Ciao,

Ultimamente sento sempre più spesso di password rubate dai database installate sui server di diverse società. L'ultimo caso, ad esempio, pare riguardi teamviewer; anche se la società ha fatto sapere che non c'è stato alcuna intrusione sui loro server e il problema sarebbe che gli utenti usano le stesse generalità per loggarsi sui diversi servizi. Quindi se vengono sottratte la password da siti meno sicuri queste possono essere usate anche per altri siti e servizi online, in linea di massima.

Ok. Però mi chiedo, ma le password non sono criptate nei database di queste società? Che se ne fanno i pirati se non sono leggibili? Le decriptano? E come?
Una volta mi divertivo a sviluppare piccoli siti web e installavo il forum phpbb2 che aveva il campo per le password che erano illeggibili perché criptate (con l'algoritmo md5 se ricordo bene) e quindi neanche l'amministratore poteva conoscerle.

Qualcuno potrebbe dirmi qualcosa di più in merito?
Grazie

ma le password non sono criptate nei database di queste società?

Dovrebbero esserlo, ma il mondo, è purtroppo pieno di braccia rubate all'agricoltura (con tutto il rispetto per l'agricoltura) che si spacciano per maghi dell'IT, con i risultati che tutti abbiamo sotto gli occhi.

Dovrebbero esserlo, ma il mondo, è purtroppo pieno di braccia rubate all'agricoltura (con tutto il rispetto per l'agricoltura) che si spacciano per maghi dell'IT, con i risultati che tutti abbiamo sotto gli occhi.


Ma è strano che le password di tanti importanti siti non siano criptate. Anche i software e gli script preconfezionati per costruire website criptano le password prima di caricarle nei DB.

Da qualche parte la chiave di decrittazione è salvata, sai dov'è e il gioco è fatto.

Se hanno l'hash, e la password non è molto complessa, basta un brute force, hanno tutto il tempo che vogliono.
Poi dipende dal tipo di criptazione che usano...

Da qualche parte la chiave di decrittazione è salvata, sai dov'è e il gioco è fatto.

Premetto che non sono un esperto, però la chiave di criptazione/decriptazione non la fornisce l'utente all'algoritmo proprio con la sua password?

Se hanno l'hash, e la password non è molto complessa, basta un brute force, hanno tutto il tempo che vogliono.
Poi dipende dal tipo di criptazione che usano...

Certo, può essere forzata una password se non è molto complessa, ma qui parliamo di centinaia di migliaia (in alcuni casi milioni) di password. Non può essere sempre questo il caso. Magari come dici tu rubano gli Hash e poi provano per quelle più semplici. Quindi (ammesso che sia così) non è detto che tutte le password rubate (meglio dire hash) siano utilizzabili.

Quindi (ammesso che sia così) non è detto che tutte le password rubate (meglio dire hash) siano utilizzabili.
Certo che no, ma niente di garantisce che sia la tua password che non riescono ad utilizzare.

ma infatti secondo me il vero problema non si è verificato direttamente sui server dell'azienda interessata bensì riguarderebbe una raccolta di password svolta da uno o piu malware installati sui pc personali dei clienti. queste password poi vengono ovviamente categorizzate e quindi attribuite ai vari siti, alla fine, se il malware ha avuto buona propagazione ed efficacia nell'estorcere le informazioni cercate, si ha un dabase contenente milioni di password rivendibili sul mercato nero.
in base alle informazioni rilasciate in fase di asta e/o in base all'autenticità del contenuto comprato (niente impedisce che i colossi si siano affidati ad aziende appaltate per acquisire questi database) poi decidono come comportarsi con la clientela e a quanto mi è sembrato, per cautelarsi prediligono obbligare alla creazione di nuova password per tutte le utenze in essere anzicchè limitarsi alle utenze interessate dal furto.