Alfonso Maruccia

Password che si controllano on-line!

Un servizio telematico con mezzo miliardo di password compromesse offre la possibilità di usare il proprio database a soggetti terzi, un popolare password manager ne approfitta subito...

Il noto ricercatore di sicurezza Troy Hunt ha recentemente aggiornato il suo Pwned Passwords, un servizio telematico che permette di controllare la sicurezza di una password comparando l'input dell'utente con il massiccio database integrato contenente le chiavi di accesso già finite on-line e quindi da considerarsi come assolutamente compromesse.

Una delle caratteristiche di Pwned Passwords è la possibilità di interfacciarsi al servizio tramite un'apposita API, ed è una possibilità che gli sviluppatori del manager di password 1Password hanno deciso di sfruttare a brevissima distanza dal debutto della nuova versione del servizio.

Gli utenti di 1Password hanno quindi a disposizione un nuovo strumento per valutare la sicurezza delle loro chiavi di accesso, un modo per garantire l'unicità e l'"integrità" di una password grazie ai 500 milioni di stringe compromesse incluse nel database di Pwned Passwords.
Ma gli sviluppatori di 1Password hanno deciso di andare oltre il semplice controllo on-line, visto che il meccanismo adottato dal tool per la verifica garantisce un livello di protezione in più: invece di controllare una password nella sua interezza, 1Password compara i primi cinque caratteri del suo hash SHA-1.

Pwned Passwords restituirà le stringe contenenti quei primi cinque caratteri, e 1Password si incaricherà del controllo finale tra la password specificata dall'utente - sotto forma di hash SHA-1 - e le possibili scelte restituite dal servizio on-line.

Nel prossimo futuro 1Password includerà nuove possibilità di verifica ancora più sicure e indipendenti dai server remoti, ma per il momento gli sviluppatori del password manager dovranno accontentarsi dei commenti positivi di Troy Hunt sul metodo di controllo a base di hash che rispetta la privacy.

Alfonso Maruccia
Notizie collegate
42 Commenti alla Notizia Password che si controllano on-line!
Ordina
  • They are impressive statistics. A very interesting article. <a href="https://www.gmaillogin.help/>gmail login</a>
    non+autenticato
  • - Scritto da: ellascott
    > They are impressive statistics. A very
    > interesting article. <a
    > href="https://www.gmaillogin.help/>gmail
    > login </a>

    Clicca per vedere le dimensioni originali
  • - Scritto da: Stelvio Brunazzi
    > Dio c'è!

    E si vede, solo i creduloni che credono che Dio c'è fanno uso dei wallet per custodire le password.

    E molto più salutare prendere un testo e crearsi un sistema personale di lettura, lo dico a chi arriverà dicendomi: voglio vedere come fai a ricordarti le password dei tanti servizi.

    In pratica le mie password non sono poi tante, anche perché non faccio uso di servizi inutili tipo: facebook istangram, watzapp, ecc, ecc.

    Semplice e pulita come cosa.
    non+autenticato
  • - Scritto da: Wallestain
    > In pratica le mie password non sono poi tante,
    > anche perché non faccio uso di servizi inutili
    > tipo: facebook istangram, watzapp, ecc,
    > ecc.
    >
    > Semplice e pulita come cosa.

    Giá .. la password di whatsapp .. Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Wallestain
    > > In pratica le mie password non sono poi
    > tante,
    > > anche perché non faccio uso di servizi
    > inutili
    > > tipo: facebook istangram, watzapp, ecc,
    > > ecc.
    > >
    > > Semplice e pulita come cosa.
    >
    > Giá .. la password di whatsapp .. Rotola dal ridere

    Magari ti sei perso che quelli sono servizi usati da te. D'altronte un modaiolo non potrebbe esiliarsi da usare la spazzatura anche se di moda.

    non additare altri di essere quello che sei tu.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Wallestain
    > > In pratica le mie password non sono poi
    > tante,
    > > anche perché non faccio uso di servizi
    > inutili
    > > tipo: facebook istangram, watzapp, ecc,
    > > ecc.
    > >
    > > Semplice e pulita come cosa.
    >
    > Giá .. la password di whatsapp .. Rotola dal ridere

    Per lui wantzapp nei campi agricoli.
    non+autenticato
  • non è un articolo di parte ma spiega solo quello che sanno già tutti .... cioè che ste' cose sono solo snake oil Fantasma
    non+autenticato
  • - