Gli adulteri di Ashley Madison usavano password terribili: ecco le peggiori 30

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...-30_58795.html

Ashley Madison è stata colpita da un tremendo attacco hacker, anche se la società ha definito imbattibile la sua protezione crittografica. In realtà però sono state già decifrate 11 milioni di password, ma non è tutta colpa del servizio

Click sul link per visualizzare la notizia.

[Notturnia]

dei geni.. 300 mila con delle pswd da decerebrati in un sito dove avevano messo carta di credito e infedeltà coniugale.. bravi..

[marchigiano]

a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?

[gd350turbo]

Secondo me, usano la stessa password anche per l'home banking...
Devono tenere fede al loro status di decerebrati

[marchigiano]

infatti molti siti delel banche non accettano più pass troppo semplici e ti danno dei token e mandano sms al cellulare ogni volta che fai un operazione a rischio

[esp1lon]

Gli utenti che hanno usato 1234567890 pensavo di stare al sicuro usando 80 bit invece di 48 bit di 123456.

[Avatar0]

696969 ... 8801 fedifraghi hanno vinto tutto.

[Brigno]

Meritano di essere sputtanati anche solo per quello !!!

[Filistad]

Fantastici!
Password davvero molto difficili da decifrare!

Per fortuna che le banche per i servizi home banking, prevedono già da tempo token, conferme SMS e telefonate per conferme dispositive, altrimenti questa gente avrebbe i conti svuotati.

Quote:

Ma sappiamo che con certi utenti è tutto inutile, e saranno sempre in tantissimi ad utilizzare ridicole progressioni numeriche anche per proteggere i dettagli più scabrosi della propria vita online. Tanto la colpa è sempre di chi offre il servizio.

La colpa è anche di chi offre il servizio e permette in fase di registrazione di inserire numeri sequenziali e sequenze di lettere facilmente decifrabili e senza scomodare tecniche brute force...

[Kyo72]

(cit.) Bene...allora la combinazione e' 1234!!!

E' la combinazione piu' stupida che abbia mai sentito, la stessa che un idiota userebbe per la propria valigia! xD

[kaede89]

Quote:

Originariamente inviato da marchigiano

a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?

Generalmente le password memorizzate in un database, così come i dati della carta di credito, vengono cifrati tramite un algoritmo di cifratura.
Questo per evitare che chiunque riesca ad accedere al database possa leggere in chiaro le password o le carte di credito degli utenti.

[bobafetthotmail]

Quote:

Originariamente inviato da marchigiano

a ma non ho capito, se uno scarica i database non li vede come se fosse un file excel? sono da decifrare?

il database contiene gli hash delle password, non sono in chiaro. Se avevano anche le password in chiaro erano senza speranza.

Questi hash sono stati generati con Bcrypt, che rende il database in sè inattaccabile.

La cazzata sta nel token di autenticazione per il login (token = gettone = coso software che immagazzina utente/password nel browser così non devi rimettere la password ogni volta che cambi pagina, e che sparisce quando chiudi il sito o non apri nuove pagine di quel sito per X tempo), che sono criptati con Md5, che oggigiorno viene principalmente usato per verificare l'integrità dei files scaricati più che per criptare roba.

Quote:

La colpa è anche di chi offre il servizio e permette in fase di registrazione di inserire numeri sequenziali e sequenze di lettere facilmente decifrabili e senza scomodare tecniche brute force...

This. Come diceva qualcuno, se non hai un controllo sui dati in entrata nel database, quelle scimmie degli utenti te lo riempiono di boiate.

[recoil]

beh dai la password pussy era indicata, tanto di pussy nel sito non ce n'era molta

[benderchetioffender]

Quote:

Originariamente inviato da gd350turbo

Secondo me, usano la stessa password anche per l'home banking...
Devono tenere fede al loro status di decerebrati

you made my day

in ogni caso, si, si meritano il peggio.... il bello è che vorrei capire se nei cortocircuiti che danno vita alla loro inutile materia grigia (evidentemente ancora imballata) il motivo scatenante di cotanta idiozia nasce da:

- bah, è un sito del piffero, fregasega se mi trovano la password
o
- 12345... geniale! solo a me e altri pochi illuminati poteva venire in mente!

