Claudio Tamburrino

Password, le cattive abitudini

Analisi effettuate sulle password rubate a Sony e Gawker confermano la noncuranza degli utenti nello scegliere le proprie credenziali. Troppo semplici da indovinare

Roma - Dopo gli attacchi subiti dal circuito Sony, più di un milione di password dei suoi utenti sono state diffuse. A queste si possono poi sommare le 250mila rubate al gruppo Gawker Media e insieme fanno un bel bottino per i malintenzionati e una buona base statistica per studiare le abitudini degli utenti in materia di sicurezza.

Uno degli analisti che le ha studiate è Troy Hunt: ed è giunto alla solita conclusione che, in fondo, gli utenti non sono poi così previdenti. Nel 67 per cento dei casi di account comuni ai due circuiti ha per esempio rilevato che gli utenti avevano la stessa password per entrambi e sui siti Sony nel 92 per cento dei casi gli utenti usavano la medesima password.

Per quanto riguarda poi la scelta della parola che rappresenta lo scudo tra i propri dati personali ed uno sconosciuto, nel 50 per cento dei casi viene usato solo un tipo di carattere e nel 90 per cento dei casi si utilizzano caratteri minuscoli, mentre solo l'1 per cento delle password utilizza segni non alfanumerici. E appena il 4 per cento ha adottato password contenti tre o più tipi di caratteri.
Si scopre poi che tra le password più usate ci sono ancora "password", "123456" e "abc123".

Claudio Tamburrino
Notizie collegate
  • AttualitàUn, due, tre, password!Pubblicato uno studio statunitense che ha preso l'iniziativa dopo l'attacco di un cracker al sito Rockyou. Su 32 milioni di parole chiave svelate, i primi tre posti sono occupati da semplici cifre in sequenza
  • AttualitàTrapster: cambiate le passwordIl sito è stato vittima di un tentativo di hacking. La società ha invitato tutti gli utenti a modificare gli account utilizzati sul proprio e su altri siti se si è utilizza la medesima password
  • AttualitàAnonymous e il legittimo cyberdissensoIl gruppo di attivisti non avrebbe intenzione di rubare dati o di attaccare le infrastrutture critiche di aziende come Visa. Solo di esprimere il proprio disappunto a mezzo DDoS. Non ci sarebbe la loro mano dietro ai disservizi di Amazon
25 Commenti alla Notizia Password, le cattive abitudini
Ordina
  • - Scritto da: uno qualsiasi
    >

    CTRL-D
    :D
    Funz
    12980
  • Comunque la pwd più figa che ho visto è: "monachilegge"
    non+autenticato
  • Ci sono sempre gli utenti che non sanno nemmeno che serve la password o ci mettono la data di nascita, il nome del fidanzato, quello del gatto, ecc.
    Non giustifica i furti che ci sono stati, ma spero che questo serva a scegliere password più sicure in futuro.

    Però c'è da dire anche che in un sistema ideale di protezione, il fornitore di servizio non dovrebbe nemmeno conoscere la password!!!
    Con un algoritmo banale MD1/SHA/altro o combinazione di questi, si ottiene una serie di byte a senso unico che non è possibile decifrare (solo l'utente conosce la password, al massimo può cambiarla con un altra ma non risalire alla vecchia).
    Poi con banalissime regural expression e liste di parole, si fa in modo che non vengano accettate password troppo semplici.

    Queste poche regole servono per garantire la sicurezza tra il servizio e l'utente (ossia se poi la salva nel browser sono cavoli suoi).

    Per farvi un esempio sui siti che amministro io impongo una lunghezza minima di 9 caratteri e la presenza di almeno un numero, una lettera minuscola ed una lettera maiuscola (oppure un simbolo).
    Il tutto criptato a senso unico con 4 passaggi e salvati su una tabella diversa, in cui figurano le password ed un id interno con scadenze e restrizioni (stanno addirittura su un altro database e le query vengono fatte separate e senza possibilità di sql injection).
    Se io ho fatto tutto questo per alcuni siti ad uso quasi esclusivamente privato, perchè un colosso come la Sony è così indietro?

