Gli adulteri di Ashley Madison usavano password terribili: ecco le peggiori 30

[bobafetthotmail]

Quote:

Originariamente inviato da Bivvoz

Ma nel 2015 esiste ancora un bruteforce senza dizionario?

In teoria il Fappening.

http://www.cultofmac.com/297709/appl...ths-fappening/

La vulnerabilità che lo ha permesso rendeva possibile aggirare il "blocco dopo X tentativi".

Ci hanno messo mesi e almeno una botnet per fare il lavoro sporco. E un software che era opensource... su GitHub, chiamato iBrute. https://github.com/hackappcom/ibrute (ora è inutile visto che hanno patchato il problema, resta per ragioni storiche )

Se vedi il sorgente è un programmino semplice che usa un dizionario di password/login.

Ma la vulnerabilità in sè permetteva anche il bruteforce puro, tutti quelli con password con meno di 4 caratteri li freghi.

La mancanza di altri sistemi di sicurezza aggiuntivi che magari scattavano quando un account riceveva tipo MILLE login sbagliati in assoluto resta un pò una cazzata atomica imho, ma parliamo di Apple dopotutto.

[voodoo13]

non vedo trustno1 nella classifica

[bassplayer84]

QUanta gente che si sorprende di queste password... ok le azienda, ma avete mai fatto assistenza ai privati? Non vedo mai password diverse da quelle elencate qua sopra, a parte la versione "Italiana" invece che inglese

[marchigiano]

Quote:

Originariamente inviato da Kyo72

(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD

spaceballs!!!!!!!!!!!!!



l'era digitale era appena agli albori e mel brooks aveva capito tutto, grande onore a quest'uomo

https://www.youtube.com/watch?v=a6iW-8xPw3k

[fraussantin]

la cosa piu inquietante è che quella pw , sicuro che la usano per tutto!

cmq va anche detto che oltre ad essere decelebrati loro , lo sono anche quelli del sito ..

non dovrebbero accettare pw del genere.

[theboy]

non è stata menzionata la mega classicità del username coincidente con la password
il peggio....

Quote:

Originariamente inviato da marchigiano

spaceballs!!!!!!!!!!!!!



l'era digitale era appena agli albori e mel brooks aveva capito tutto, grande onore a quest'uomo

https://www.youtube.com/watch?v=a6iW-8xPw3k

https://www.youtube.com/watch?v=foi-sINWxeg

[Nemesis2]

Vorrei focalizzare il discorso sul consiglio del password manager.

Anche noi abbiamo il consiglio di usarlo, ma preferisco il taccuino e penna ben nascosti in casa e password tutte aggiornate a 90 giorni... ad ogni modo cerco da tempo di documentarmi su questo mondo dei password manager.

E' affidabile annidare tutte le proprie password in un solo punto digitale?

Ho letto che molti fanno una sorta di funzionamento cloud con accesso multipiattaforma, utile... ma alla fine è come mettere le nostre password online, dietro una sola password e soprattutto consegnarle a terzi.

Sicuramente sbaglio... ma mi aiutereste a capire dove?

Grazie.

[fraussantin]

Quote:

Originariamente inviato da Nemesis2

Vorrei focalizzare il discorso sul consiglio del password manager.

Anche noi abbiamo il consiglio di usarlo, ma preferisco il taccuino e penna ben nascosti in casa e password tutte aggiornate a 90 giorni... ad ogni modo cerco da tempo di documentarmi su questo mondo dei password manager.

E' affidabile annidare tutte le proprie password in un solo punto digitale?

Ho letto che molti fanno una sorta di funzionamento cloud con accesso multipiattaforma, utile... ma alla fine è come mettere le nostre password online, dietro una sola password e soprattutto consegnarle a terzi.

Sicuramente sbaglio... ma mi aiutereste a capire dove?

Grazie.

Non sbagli , rimane il sistema piu sicuro . Eccetto che sul cambiare pw ogni 3 mesi che imho non ha senso.

Cioè avrebbe senso cambiarla ad ogni accesso , ma diventa ingestibile la cosa , ma ogni 3 mesi non ser e a niente perche chi la trova in 2 minuti te la cambia e ci fa quello che vuole.

Tutta sta smania a far cambiare pw serve solo a farsele scordare.

L'unica vera pw sicura che dovete avere è quella della mail perche se bucano quella hanno accesso a tutte tramite il recovery . E li consiglio l'autenticazione tramite sms

[Filistad]

Quote:

Originariamente inviato da Nemesis2

Vorrei focalizzare il discorso sul consiglio del password manager.

