L'attacco di sicurezza contro Adobe diventa un gioco di parole crociate interattivo

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/l-attacco...ivo_49757.html

Lo scorso ottobre Adobe è stata vittima di un grosso attacco che ha compromesso la sicurezza degli account di 150 milioni di utenti. Le password di questi ultimi sono state utilizzate per realizzare un gioco di parole crociate

Click sul link per visualizzare la notizia.

[qboy]

anche ipotizzando che una persona intelligente sceglie una password diversa per ogni sito dove si registra e che quest'ultima sia composta da numeri, lettere e caratteri speciali. dopo come fa a ricordarseli? se li segna su un foglio? e se lo perde o simili?

[coschizza]

Quote:

Originariamente inviato da qboy

anche ipotizzando che una persona intelligente sceglie una password diversa per ogni sito dove si registra e che quest'ultima sia composta da numeri, lettere e caratteri speciali. dopo come fa a ricordarseli? se li segna su un foglio? e se lo perde o simili?

semplice si usano programmi come keepass per gestire il propio database (ne esistono a decine di diversi), database che in base al trogramma usato puo anche condividere i dati fra periferiche diverse pc smartphone tablet mac linux ecc.

A fronte di una perdita di tempo non indifferente iniziale quando si deve segnare sito dopo sito e cambiare le password hai una gestione perfetta delle credenziali.

Se poi uno è in grado di perdere il suo database o dimenticarsi la password generale che lo protegge allora piu che sfortuna direi che uno è un vero pir**, ma capita anche quello.

[cerbert]

osserviamo il prezzo della mancanza di voglia di giocare.

Al netto di Keepass, che uso, da sempre per me inventare i nomi degli account e le relative password è un divertimento.
Fatte salve le imposizioni aziendali, non comprendo come mai uno dovrebbe chiamare il suo account "nome.cognome" o "utenteN"... dov'è il gusto?

[TecnologY]

Ma che problema c'è? Tanto come vedete non conta nulla scegliere una super passuodd seppoi le ccracccano...

Alla fine il genio che ha usato come psw la semplice asdasd è stato cracckato al pari del figlio di James Bond che ha messo una psw da decinaia di caratteri segreti.

E vorrei vedere se un sito serio dopo 3 o 5 tentativi di accesso falliti non blocca tutto e manda una mail all'account con cui si è registrati chiedendo conferme.
Un conto è la passhord di un forum o un sito di svago (che poi che interessi ci saranno mai a cracckare se non quello di rompere un po' le scatole), un altro discorso sono i siti a cui è collegato un sistema di pagamento o il nome proprio.

Comunque ripeto, alla fine la maggior parte degli spoof avviene al server principale dove sono memorizzate tutte le psw e non al PC dell'utente finale almeno questo non navighi con internet explorer 6 su XP.
Quindi scegliere una psw super sicura serve solo a farci sentire più sicuri, ma in realtà non cambia nulla, almeno non si possano cracckare di forza bruta come quella del wifi.

[dav1deser]

Quote:

Originariamente inviato da qboy

anche ipotizzando che una persona intelligente sceglie una password diversa per ogni sito dove si registra e che quest'ultima sia composta da numeri, lettere e caratteri speciali. dopo come fa a ricordarseli? se li segna su un foglio? e se lo perde o simili?

Piuttosto che fare una roba del genere penso che sarebbe più intelligente fare password diverse per ogni sito, ma con una certa logica, tipo:
Scegli una password di base, esempio 123, e la modifichi con il nome del sito, esempio hw123upgrade per hwupgrade, face123book per facebook, g123mail, twi123tter e così via. Ovviamente ci sono infiniti modi per usare questo sistema.

Password completamente casuali mi sembrano decisamente un volersi complicare la vita.

[ferro75]

Ma qualcuno ha capito il nesso tra il furto di dati ad adobe e il giochino con le parole crociate?
Purtroppo devo constatare che hwupgrade sta perdendo in qualità ogni giorno che passa, ormai le news scritte in questo modo superficiale non si contano più...

[qboy]

Quote:

Originariamente inviato da TecnologY

Ma che problema c'è? Tanto come vedete non conta nulla scegliere una super passuodd seppoi le ccracccano...

Alla fine il genio che ha usato come psw la semplice asdasd è stato cracckato al pari del figlio di James Bond che ha messo una psw da decinaia di caratteri segreti.

E vorrei vedere se un sito serio dopo 3 o 5 tentativi di accesso falliti non blocca tutto e manda una mail all'account con cui si è registrati chiedendo conferme.
Un conto è la passhord di un forum o un sito di svago (che poi che interessi ci saranno mai a cracckare se non quello di rompere un po' le scatole), un altro discorso sono i siti a cui è collegato un sistema di pagamento o il nome proprio.

