L'attacco di sicurezza contro Adobe diventa un gioco di parole crociate interattivo

L'attacco di sicurezza contro Adobe diventa un gioco di parole crociate interattivo

Lo scorso ottobre Adobe è stata vittima di un grosso attacco che ha compromesso la sicurezza degli account di 150 milioni di utenti. Le password di questi ultimi sono state utilizzate per realizzare un gioco di parole crociate

di pubblicata il , alle 12:31 nel canale Web
Adobe
 

Poco più di un mese fa Adobe è stata vittima di un attacco malevolo che ha compromesso decine di milioni di account di utenti iscritti ai servizi della società. In una mossa più che ragionata, le 1000 password più diffuse sono state inserite in un gioco online interattivo che ricorda alla gente che inserire nomi comuni rappresenta una scelta poco felice dal punto di vista della sicurezza.

Campo password

Il progetto è stato pensato da Ben Falconer e si chiama Adobe Crossword, realizzato aver ricevuto l'ispirazione da un'immagine su XKCD. Si tratta di un cruciverba a parole crociate basato su dieci schemi diversi, che riportano le prime 1000 password in termini di diffusione trafugate nell'enorme attacco contro Adobe. Al suo interno troviamo le più ovvie "adobereader", "password1", o anche "0123456789", ma anche tanti riferimenti alla cultura pop ed automobilistica.

Lo stesso Falconer scrive che non può comunque essere assolutamente certo che le risposte dei quiz siano corrette, tuttavia la tendenza della gente è quella di scegliere password semplici da ricordare, piuttosto che prediligere in molti casi la sicurezza delle stesse. In quest'ottica è decisamente probabile che quelle selezionate da Falconer siano estremamente compatibili con quelle rubate nell'attacco contro Adobe.

Le parole crociate, che si possono trovare in questa pagina, rappresentano una sorta di promemoria nella scelta delle prossime password da parte degli utenti, che siano il più possibile esclusive e sicure per ogni account online. Se all'interno del puzzle è possibile trovare quella che usate solitamente, inoltre, Falconer consiglia di cambiarla rapidamente: "La prassi migliore per la scelta delle password è quella di generare una password casuale univoca per ogni log-in", scrive il creatore del gioco: "E utilizzare un servizio di gestione delle password come KeePass, RoboForm o LastPass."

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
qboy18 Novembre 2013, 13:04 #1
anche ipotizzando che una persona intelligente sceglie una password diversa per ogni sito dove si registra e che quest'ultima sia composta da numeri, lettere e caratteri speciali. dopo come fa a ricordarseli? se li segna su un foglio? e se lo perde o simili?
coschizza18 Novembre 2013, 13:14 #2
Originariamente inviato da: qboy
anche ipotizzando che una persona intelligente sceglie una password diversa per ogni sito dove si registra e che quest'ultima sia composta da numeri, lettere e caratteri speciali. dopo come fa a ricordarseli? se li segna su un foglio? e se lo perde o simili?


semplice si usano programmi come keepass per gestire il propio database (ne esistono a decine di diversi), database che in base al trogramma usato puo anche condividere i dati fra periferiche diverse pc smartphone tablet mac linux ecc.

A fronte di una perdita di tempo non indifferente iniziale quando si deve segnare sito dopo sito e cambiare le password hai una gestione perfetta delle credenziali.

Se poi uno è in grado di perdere il suo database o dimenticarsi la password generale che lo protegge allora piu che sfortuna direi che uno è un vero pir**, ma capita anche quello.
cerbert18 Novembre 2013, 13:24 #3
osserviamo il prezzo della mancanza di voglia di giocare.

Al netto di Keepass, che uso, da sempre per me inventare i nomi degli account e le relative password è un divertimento.
Fatte salve le imposizioni aziendali, non comprendo come mai uno dovrebbe chiamare il suo account "nome.cognome" o "utenteN"... dov'è il gusto?
TecnologY18 Novembre 2013, 13:40 #4
Ma che problema c'è? Tanto come vedete non conta nulla scegliere una super passuodd seppoi le ccracccano...

Alla fine il genio che ha usato come psw la semplice asdasd è stato cracckato al pari del figlio di James Bond che ha messo una psw da decinaia di caratteri segreti.

E vorrei vedere se un sito serio dopo 3 o 5 tentativi di accesso falliti non blocca tutto e manda una mail all'account con cui si è registrati chiedendo conferme.
Un conto è la passhord di un forum o un sito di svago (che poi che interessi ci saranno mai a cracckare se non quello di rompere un po' le scatole), un altro discorso sono i siti a cui è collegato un sistema di pagamento o il nome proprio.

Comunque ripeto, alla fine la maggior parte degli spoof avviene al server principale dove sono memorizzate tutte le psw e non al PC dell'utente finale almeno questo non navighi con internet explorer 6 su XP.
Quindi scegliere una psw super sicura serve solo a farci sentire più sicuri, ma in realtà non cambia nulla, almeno non si possano cracckare di forza bruta come quella del wifi.
dav1deser18 Novembre 2013, 13:57 #5
Originariamente inviato da: qboy
anche ipotizzando che una persona intelligente sceglie una password diversa per ogni sito dove si registra e che quest'ultima sia composta da numeri, lettere e caratteri speciali. dopo come fa a ricordarseli? se li segna su un foglio? e se lo perde o simili?


