Password salvate sui server

lucas72 · 07-07-2016, 10:59

Ciao,

Ultimamente sento sempre più spesso di password rubate dai database installate sui server di diverse società. L'ultimo caso, ad esempio, pare riguardi teamviewer; anche se la società ha fatto sapere che non c'è stato alcuna intrusione sui loro server e il problema sarebbe che gli utenti usano le stesse generalità per loggarsi sui diversi servizi. Quindi se vengono sottratte la password da siti meno sicuri queste possono essere usate anche per altri siti e servizi online, in linea di massima.

Ok. Però mi chiedo, ma le password non sono criptate nei database di queste società? Che se ne fanno i pirati se non sono leggibili? Le decriptano? E come?
Una volta mi divertivo a sviluppare piccoli siti web e installavo il forum phpbb2 che aveva il campo per le password che erano illeggibili perché criptate (con l'algoritmo md5 se ricordo bene) e quindi neanche l'amministratore poteva conoscerle.

Qualcuno potrebbe dirmi qualcosa di più in merito?
Grazie

bio.hazard · 08-07-2016, 11:34

Quote:

Originariamente inviato da lucas72

ma le password non sono criptate nei database di queste società?

Dovrebbero esserlo, ma il mondo, è purtroppo pieno di braccia rubate all'agricoltura (con tutto il rispetto per l'agricoltura) che si spacciano per maghi dell'IT, con i risultati che tutti abbiamo sotto gli occhi.

lucas72 · 08-07-2016, 11:43

Quote:

Originariamente inviato da bio.hazard

Dovrebbero esserlo, ma il mondo, è purtroppo pieno di braccia rubate all'agricoltura (con tutto il rispetto per l'agricoltura) che si spacciano per maghi dell'IT, con i risultati che tutti abbiamo sotto gli occhi.

Ma è strano che le password di tanti importanti siti non siano criptate. Anche i software e gli script preconfezionati per costruire website criptano le password prima di caricarle nei DB.

CireNL · 08-07-2016, 11:54

Da qualche parte la chiave di decrittazione è salvata, sai dov'è e il gioco è fatto.

DooM1 · 08-07-2016, 15:20

Se hanno l'hash, e la password non è molto complessa, basta un brute force, hanno tutto il tempo che vogliono.
Poi dipende dal tipo di criptazione che usano...

lucas72 · 08-07-2016, 20:46

Quote:

Originariamente inviato da CireNL

Da qualche parte la chiave di decrittazione è salvata, sai dov'è e il gioco è fatto.

Premetto che non sono un esperto, però la chiave di criptazione/decriptazione non la fornisce l'utente all'algoritmo proprio con la sua password?

lucas72 · 08-07-2016, 20:49

Quote:

Originariamente inviato da DooM1

Se hanno l'hash, e la password non è molto complessa, basta un brute force, hanno tutto il tempo che vogliono.
Poi dipende dal tipo di criptazione che usano...

Certo, può essere forzata una password se non è molto complessa, ma qui parliamo di centinaia di migliaia (in alcuni casi milioni) di password. Non può essere sempre questo il caso. Magari come dici tu rubano gli Hash e poi provano per quelle più semplici. Quindi (ammesso che sia così) non è detto che tutte le password rubate (meglio dire hash) siano utilizzabili.

DooM1 · 08-07-2016, 21:14

Quote:

Originariamente inviato da lucas72

Quindi (ammesso che sia così) non è detto che tutte le password rubate (meglio dire hash) siano utilizzabili.

Certo che no, ma niente di garantisce che sia la tua password che non riescono ad utilizzare.

xcdegasp · 12-07-2016, 17:14

ma infatti secondo me il vero problema non si è verificato direttamente sui server dell'azienda interessata bensì riguarderebbe una raccolta di password svolta da uno o piu malware installati sui pc personali dei clienti. queste password poi vengono ovviamente categorizzate e quindi attribuite ai vari siti, alla fine, se il malware ha avuto buona propagazione ed efficacia nell'estorcere le informazioni cercate, si ha un dabase contenente milioni di password rivendibili sul mercato nero.
in base alle informazioni rilasciate in fase di asta e/o in base all'autenticità del contenuto comprato (niente impedisce che i colossi si siano affidati ad aziende appaltate per acquisire questi database) poi decidono come comportarsi con la clientela e a quanto mi è sembrato, per cautelarsi prediligono obbligare alla creazione di nuova password per tutte le utenze in essere anzicchè limitarsi alle utenze interessate dal furto.

07-07-2016, 10:59	#1
lucas72 Senior Member Iscritto dal: Aug 2002 Messaggi: 3992	Password salvate sui server Ciao, Ultimamente sento sempre più spesso di password rubate dai database installate sui server di diverse società. L'ultimo caso, ad esempio, pare riguardi teamviewer; anche se la società ha fatto sapere che non c'è stato alcuna intrusione sui loro server e il problema sarebbe che gli utenti usano le stesse generalità per loggarsi sui diversi servizi. Quindi se vengono sottratte la password da siti meno sicuri queste possono essere usate anche per altri siti e servizi online, in linea di massima. Ok. Però mi chiedo, ma le password non sono criptate nei database di queste società? Che se ne fanno i pirati se non sono leggibili? Le decriptano? E come? Una volta mi divertivo a sviluppare piccoli siti web e installavo il forum phpbb2 che aveva il campo per le password che erano illeggibili perché criptate (con l'algoritmo md5 se ricordo bene) e quindi neanche l'amministratore poteva conoscerle. Qualcuno potrebbe dirmi qualcosa di più in merito? Grazie

08-07-2016, 11:54	#4
CireNL Member Iscritto dal: Jul 2016 Messaggi: 164	Da qualche parte la chiave di decrittazione è salvata, sai dov'è e il gioco è fatto. __________________ Netline Blog

08-07-2016, 15:20	#5
DooM1 Senior Member Iscritto dal: Jul 2002 Città: Cagliari Messaggi: 13495	Se hanno l'hash, e la password non è molto complessa, basta un brute force, hanno tutto il tempo che vogliono. Poi dipende dal tipo di criptazione che usano... __________________ MoBo:Asus Prime x470-ProCPU:AMD Ryzen 5700xRAM:Kingston FURY KF432C16RB2K2/16Sk.Vid:Asus DUAL-RX580-O8GAli:Enermax Revolution87+ 550WStorage:Samsung 970 Evo Plus 1TB + Samsung 860 Evo 1TBMons:Dell 2209WAf + LG 24EA53VQ Ultima modifica di DooM1 : 08-07-2016 alle 16:16.

12-07-2016, 17:14	#9
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ma infatti secondo me il vero problema non si è verificato direttamente sui server dell'azienda interessata bensì riguarderebbe una raccolta di password svolta da uno o piu malware installati sui pc personali dei clienti. queste password poi vengono ovviamente categorizzate e quindi attribuite ai vari siti, alla fine, se il malware ha avuto buona propagazione ed efficacia nell'estorcere le informazioni cercate, si ha un dabase contenente milioni di password rivendibili sul mercato nero. in base alle informazioni rilasciate in fase di asta e/o in base all'autenticità del contenuto comprato (niente impedisce che i colossi si siano affidati ad aziende appaltate per acquisire questi database) poi decidono come comportarsi con la clientela e a quanto mi è sembrato, per cautelarsi prediligono obbligare alla creazione di nuova password per tutte le utenze in essere anzicchè limitarsi alle utenze interessate dal furto. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

Strumenti
Mostra una versione stampabile Invia questa pagina per email