Mark Burnett ha raccolto nel tempo varie password che sono state pubblicate per buchi nella sicurezza.
Adesso ha deciso di pubblicare le 10.000 password più utilizzate, quindi le 10.000 password da non utilizzare mai.
Le password sono in un file di testo, che può essere importato in un archivio di black-list per evitare che gli utenti scelgano password troppo facili da indovinare.
(altro…)
Sono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.
Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.
La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.
Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--
O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]
Per vari motivi ho cercato in giro alcune linee guida su come scrivere una buona procedura di reset della password di un account via posta elettronica, ne riassumo qui alcune, in ordine sparso.
Non modificare i dati fino alla conferma dell’utente. A meno di necessità specifiche o casi particolari, i dati di autenticazione non devono essere modificati fino all’avvenuta conferma da parte dell’utente, al fine di impedire che buontemponi blocchino l’accesso all’utente semplicemente chiedendo un reset della password.
Usare CAPTCHA. La pagina di richiesta del reset della password dovrebbe contenere un CAPTCHA per evitare che i sistemi automatici possano attaccare facilmente il sistema oppure possano provocare disagi a più utenti.
Utilizzare una buona fonte di entropia. L’URL per il reset della password inviato via mail deve contenere una parte casuale, che non deve essere legata al timestamp o ad altri valori deterministici. È bene utilizzare sempre il generatore di numeri casuali disponibile sul sistema (/dev/urandom per *NIX) anziché una funzione di libreria del linguaggio.
Limite di tempo. L’URL utilizzabile per il reset della password deve avere una scadenza oltre la quale non è più valido.
Spiegare bene. Sia la pagina di reset della password sia le mail che vengono inviare all’utente devono essere ben chiare e spiegare bene la modalità di reset. In particolare, la mail deve indicare in maniera precisa il nome del sito di cui si sta reimpostando la password, il termine ultimo di validità e le azioni da intraprendere se chi riceve la mail non ha chiesto il reset della password.
Confermare. Una volta terminata (o cancellata) l’operazione, è bene inviare una seconda mail di conferma all’utente.
Monitorare. Una funziona amministrativa dovrebbe segnalare gli account di cui viene richiesta spesso la reimpostazione della password. Inoltre è bene impedire un numero non-umano di richieste di reset della password nell’unità di tempo, come, ad esempio, 500 richieste all’ora.
HTTPS. Se possibile, utilizzare HTTPS con un certificato valido per il form di richiesta di reset e per l’URL di sblocco.
Cookie. Non devono essere utilizzati i cookie per identificare l’utente ed eventuali cookie di sessione o di identificazione devono essere cancellati nel momento in cui la password viene reimpostata.
Riservatezza. Se nel form di richiesta password si richiede direttamente la mail (da evitare, se possibile), quando viene inserita una mail sconosciuta, il programma deve comportarsi allo stesso modo in cui si comporterebbe se la mail fosse di un utente registrato, al fine di impedire ad un eventuale curioso o attaccante di capire se una mail corrisponde ad utente effettivamente registrato.
Va da sé che queste sono linee guida che si applicano a siti normali, per ambienti che richiedono una sicurezza maggiore devono essere messe in campo procedure completamente diverse.
Benché il sito non abbia ancora diramato una nota formale, pare che LinkedIn sia stato vittima di un furto di oltre sei milioni di password.
Come atto precauzionale è altamente consigliabile modificare immediatamente la propria password di LinkedIn.
Avrei dovuto avere dei dubbi quando ieri mi è arrivato l’invito di connessione al network di contatti da parte di una farmacia.
Le password rubate sarebbero 6.458.020 hash SHA-1 senza salt.
Con ogni probabilità i dati rubati sono limitati alle password e non alle email associate alle medesime. (via Naked Security)
Aggiornamento 7/6/2012 – Linkedin ha finalmente confermato il furto di password. Le password degli account interessati sono state resettate e i titolari hanno ricevuto una mail in cui viene spiegato cosa sia successo e vengono invitati a modificare la password.
Passfault è un programma open source che verifica la resistenza delle password.
Il programma analizza una password e cerca di stabilire quanto tempo sia necessario per crackarla in base ad alcuni parametri definiti. Ovviamente l’analisi che viene fatta è agnostica rispetto all’utente: per ovvi motivi il programma non prova le password che contengono dati correlati all’utente, che potrebbero, invece, essere ineriti nel dizionario di un programma di attacco che voglia prendere di mira un utente specifico.
È disponibile anche una versione online in https, anche se per verificare le proprie password è bene scaricare e installare i sorgenti Java. (via nakedsecurity)
Le password sono una rottura di balle, specialmente per chi non è sensibile al problema della sicurezza.
Molte realtà hanno una rete wireless, sia essa collegata alla LAN interna oppure direttamente ad Internet per gli ospiti.
