Una delle funzioni meno sicure di qualsiasi sito internet è quella di recupero password, e già questo dovrebbe fare sì che una simile funzione non esista; inoltre essa nasconde altre inside non ovvie…
(altro…)Tag: password
-
La password è salvata in chiaro? Semplice test.
In poche parole, per capire se qualcuno salva la vostra password in chiaro usate questa password:
SpiegazioneX5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
-
Se non password, allora #PassaFrase
Su questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela. (altro…)
-
Poi non diamo la colpa agli utenti
Ogni giorno scriviamo megabyte di articoli e spendiamo ore per spiegare agli utenti l’importanza di una password sicura.
Anzi, spieghiamo che bisogna passare dal concetto di password (parola d’ordine) a quello di passphrase (frase d’ordine), ovvero mettere una frase relativamente lunga, che, in questo momento, è facile da ricordare e difficile da attaccare con metodi di forza bruta o con rainbow table.
Poi sbatti il naso contro questo: (altro…)
-
Password
INSERIRE LA PASSWORD ******** PASSWORD ERRATA. INSERIRE LA PASSWORD *********** PASSWORD ERRATA. INSERIRE LA PASSWORD ************* PASSWORD ERRATA. INSERIRE LA PASSWORD **************** PASSWORD ERRATA. INSERIRE LA PASSWORD {esegue la procedura di reset password} ************** ERRORE! LA NUOVA PASSWORD DEVE ESSERE DIVERSA DALLA PRECEDENTE
-
ATM: ma scherziamo?!
Il sito dell’ATM (la finanziaria che controlla le società che gestiscono i trasporti pubblici) di Milano è stato, a memoria, sempre abbastanza innovativo rispetto ai siti omologhi.
Uno dei servizi offerti è la possibilità di registrarsi per ricevere informazioni e per acquistare biglietti anche attraverso l’applicazione mobile.
Ma la procedura di registrazione è una cosa che non vorremmo mai vedere nel 2015. (altro…)
-
Giocare la password ai dadi
Assume that your adversary is capable of a trillion guesses per second.
Edward Snowden a Laura Poitras, maggio 2013Come difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata?
Un modo efficace è rispolverare cinque cari vecchi dadi da gioco. (altro…)
-
Queste password proprio no!
Ci sono alcune password che non vanno utilizzate.
Ma nemmeno per cinque minuti.
E, no, nemmeno come password temporanee.
Sono le password che vengono provate per prime quando si attacca un sistema, sono quelle che fanno crollare tutta l’impalcatura di sicurezza di un sistema. (altro…)
-
Heartbleed: anche le password
Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.
Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.
Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.
Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).
Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.
Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?
Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?
Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.
Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.
E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.
L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.
Fine del pippone.
-
Le password nel commercio elettronico
Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].
Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.
Prima di esaminare la classifica alcuni dati aggregati degni di nota:
- il 55% dei siti accetta password del tipo
123456
opassword
; - il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
- il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
- il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
- il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
- 8 siti inviano la password via mail in chiaro.
Per gli amanti delle top 10 ecco la classifica dei siti migliori. (altro…)
- il 55% dei siti accetta password del tipo
-
Password “comuniste”
Nicola Porro ha sfogato la sua frustrazione nel suo blog in merito alla complessità delle password imposte.
Non essendo un giornalista tecnico che scrive abitualmente in temi di sicurezza, possiamo, con presunzione di innocenza, classificare quell’articolo come uno sfogo a livello di chiacchiera da bar.
Purtroppo questo episodio è esemplificativo dell’ignoranza (etimologica) in materia di sicurezza informatica e di valore dei dati che accomuna molte professioni.
Il concetto più comune che viene urlato è “l’account è mio e la password la decido io”. (altro…)
-
Dodecalogo per le PMI
Allen Scott di F-Secure ha pubblicato un elenco di dodici punti per migliorare la sicurezza delle PMI.
Alcune regole sono state illustrate anche in altri articoli di questo blog; l’elenco che segue le raccoglie in maniera organica a beneficio di chi vuole realizzare una checklist. (altro…)