Comunque ripeto, alla fine la maggior parte degli spoof avviene al server principale dove sono memorizzate tutte le psw e non al PC dell'utente finale almeno questo non navighi con internet explorer 6 su XP.
Quindi scegliere una psw super sicura serve solo a farci sentire più sicuri, ma in realtà non cambia nulla, almeno non si possano cracckare di forza bruta come quella del wifi.

ma infatti secondo me il focus della situazione è sbagliato, perchè le pass sono state prese dal server e non rubate dagli utenti uno a uno. inizialmente ho capito male io

[World]

Quote:

Originariamente inviato da ferro75

Ma qualcuno ha capito il nesso tra il furto di dati ad adobe e il giochino con le parole crociate?
Purtroppo devo constatare che hwupgrade sta perdendo in qualità ogni giorno che passa, ormai le news scritte in questo modo superficiale non si contano più...

Beh il motivo si trova all'inizio dell'articolo, dopo la parola "autore" (il tutto IMHO)

[LMCH]

Quote:

Originariamente inviato da TecnologY

Comunque ripeto, alla fine la maggior parte degli spoof avviene al server principale dove sono memorizzate tutte le psw e non al PC dell'utente finale almeno questo non navighi con internet explorer 6 su XP.
Quindi scegliere una psw super sicura serve solo a farci sentire più sicuri, ma in realtà non cambia nulla, almeno non si possano cracckare di forza bruta come quella del wifi.

Gli attacchi basati su dizionario (di password molto usate e loro varianti ) esistono proprio perchè sono in molti a fare il tuo stesso ragionamento.

Inoltre statisticamente uno che usa password "facili" di solito le "ricicla" spesso, è per questo che crackando ad esempio un forum e rubando le password si hanno automaticamente "indizi" sulle password di accesso alle email di quelli che si sono registrati e si estendono i dizionari da riutilizzare poi per attaccare roba più succulenta.
Non parliamo poi di furti d'identità ecc. ecc.

Quindi la regola è usare sempre password differenti e possibilmente lunghe
(notare: lunghe, non complicate da ricordare).

Ad esempio per accedere ad un forum di apicoltura
invece di "X75+4K;aA89!"
si può usare "lapeapeggiaelorsoorseggia" (l'ape apeggia e l'orso orseggia)
la seconda è una password più forte, più facile da ricordare (e ricordandosela facilmente è più facile da digitare anche se più lunga) ...
e che probabilmente finirà in un dizionario di attacco, quindi non usate questa ma inventatevi un altra filastrocca "stupida" facile da ricordare o usate una frase "storpiata" (in modo da fregare i generatori di dizionari che usano frasi usate spesso) con termini dialettali, slang, scrittura "all'italiana" di parole inglesi ecc. ecc.
L'importante è che sia roba che per un motivo o l'altro vi resta impressa facilmente in testa senza sforzo.

[cruelboy]

bah, una password diversa e complicatissima per ogni sito ... certo ... poi crakkano il sito di forza bruta, e devi cambiare tutto

Quote:

Originariamente inviato da World

Beh il motivo si trova all'inizio dell'articolo, dopo la parola "autore" (il tutto IMHO)

purtroppo devo segnalarti un gravissimo errore! ... ovvero il motivo si trova dopo la parola "di" e non "autore"!


IMHO, articolo utile quanto un foruncolo su una natica ... ma evidentemente i giorni di gloria di HwU stanno tramontando inesorabilmente

[zappy]

Quote:

Originariamente inviato da coschizza

semplice si usano programmi come keepass per gestire il propio database (ne esistono a decine di diversi), database che in base al trogramma usato puo anche condividere i dati fra periferiche diverse pc smartphone tablet mac linux ecc.
...
Se poi uno è in grado di perdere il suo database o dimenticarsi la password generale che lo protegge allora piu che sfortuna direi che uno è un vero pir**, ma capita anche quello.

concentrare tutte le pass in un unico archivio a me NON sembra una gran politica di sicurezza. a quel punto è meglio usarne una sola per tutto, sufficientemente complicata, ma memorizzata in testa (che poi è la stessa identica cosa che ricordarsi la pass del database, per cui alla fine tanto vale evitare il passaggio da un sw in più).

[DKDIB]

Quote:

Originariamente inviato da ferro75

Ma qualcuno ha capito il nesso tra il furto di dati ad adobe e il giochino con le parole crociate?

Forse perché il gioco si chiama "Adobe Crossword" e la descrizione sul sito recita "A crossword based on the Adobe password leak."?

Leggere gli articoli, guardare l'oggetto dell'articolo stesso... "i giorni di gloria degli utenti seri di HwU stanno tramontando inesorabilmente".
Vedo l'ombra di Punto Informatico (esiste ancora?): un sito tutto sommato accettabile ma frequentato solo da troll della peggior specie e senza una seria politica di moderazione (anche se qua per il momento non vedo insulti ma solo idiozie).

[Baboo85]

La gente sta messa male ad usare certe password... Ma inventati una sequenza numerica di 6 o piu' cifre che usi come password semplice, ma almeno qualcosa di difficile da indovinare...

password01, 0123456789... Ma come si fa dico io...

[dav1deser]

Quote:

Originariamente inviato da Baboo85

La gente sta messa male ad usare certe password... Ma inventati una sequenza numerica di 6 o piu' cifre che usi come password semplice, ma almeno qualcosa di difficile da indovinare...

password01, 0123456789... Ma come si fa dico io...