[atomico82]

beh anche un sito che permette la memorizzazione nel 2015 di password a 5 cifre...

[Filistad]

Appunto...INAFFIDABILE!

[benderchetioffender]

Quote:

Originariamente inviato da Bivvoz

Faccio un po' l'avvocato del diavolo.

Ma avere una password banale a cosa rende più vulnerabili esattamente?
Io non uso password del genere sia chiaro, ma giusto per parlarne.

La password nel database sarà criptata, quindi che sia 123456 o jnvu12ER nel database sarà sempre una stringa simile.
Ovvio rende più vulnerabili all'indovinare la password ma non credo che si siano messi a indovinare la password di 11 milioni di utenti.
Rende più veloce un attacco brute force, ma un database non dovrebbe permettere un attacco brute force, mi pare di capire che qui hanno scaricato il database e poi usato il brute force giusto?

Quindi esattamente dov'è che sono più vulnerabili?
E vorrei far notare un'altra cosa: non hanno forse trovato le password anche degli utenti con password più solida e complicata?

si tratta semplicemente di una "bad practice"... piu gente usa queste password, piu è facile bucare l'account, semplice, perché è come NON ci fosse una password
poi scoperta una (ormai hai capito che hai a che fare con "uno sveglio") puoi iniziare a fare il giro di tutti gli altri suoi account skype/facebook/mail/ e chi piu ne ha piu ne metta, tirare su tutto e sperare che tra le fesserie non ci siano credenziali di carte di credito o altro.

perchè il database non dovrebbe permetterlo? ovvero, non è nemmeno difficile fare un bruteforce su una gmail... e mi pare che se ne intendano di informatica in google

[Slumber86]

Quote:

Originariamente inviato da Bivvoz

Ok perchè le password uguali anche se criptate avranno la stessa stringa, quindi trovata una le hai trovate tutte.

In teoria no perché gli hash hanno anche il salt, quindi non dovrebbero avere la stessa stringa.

Il vero problema è avere la password uguale per tutti gli account, perchè violato uno (leak, brute force, phishing non ha importanza) li hai violati tutti.

[bobafetthotmail]

Quote:

Originariamente inviato da Bivvoz

Faccio un po' l'avvocato del diavolo.
Ma avere una password banale a cosa rende più vulnerabili esattamente?
Io non uso password del genere sia chiaro, ma giusto per parlarne.

Il 99.999% degli attacchi ad un sistema sicuro (quindi uno che ti blocca il brutefoce come il nostro forum che dopo X tentativi ti blocca il login per un'ora o giù di lì) si basa su dizionari.

Dizionario = lista di password probabili o parole che composte insieme a casaccio possono formare una password.

Cioè non vanno in bruteforce che ci metterebbero dodicimila anni, ma provano prima le password più dimmerda visto che statisticamente sai benissimo che una valanga di deficienti usa quelle citate nell'articolo.

Qui non hanno usato un bruteforce, perchè per un bruteforce una password

12345

ha la stessa difficoltà di

1Sa5&

se il tuo bruteforce tiene conto di password con numeri, lettere (maiuscole e minuscole) e simboli.

[.338 lapua magnum]

Quote:

Originariamente inviato da Bivvoz

Ma nel 2015 esiste ancora un bruteforce senza dizionario?
È ovvio che prima si provano le password banali, a meno che non metti proprio 123456 ci vogliono comunque mesi per scovare la password di un account se dopo 5 tentativi ti banna per 1 ora e per 11 mila account ci metti appunto 12 mila anni.

Ma infatti ho subito scritto "Rende più veloce un attacco brute force"

Se il database é offline il problema non si pone

Esistono toolkit di ingegneria sociale per creare dizionari personalizzati.
____________________
Però che password a prova di attacco, a nessuno verrebbe in mente di usarle