    Magari alcuni di questi accorgimenti avrebbero avuto l'effetto di un furto degli account ma non delle password, oppure di un numero inferiore di dati.
    non+autenticato
  • Hashare le password è da considerarsi quasi obbligatorio, ma è opportuno anche usare il salting per evitare attacchi con rainbow tables, in caso il database venga compromesso.
    non+autenticato
  • Corretto e tutto quanto, ma qui il problema è sempre lo stesso: pwd in chiaro e DB aperti alla rete pubblica.
    Siamo indietro di quanto? Dieci anni?
  • - Scritto da: Valeren
    > Corretto e tutto quanto, ma qui il problema è
    > sempre lo stesso: pwd in chiaro e DB aperti alla
    > rete
    > pubblica.
    > Siamo indietro di quanto? Dieci anni?

    Almeno venti!
  • - Scritto da: panda rossa
    > - Scritto da: Valeren
    > > Corretto e tutto quanto, ma qui il problema è
    > > sempre lo stesso: pwd in chiaro e DB aperti alla
    > > rete
    > > pubblica.
    > > Siamo indietro di quanto? Dieci anni?
    >
    > Almeno venti!
    CORRETTO.

    Password shadowing first appeared in UNIX systems with the development of System V Release 3.2 in 1988 and BSD4.3 Reno in 1990
    non+autenticato
  • "in cui figurano le password ed un id interno con scadenze e restrizioni"

    uh, in cosa consiste questo????
    non+autenticato
  • - Scritto da: curioso
    > "in cui figurano le password ed un id interno con
    > scadenze e
    > restrizioni"
    >
    > uh, in cosa consiste questo????

    Molto semplice: la tabella utenti è da una parte, quella delle password dall'altra (anzi, su un altro db con diversa tecnologia a dire il vero).

    Nel record delle password c'è anche scritto quando scade ed alcune informazioni aggiutive.

    In aggiunta ci sono delle tabelle in cui viene tenuta traccia da dove avviene il login (indirizzo ip, client, ecc) per cui se le abitudini cambiano radicalmente o se ci sono molti più accessi da un indirizzo scatta un campanello di allarme.
    Ovviamente, per evitare false segnalazione, occorre stare attenti a dosare tutte queste informazioni...
    non+autenticato
  • ... il problema sta tra tastiera e sedia!
    Questo senza volere mettere in secondo piano l'epic fail di sony (per il quale tra l'altro ho goduto come un porco!)
  • - Scritto da: pentolino
    > ... il problema sta tra tastiera e sedia!
    > Questo senza volere mettere in secondo piano
    > l'epic fail di sony (per il quale tra l'altro ho
    > goduto come un
    > porco!)

    La password degli utenti Sony non le hanno "indovinate" le hanno rubate.
    IL problema tra "tastiera e sedia" non c'entra una beneamatissima, non questa volta.
    Capisco che Sony diffonda questi dati per giustificarsi in qualche misura, ma è la classica zappa sui piedi: se sony fa statistiche sulle password dei sui clienti significa che le memorizzava nei suoi DB in chiaro mostrando una cialtroneria inaccettabile.
  • forse mi sono spiegato male; come ho scritto metto assolutamente in primo piano l'epic fail di sony, hanno fatto delle vaccate a dir poco spettacolari!
    Mi riferivo al fatto che potenzialmente quelle stesse password banali sono usate dappertutto, e quindi una volta associate a nome, cognome e nickname (che molto comunemente è sempre lo stesso, io stesso faccio così...) potrebbe aprire le porte ad altri attacchi; da qui il riferimento a sedia e tastiera.
    Poi se vogliamo essere pignoli l'intero problema è tra sedia e tastiera, visto che qualcuno li avrà progettati e programmati i sistemi di "protezione" della sony Sorride
    P.S.: l'ultima è una battuta, che porta il discorso ad un estremo quasi paradossale Sorride
  • - Scritto da: pentolino
    > forse mi sono spiegato male; come ho scritto
    > metto assolutamente in primo piano l'epic fail di
    > sony, hanno fatto delle vaccate a dir poco
    > spettacolari!
    > Mi riferivo al fatto che potenzialmente quelle
    > stesse password banali sono usate dappertutto, e
    > quindi una volta associate a nome, cognome e
    > nickname (che molto comunemente è sempre lo
    > stesso, io stesso faccio così...) potrebbe aprire
    > le porte ad altri attacchi; da qui il riferimento
    > a sedia e
    > tastiera.