Una password solo numerica di 6 cifre è piuttosto facile da trovare con un attacco brute-force, tecnicamente una password con 5 lettere tutte minuscole è 10 volte più complessa. Una buona password, e facile da ricordare sarebbe già una parola di almeno 8 lettere, con una lettera interna maiuscola (o minuscola se le altre sono maiuscole), oltre 53mila miliardi di combinazioni e non debole ad un attacco di tipo "dizionario".

Personalmente le password solo numeriche se non sono estremamente lunghe le ritengo piuttosto inutili, per superare l'esempio che ho fatto io devi avere una password di almeno 15 cifre...

[Baboo85]

Quote:

Originariamente inviato da dav1deser

Una password solo numerica di 6 cifre è piuttosto facile da trovare con un attacco brute-force, tecnicamente una password con 5 lettere tutte minuscole è 10 volte più complessa. Una buona password, e facile da ricordare sarebbe già una parola di almeno 8 lettere, con una lettera interna maiuscola (o minuscola se le altre sono maiuscole), oltre 53mila miliardi di combinazioni e non debole ad un attacco di tipo "dizionario".

Personalmente le password solo numeriche se non sono estremamente lunghe le ritengo piuttosto inutili, per superare l'esempio che ho fatto io devi avere una password di almeno 15 cifre...

Certo, ma infatti per robe del kaiser tipo forum o siti simili basta una password del menga. Me la rubano, e vabbe' pace, male che vada mi bannano.

Per altre cose no.

Pero' con le combinazioni maiuscole, minuscole, punteggiatura, numeri e altro... Faccio notare questo :

[dav1deser]

La vignetta è sicuramente giusta per un caso di attacco brute force (anche se non capisco come abbiano fatto i calcoli, mi vengono risultati diversi, ma immagino dipenda dalla rappresentazione della pass come una sequenza binaria).
Ma in caso di attacco di tipo dizionario credo che la seconda password dovrebbe essere piuttosto banale, secondo i miei calcoli circa 10 volte più banale della prima, e visto le password medie che usa la gente, credo che gli attacchi di tipo dizionario siano più comuni di quelli brute force.

P.S. per il dizionario ho considerato solo i termini inglesi che da una rapida ricerca sono circa 170.000

[qboy]

voi dimenticate ancora una cosa, tutto questo è stato sottratto dai server, quindi GLI UTENTI E LE PASSWORD CHE HANNO centrano una mazza

[Baboo85]

Quote:

Originariamente inviato da dav1deser

La vignetta è sicuramente giusta per un caso di attacco brute force (anche se non capisco come abbiano fatto i calcoli, mi vengono risultati diversi, ma immagino dipenda dalla rappresentazione della pass come una sequenza binaria).
Ma in caso di attacco di tipo dizionario credo che la seconda password dovrebbe essere piuttosto banale, secondo i miei calcoli circa 10 volte più banale della prima, e visto le password medie che usa la gente, credo che gli attacchi di tipo dizionario siano più comuni di quelli brute force.

P.S. per il dizionario ho considerato solo i termini inglesi che da una rapida ricerca sono circa 170.000

Ora, magari sbaglio ma... 170.000 parole, 4 parole, dovrebbe essere 170.000^4 che e' una cifra enormemente piu' grande di 2^44.

Un attacco dizionario cosi' ci metti un'era geologica. Conta che non e' a pezzi, l'attacco va a buon fine se indovini tutte e 4 le parole, non una parola alla volta...

L'attacco dizionario e' sempre e comunque un bruteforce che ti da' la garanzia di trovare in fretta la password se la parola e' una sola.

Quote:

Originariamente inviato da qboy

voi dimenticate ancora una cosa, tutto questo è stato sottratto dai server, quindi GLI UTENTI E LE PASSWORD CHE HANNO centrano una mazza

Vero, ma e' anche vero che la maggiorparte di quelle password era indovinabile senza usare alcun attacco a server o bruteforce...

[dav1deser]

Quote:

Originariamente inviato da Baboo85

Ora, magari sbaglio ma... 170.000 parole, 4 parole, dovrebbe essere 170.000^4 che e' una cifra enormemente piu' grande di 2^44.

Un attacco dizionario cosi' ci metti un'era geologica. Conta che non e' a pezzi, l'attacco va a buon fine se indovini tutte e 4 le parole, non una parola alla volta...

L'attacco dizionario e' sempre e comunque un bruteforce che ti da' la garanzia di trovare in fretta la password se la parola e' una sola.



Vero, ma e' anche vero che la maggiorparte di quelle password era indovinabile senza usare alcun attacco a server o bruteforce...

Bisogna vedere com'è che viene fatto il calcolo della vignetta, io ho fatto tutti i calcoli come "possibili caratteri elevato alla lunghezza della password" e 170.000^4 è minore di 26^25 (la seconda pass) o (oltre 80, non so quanti siano i simboli speciali)^11.