Piuttosto che fare una roba del genere penso che sarebbe più intelligente fare password diverse per ogni sito, ma con una certa logica, tipo:
Scegli una password di base, esempio 123, e la modifichi con il nome del sito, esempio hw123upgrade per hwupgrade, face123book per facebook, g123mail, twi123tter e così via. Ovviamente ci sono infiniti modi per usare questo sistema.

Password completamente casuali mi sembrano decisamente un volersi complicare la vita.
ferro7518 Novembre 2013, 14:13 #6
Ma qualcuno ha capito il nesso tra il furto di dati ad adobe e il giochino con le parole crociate?
Purtroppo devo constatare che hwupgrade sta perdendo in qualità ogni giorno che passa, ormai le news scritte in questo modo superficiale non si contano più...
qboy18 Novembre 2013, 14:34 #7
Originariamente inviato da: TecnologY
Ma che problema c'è? Tanto come vedete non conta nulla scegliere una super passuodd seppoi le ccracccano...

Alla fine il genio che ha usato come psw la semplice asdasd è stato cracckato al pari del figlio di James Bond che ha messo una psw da decinaia di caratteri segreti.

E vorrei vedere se un sito serio dopo 3 o 5 tentativi di accesso falliti non blocca tutto e manda una mail all'account con cui si è registrati chiedendo conferme.
Un conto è la passhord di un forum o un sito di svago (che poi che interessi ci saranno mai a cracckare se non quello di rompere un po' le scatole), un altro discorso sono i siti a cui è collegato un sistema di pagamento o il nome proprio.

Comunque ripeto, alla fine la maggior parte degli spoof avviene al server principale dove sono memorizzate tutte le psw e non al PC dell'utente finale almeno questo non navighi con internet explorer 6 su XP.
Quindi scegliere una psw super sicura serve solo a farci sentire più sicuri, ma in realtà non cambia nulla, almeno non si possano cracckare di forza bruta come quella del wifi.

ma infatti secondo me il focus della situazione è sbagliato, perchè le pass sono state prese dal server e non rubate dagli utenti uno a uno. inizialmente ho capito male io
World18 Novembre 2013, 16:31 #8
Originariamente inviato da: ferro75
Ma qualcuno ha capito il nesso tra il furto di dati ad adobe e il giochino con le parole crociate?
Purtroppo devo constatare che hwupgrade sta perdendo in qualità ogni giorno che passa, ormai le news scritte in questo modo superficiale non si contano più...


Beh il motivo si trova all'inizio dell'articolo, dopo la parola "autore" (il tutto IMHO)
LMCH18 Novembre 2013, 18:54 #9
Originariamente inviato da: TecnologY

Comunque ripeto, alla fine la maggior parte degli spoof avviene al server principale dove sono memorizzate tutte le psw e non al PC dell'utente finale almeno questo non navighi con internet explorer 6 su XP.
Quindi scegliere una psw super sicura serve solo a farci sentire più sicuri, ma in realtà non cambia nulla, almeno non si possano cracckare di forza bruta come quella del wifi.


Gli attacchi basati su dizionario (di password molto usate e loro varianti ) esistono proprio perchè sono in molti a fare il tuo stesso ragionamento.

Inoltre statisticamente uno che usa password "facili" di solito le "ricicla" spesso, è per questo che crackando ad esempio un forum e rubando le password si hanno automaticamente "indizi" sulle password di accesso alle email di quelli che si sono registrati e si estendono i dizionari da riutilizzare poi per attaccare roba più succulenta.
Non parliamo poi di furti d'identità ecc. ecc.

Quindi la regola è usare sempre password differenti e possibilmente lunghe
(notare: lunghe, non complicate da ricordare).

Ad esempio per accedere ad un forum di apicoltura
invece di "X75+4K;aA89!"
si può usare "lapeapeggiaelorsoorseggia" (l'ape apeggia e l'orso orseggia)
la seconda è una password più forte, più facile da ricordare (e ricordandosela facilmente è più facile da digitare anche se più lunga) ...
e che probabilmente finirà in un dizionario di attacco, quindi non usate questa ma inventatevi un altra filastrocca "stupida" facile da ricordare o usate una frase "storpiata" (in modo da fregare i generatori di dizionari che usano frasi usate spesso) con termini dialettali, slang, scrittura "all'italiana" di parole inglesi ecc. ecc.
L'importante è che sia roba che per un motivo o l'altro vi resta impressa facilmente in testa senza sforzo.
cruelboy18 Novembre 2013, 18:58 #10
bah, una password diversa e complicatissima per ogni sito ... certo ... poi crakkano il sito di forza bruta, e devi cambiare tutto
Originariamente inviato da: World
Beh il motivo si trova all'inizio dell'articolo, dopo la parola "autore" (il tutto IMHO)

purtroppo devo segnalarti un gravissimo errore! ... ovvero il motivo si trova dopo la parola "di" e non "autore"!


IMHO, articolo utile quanto un foruncolo su una natica ... ma evidentemente i giorni di gloria di HwU stanno tramontando inesorabilmente

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^