    Anche se la password fosse complessa, uno tende ad usarla spesso se non sempre: una volta associati mail e password di fatto tutti gli utenti Sony son esposti a diverse truffe informatiche. Il mio consiglio è in questo caso cambiare password a TUTTI i servizi a cui sono iscritti.
  • - Scritto da: dont feed the troll/dovella
    > Anche se la password fosse complessa, uno tende
    > ad usarla spesso se non sempre: una volta
    > associati mail e password di fatto tutti gli
    > utenti Sony son esposti a diverse truffe
    > informatiche.

    vero in parte secondo me, se uno conosce ed applica la "prima regola" delle password (password complesse) tende ad applicare anche la "seconda" (usare pwd diverse). Poi certo non tutti sono pazzi come me che uso password diverse per OGNI sito, compresi i forum del cavolo, oltre ad utilizzare un password manager per quelle importanti (banca etc.) Sorride

    > Il mio consiglio è in questo caso
    > cambiare password a TUTTI i servizi a cui sono
    > iscritti.

    assolutamente d'accordo, meno male che boicottando da tempo la sony sono un felice non possessore di apparecchi sony Sorride
  • dammi la tua password manager per la banca, in cambio io ti dò la mia per tutto: 000000 , attendo la tua ora...
    non+autenticato
  • Io solitamente per i servizi importanti (soprattutto dove sono coinvolti dati personali, quali ad esempio Paypal) uso password strong e diverse tra loro, solitamente nei forum di cui non mi importa niente uso sempre la solita password stupida

    Sinceramente per un servizio tipo PSN dove non vado sicuramente ad associare la carta di credito e uso dati falsi al 99% (l'1% che resta è il sesso), anche se uso una password "12345" che me ne frega? Che male possono farmi?

    Certo, resta la seccatura che con la password dell'account ormai esposta qualcuno potrebbe trovarla e fare qualche scherzetto, ma non di più.
    Su Live il discorso è diverso, ci si logga con il profilo dove si ha pure l'email e messenger, quindi lì sì che i danni possono essere più gravi, ed infatti lì ho messo una password un po' più robusta, che se trovano non sono comunque grossi problemi perché hotmail la uso per scazzo.

    Qual'è il problema di fondo? Nessun servizio è al sicuro, né Sony, né Nintendo, né Microsoft, né Google.
    Sarebbe da rivedere il sistema di autenticazione, ma a meno che di non fare una scansione della retina, verifica vocale e dell'impronta digitale contemporaneamente non saprei come risolvere la questione...
    Wolf01
    3342
  • - Scritto da: Wolf01
    > Qual'è il problema di fondo? Nessun servizio è al
    > sicuro, né Sony, né Nintendo, né Microsoft, né
    > Google.
    > Sarebbe da rivedere il sistema di autenticazione,
    > ma a meno che di non fare una scansione della
    > retina, verifica vocale e dell'impronta digitale
    > contemporaneamente non saprei come risolvere la
    > questione...

    Google volendo offre la “verifica a due passaggi” inviando un codice di verifica via SMS.
    Teo_
    2640
  • Che password manager consigli? Che sia gratuito... Sorride
    non+autenticato
  • io mi trovo bene con password safe; il programma originale è disponibile solo per windows.
    Per fare girare il tutto su macos e/o linux (feature per me fondamentale dal momento che non uso windows) si può usare wine oppure utilizzare Password Gorilla, cross platform.
    E ovviamente sono open source, requisito per me fondamentale quando si parla di sicurezza e dati riservati