In moltissimi di questi casi le password sono scritte in maniera visibile, specialmente quelle degli ospiti perché sembra che la cosa dia un senso di buona ospitalità e non debba costringere l’ospite a chiedere di poter usare la rete.
Bella idea, finché non arriva una troupe televisiva a fare delle riprese in HD:
Secondo quanto rivela il giornale israeliano Haaretz, la password dell’account mail di Bashar Assad compromesso da Anonymous sarebbe stata 12345.
1 2 3 4 5
Se la notizia fosse vera non ci sarebbe molto da commentare, tranne che solamente l’erede al trono del regno degli incoscienti (per non utilizzare termini ben peggiori) utilizzerebbe una password del genere per un account governativo.
Poi, però, non diamo la colpa agli hacker…
La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla.
Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta.
Bisogna chiarire subito che i sistemi attuali di attacco non si fanno più fregare dalle permutazioni simil-1337, quindi p@55w0rd ha la stessa forza di password.
L’attacco basato sulla forza bruta deve fare i conti con una progressione geometrica del numero di tentativi. Consideriamo l’insieme delle lettere dell’alfabeto internazionale minuscole e maiuscole (52), le cifre dei numeri arabi (10), e, per puro esercizio, 15 tra segni di interpunzione e simboli matematici: abbiamo un set di 77 caratteri.
Con una password di 8 caratteri (il minimo richiesto dalla legge per i dati personali) le combinazioni son 77^8, ovvero 1.235.736.291.547.681, circa 1,23 * 10^15
Ma se si incrementa del 50% il numero di caratteri e si va a 12, con lo stesso set le combinazioni sono 77^12, ovvero 43.439.888.521.963.583.647.921, circa 4,34 * 10^22, sette ordini di grandezza più del precedente. Con 1.000 tentativi al secondo, un computer impiegherebbe 4,34 * 10^19 secondi per beccare la password, ma se voi la cambiate ogni 6 mesi (pari a 1,57 * 10^7 secondi)…
Quindi una password tipo 87:kH=1a è molto meno sicura di vivvallapapppa ed è molto meno facile da memorizzare, come illustrato anche dalla strip di oggi di xkcd:
Ieri le password degli account di WordPress.org sono state resettate e gli utenti devono sceglierne una nuova.
La decisione segue una serie inusuale di aggiornamenti di vari plugin molto utilizzati, tra cui AddThis, WPtouch e W3 Total Cache. Un’analisi ha rivelato che tutti questi aggiornamenti contenevano una backdoor e che le nuove versioni non erano state caricate dagli sviluppatori.
Gli amministratori hanno ripristinato la versione dei plugin senza backdoor e hanno deciso di resettare le password di tutti gli utenti.
Se avete un account su WordPress.org andate su questa pagina per impostare la nuova password.
Come al solito, vale la regola che non è una buona idea utilizzare la medesima password per siti differenti.
MysqlPasswordAuditor è un tool per crackare verificare la sicurezza di un server MySQL.
Questa versione funziona solamente con un dizionario di password, ma nulla impedisce di utilizzare appositi tool per creare il dizionario, specialmente se è nota una parte della password.
Il programma necessita solamente l’accesso alla porta TCP di MySQL.
La scansione avviene abbastanza velocemente: in una macchina virtuale su un sistema relativamente carico, la scansione in rete gigabit di 3150 password ha richiesto 23 secondi. L’attività non ha lasciato tracce nel log di MySQL utilizzando le impostazioni standard di CentOS 5.6.
Se MysqlPasswordAuditor riesce a crackare la password del vostro MySQL utilizzando il database di password distribuito assieme al software, avete un bel problema.
Vista la natura del programma, è fortemente consigliabile installarlo solamente in una macchina virtuale dopo aver creato uno sanpshot e tornare a quel punto dopo aver utilizzato MysqlPasswordAuditor.
Symantec segnala che alcune applicazioni di Facebook potrebbero aver concesso involontariamente l’accesso all’access token degli utenti a terzi.
L’access token è il sistema con il quale le applicazioni agiscono per conto degli utenti su Facebook, dopo aver ricevuto l’approvazione dell’utente stesso.
Un’applicazione con il vostro access token può impersonarvi su Facebook limitatamente alle azioni che voi avete concesso a quel token.
Per invalidare l’access token è sufficiente cambiare la password del proprio account, l’opzione si trova nelle impostazioni dell’account.
Resta sempre valido il consiglio di concedere privilegi a meno applicazioni possibili e di rivedere di tanto in tanto le applicazioni a cui si sono concessi dei privilegi.
Ci sono molti algoritmi che deviano leggermente da un attacco a forza bruta per indovinare una password.
Matt Weir propone un approccio probabilistico al problema. La sua soluzione si basa sulla probabilità che un insieme di caratteri faccia parte di una password, al di là dell’analisi di frequenza delle lettere nelle varie lingue
Nel suo esempio Matt sostiene che la password $$password63 possa essere più probabile di !*password12.
(altro…)