SIAMO GEEK

Risultati della ricerca per: “password”

  • Una tabula recta per registrare le password

    Le password sono un grattacapo, come alcuni fatti recenti hanno dimostrato.

    L’idea mia e di un collega è che ci dovrebbe essere una norma ISO secondo la quale tutte le password dovrebbero essere pippo. Ci sarebbero meno grattacapi, ma anche più problemi di sicurezza.

    Le password devono essere sufficientemente lunghe, non devono essere le stesse per siti diversi, non ce le possiamo scrivere, non devono riferirsi ad eventi della nostra vita, non devono essere facilmente indovinabili se si conosce una parte di esse, devono contenere caratteri assortiti, non devono essere presenti in un dizionario… Tutte regole che conosciamo e non applichiamo perché i computer sono loro, non siamo noi!

    John Graham-Cumming ha auto un’idea interessante: utilizzare una variante della tabula recta per registrare le password.

    (altro…)

  • Verificare la forza delle password con i crack

    Mi capita spesso di vedere utenti che utilizzano password troppo facili per gli accessi ai computer o alle mail dell’organizzazione a cui appartengono.

    Spesso la considerazione di fondo è «Tanto è solo la mail di lavoro, non c’è nulla di importante…» Da far venire i brividi.

    È un fatto che gli utenti vadano opportunamente istruiti (bastano due paginette sulla Intranet, eh!) in merito al valore dei dati che stanno trattando e alle conseguenze in caso di crack della password.

    In quanti tra gli utenti sanno che una password debole sulla mail non consente solamente di leggere i messaggi, ma anche di inviarne con il loro nome con due conseguenze principali: (1) furto di identità e (2) utilizzo dell’account per inviare spam, con conseguente blacklisting del mail server dell’organizzazione?

    Alcune realtà italiane e internazionali prevedono sanzioni (fino alla lettera di richiamo formale) se gli utenti utilizzano per più volte password facili da indovinare. In un’organizzazione che parte da zero su questo fronte la lettera di richiamo sarebbe fuori luogo, ma bisognerebbe iniziare a rendere consapevoli gli utenti (a partire, spesso, dalla cima della catena alimentare) di quanto siano sicure le loro password.

    Il sistema più semplice ed efficace croniste nell’utilizzo dei tool di crack delle password di cui ogni tanto diamo conto anche su queste pagine. SANS ha un articolo interessante in merito, che vale la pena di essere letto. Magari negli obbiettivi IT del prossimo anno si può introdurre qualcosa di simile…

  • Proteggere i WiFi liberi con una password nota

    Il rilascio di Firesheep ha evidenziato un problema noto delle connessioni WiFi senza password: i dati non vengono trasmessi in modo criptato.

    Chester Wisniewski, senior security advisor di Sophos, propone una soluzione elementare, che consiste nell’utilizzare il protocollo WPA2 con una password nota e unica per tutti: free.

    Un piccolo aggiornamento nel software dei client WiFi potrebbe fare in modo che il client provi quella password prima ancora di chiederla all’utente.

    In questo caso la password non serve ad impedire la connessione a chi non ha titolo per farlo, ma forza il protocollo a negoziare una chiave di cifratura univoca con ciascun terminale collegato, rendendo di fatto inutile un tool come Firesheep.

    Aggiornamento 17/2/2011 – Un aggiornamento della pagina di Naked Security linkata sopra rivela che questa soluzione non è percorribile e non deve essere utilizzata. Grazie a Paolo Attivissimo per avermi segnalato l’aggiornamento.

  • Firefox: esposizione della password nell’URL

    In mancanza di altri programmi i browser possono essere utilizzate anche come client FTP.

    Per collegarsi, ad esempio, a mail.siamogeek.com con l’utente utente e la password segreta si può digitare questo URL:

    ftp://utente:segreta@mail.siamogeek.com

    Purtroppo Firefox registra questo URL nella cache, quindi se, dopo essersi collegati la prima volta a questo sito, si digita di nuovo l’inizio (o parte) dell’URL ecco cosa appare:

    State, quindi, attenti se utilizzate browser altrui per collegarvi a siti di cui non volete rivelare la password.

    Una segnalazione del baco è già presente in Bugzilla.

    No, l’utente utilizzato per questa dimostrazione non esiste più, è inutile tentare, tanto non funziona. (via Bugtraq)

  • Blackberry e iOS: password crackata con 200 €

    Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di iOS e del Blackberry.

    Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.

    La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)

  • Esfiltrare NTDS.dit senza accesso ai DC

    In un dominio Active Directory gli hash delle password degli utenti sono registrati nel file NTDS.dit presente in ogni Domain Controller (DC), il cui path di default è C:\Windows\NTDS\NTDS.dit

    Esistono vari modi per fare una copia degli hash, ma tutti quelli normalmente elencati partono dal presupposto che si abbia accesso di un certo tipo ad un Domain Controller.

    Molte linee guida raccomandano di monitorare e regolare bene l’accesso ai DC, ma si dimenticano di un dettaglio.

    I backup.

    Continua a leggere
    Reazioni nel fediverso

  • Migrare un telefono Android

    Passare ad un telefono nuovo è sempre una rottura.

    Android adesso fa le cose abbastanza semplici: si accende il telefono nuovo con a fianco quello vecchio collegato in Wifi, si seguono le istruzioni, si aspetta il tempo di trasferimento, si sposta la SIM ed il gioco è fatto.

    Quasi.

    Continua a leggere

  • Tunnel IPv6 di HE via Raspberry Pi

    Era un po’ che non tiravo fuori la mia fissa con IPv6…

    Dopo oltre due mesi di trasferta per finire l’infrastruttura di una nave, eccomi tornato alla carica con IPv6.

    Continua a leggere

  • Linux proxy per Veeam B&R

    La versione 10 di Veeam Backup & Replication ha introdotto la possibilità di utilizzare Linux come sistema operativo del backup proxy.

    In Veeam il backup proxy è il ruolo del host che esegue la copia dei dati dalla sorgente alla destinazione, è il ruolo del data mover.

    Fino alla versione 9.5 il ruolo di proxy poteva essere assegnato solamente ad un host Windows, dalla versione 10 è possibile assegnarlo anche ad un Linux.

    (altro…)

  • Piccolo demone per la gestione dei device MQTT

    Dopo aver configurato i Sonoff con Tasmota, è ora di cominciare a scrivere qualche riga di codice per la gestione dei dispositivi.

    Ci sono fondamentalmente due modi di interagire con i dispositivi: chiamarli dal programma che fa da console oppure scrivere un piccolo demone costantemente in ascolto sui messaggi di un broker MQTT che aggiorni lo stato dei device in un database SQL.

    Per questo esercizio ho scelto la seconda via.

    Continua a leggere

  • Configurazione iniziale di un Sonoff con Tasmota

    Dopo aver flashato il Sonoff Basic siamo pronti a collegarlo e a fare la configurazione iniziale.

    Prima di partire alcune considerazioni importanti.

    Continua a leggere

  • Veeam Backup server

    Una possibile soluzione per un backup e, soprattutto, un ripristino veloce di un’installazione di VMware è utilizzare un backup server fisico.

    Il vantaggio è che l’infrastruttura VMware viene scaricata il più possibile dalle operazioni di backup.

    L’idea è di avere un server che ospiti tutti i ruoli di Veeam Backup e Replication, che esegua il backup da VMware e salvi la prima copia su di sé e la seconda copia su un NAS e/o su un target Veeam Cloud Backup attraverso la funzione Backup Copy.

    (altro…)

Altri articoli