Anche noi abbiamo il consiglio di usarlo, ma preferisco il taccuino e penna ben nascosti in casa e password tutte aggiornate a 90 giorni... ad ogni modo cerco da tempo di documentarmi su questo mondo dei password manager.

E' affidabile annidare tutte le proprie password in un solo punto digitale?

Ho letto che molti fanno una sorta di funzionamento cloud con accesso multipiattaforma, utile... ma alla fine è come mettere le nostre password online, dietro una sola password e soprattutto consegnarle a terzi.

Sicuramente sbaglio... ma mi aiutereste a capire dove?

Grazie.

Per quanto mi riguarda, uso da tempo Last-Pass che è multipiattaforma e funziona ovunque.
E' vero che affidi la tua passaword a terzi, ma quello lo fai comunque su qualsiasi sito dove ti registri quindi si presume che dietro ci siano opportune misure di criptaggio dei dati inseriti.
Poi aggiungi anche il fatto che puoi attivare la verifica in due passaggi con conferme SMS.
Inzomma...Non so se è più sicuro tenersi i fogliettini con tutte le password in casa, registrarsi a siti con password idiote oppure usare un gestore di password che genera password alfanumeriche sicure e dove per aprire la cassaforte devi avere con te una seconda chiave (il tuo telefono) per confermare che sei effettivamente tu.

[Asterion]

https://www.youtube.com/watch?v=kxYAzNMZ2CU

Il video di Balle Spaziali in italiano.

[bobafetthotmail]

Quote:

Originariamente inviato da fraussantin

E li consiglio l'autenticazione tramite sms

This. A million times this.

Se è un account serio, DEVI metterci il numero di telefono per gli SMS di sicurezza.

Quando vuoi fare cambiamenti all'account (password ad esempio) ti mandano un sms con un codice monouso da immettere.

Quindi eventuali malintenzionati dovrebbero ciularti le password dell'account E IN AGGIUNTA anche il cellulare.

Quote:

Non so se è più sicuro tenersi i fogliettini con tutte le password in casa, registrarsi a siti con password idiote oppure usare un gestore di password che genera password alfanumeriche sicure e dove per aprire la cassaforte devi avere con te una seconda chiave (il tuo telefono) per confermare che sei effettivamente tu.

Ma è più sicuro usare password idiote, che domande

[Nemesis2]

Il mio problema non è soltanto riguardo alla possibilità che qualche malintenzionate sottragga le password e le modifichi impossessandosi dell'account, quello si recupera molto facilmente... in genere, quanto il fatto stesso che sottragga le password.

Se dovesse esserci un leak dal sito del gestore delle password, praticamente impossibile? probabile, ma non in assoluto.

A casa mia sono sicuro che non ci siano leak... ditemi dove sbaglio che mi farebbe davvero comodo, con oltre 40 password da ricordare per tutti i device.

La doppia conferma ce l'ho in tutti i siti che lo permettono, con sms o più spesso authenticator in app.

[Filistad]

Quote:

Originariamente inviato da Nemesis2

Il mio problema non è soltanto riguardo alla possibilità che qualche malintenzionate sottragga le password e le modifichi impossessandosi dell'account, quello si recupera molto facilmente... in genere, quanto il fatto stesso che sottragga le password.

Se dovesse esserci un leak dal sito del gestore delle password, praticamente impossibile? probabile, ma non in assoluto.

A casa mia sono sicuro che non ci siano leak... ditemi dove sbaglio che mi farebbe davvero comodo, con oltre 40 password da ricordare per tutti i device.

La doppia conferma ce l'ho in tutti i siti che lo permettono, con sms o più spesso authenticator in app.

