valori senza significato.

E così non è online? :rolleyes:

Se cripta il file , non "è online ". È solo una serie di valori senza significato .

Si ok ma il discorso non è solo legato al browser del propio PC dove basta il gestore password interno.
Con last pass posso accedere anche all'estero e su un PC dove non c'è installata l'estensione.
Se sono su un PC che non è il mio, non è che mi metto a sincronizzare un browser che uso solo per 5 minuti, accedo direttamente al sito di last pass, mi loggo, mi arriva il messaggio di conferma sul telefono se sono o meno io e finita lì.
Semplice e funziona ovunque.

E così non è online? :rolleyes:Non nel senso che si intende di solito. (eggrazie, internet lo deve usare, non va per via telepatica)

Il mio NAS non è il cloud, ci accedo solo io, quindi i dati passano solo via canali criptati (VPN o WebDAV che sono hostati dal mio NAS) tra me e il mio NAS a casa mia.

fuckme è la migliore

Tutti a guardare le password, ma quasi nessuno mi sembra abbia colto il punto: hanno crittato veramente male i TOKEN, rendendo ininfluente la bontà della password...
Si può essere così stupidi!? :mad: A me non frega nulla di questo sito, ma se succedesse con dati delicati?

Certamente quello è un punto importante, ma la vulnerabilità, se non ho capito male... è che è stato possibile applicare un metodo bruteforce senza ostruzioni.

Se la password è difficile, non solo alfabetica o a vocabolario, magari case sensitive e con simboli speciali, anche il metodo bruteforce impiegherebbe anni.

Certamente quello è un punto importante, ma la vulnerabilità, se non ho capito male... è che è stato possibile applicare un metodo bruteforce senza ostruzioni.

Se la password è difficile, non solo alfabetica o a vocabolario, magari case sensitive e con simboli speciali, anche il metodo bruteforce impiegherebbe anni.

il team ha identificato una vulnerabilità attaccabile nel modo in cui venivano gestite le password. I token per il log-in, nella fattispecie, erano protetti utilizzando MD5, algoritmo molto più debole e veloce da decifrare. Invece di "crackare" l'agoritmo Bcrypt, quindi, gli esperti hanno semplicemente effettuato un brute force sui token MD5 dei singoli account.

ci sono anche queste: http://technews.wpengine.netdna-cdn.com/wp-content/uploads/2015/09/cynosure-prime-ashley-madison.jpg