Dubbi condivisibili i tuoi, ma a sto punto non sei nemmeno sicuro con i fogliettini in casa.
Io non mi pongo troppe domande...1password e LastPass sono sistemi più che sicuri, mi devo ricordare solo una password di accesso (che poi nel caso hai smartphone con fingerprint non serve) e volendo posso cambiarla ogni settimana.
Poi ovvio che ci metto le password dei siti dove non ci sono in ballo carte di credito e home banking.
Ma comunque, dove ci sono in ballo soldi, puoi anche usare le password più stupide del mondo che oggi ci sono altri sistemi avanzati di sicurezza che parano "abbastanza" il culo anche per quelli poco attenti.
Per farti un'esempio, per entrare in home banking nella mia banca, serve solo un numero di 8 cifre, seguito da una data importante (che scegli tu) e seguito da un'altra serie di numeri da sei cifre che diciti su un tastierino a schermo e che varia la posizione dei numeri di volta in volta (questo per evitare i Keylogger).
Questo solo per entrare, poi per fare azioni dispositive, occorre un numero di telefono registrato in precedenza a cui hai accesso fisicamente (quindi sarà bloccato da password).
Capisci che puoi anche loggarti con 123456 compilando tutti i campi dove ti vengono richiesti numeri che alla fine, ti manca sempre una chiave per poter entrare in modo definitivo nella cassaforte.
Insomma...io col cavolo che mi metto a scrivere 40 password diverse su fogliettini che potrei anche perdere, uso un gestore di password, adotto tutte le protezioni del caso per dati più importanti (la banca) e finisce lì.

[Nemesis2]

Capisco il concetto.

Ma a parte che se sottraessi i siti dove ci sono in ballo soldi, fra varie carte e collegamento di tutti i siti di acquisto a carte o paypal, e i siti o accessi di lavoro... mi ridurrei a 3 o 4 forum, il problema è che se sottraggono i foglietti a casa me ne accorgo.


Ripeto il mio è un poco il ruolo dell'avvocato del diavolo, ma mi sento ancora poco sicuro... ho provato a cercare dei gestori di password offline, ma allora tanto vale che mi affido alla memoria del mio browser, tanto protetto anche lui da password master su notebook con fingerprint.

[F1r3st0rm]

la cosa migliore è fartelo il password manager usi un bel file access protetto da password e poi lo zippi con una password per un privato basta a meno di non mettere password idiote, se proprio vuoi lo codifichi pure ma poi diventa un'agonia usarlo.
mettere password su un password manager online è una cosa quantomeno sconveniente.
Dopotutto l'interesse nei dati di una persona sfuma nel momento in cui i soldi che spendi (compreso il tempo che ci metti) per carpire i dati sono superiori a quelli che mediamente potresti guadagnarci...
mett

[Bestio]

Quote:

Originariamente inviato da Kyo72

(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD

12345? Sorprendente! E' la stessa combinazione della mia valigia!

[!fazz]

Quote:

Originariamente inviato da Bivvoz

Faccio un po' l'avvocato del diavolo.

Ma avere una password banale a cosa rende più vulnerabili esattamente?
Io non uso password del genere sia chiaro, ma giusto per parlarne.

La password nel database sarà criptata, quindi che sia 123456 o jnvu12ER nel database sarà sempre una stringa simile.
Ovvio rende più vulnerabili all'indovinare la password ma non credo che si siano messi a indovinare la password di 11 milioni di utenti.
Rende più veloce un attacco brute force, ma un database non dovrebbe permettere un attacco brute force, mi pare di capire che qui hanno scaricato il database e poi usato il brute force giusto?

Quindi esattamente dov'è che sono più vulnerabili?
E vorrei far notare un'altra cosa: non hanno forse trovato le password anche degli utenti con password più solida e complicata?

https://it.wikipedia.org/wiki/Attacco_a_dizionario

[Filistad]

Quote:

Originariamente inviato da Nemesis2

Capisco il concetto.

Ma a parte che se sottraessi i siti dove ci sono in ballo soldi, fra varie carte e collegamento di tutti i siti di acquisto a carte o paypal, e i siti o accessi di lavoro... mi ridurrei a 3 o 4 forum, il problema è che se sottraggono i foglietti a casa me ne accorgo.


Ripeto il mio è un poco il ruolo dell'avvocato del diavolo, ma mi sento ancora poco sicuro... ho provato a cercare dei gestori di password offline, ma allora tanto vale che mi affido alla memoria del mio browser, tanto protetto anche lui da password master su notebook con fingerprint.

Certo che si!
Lo svantaggio è che se cambi dispositivo o browser, perdi la possibilità di usar le password.
LastPass è un password manager che funziona su qualunque browser e dispositivo mobile.

[Nemesis2]

Basta copiare la cartella del profilo con mozilla, della cartella userdata con chrome... sui vari dispositivi. O sincronizzarla con qualche file manager.

Niente sync online.

[UnicoPCMaster]

Io sto implementando un archivio keepass da piazzare, insieme alla versione portatile del suddetto programmino, su una penna usb che porto sempre con me.
Il problema è che sono pieno d'iscrizioni a siti/forum e l'archivio sarò enorme.

archivio di cui farò un backup ovviamente.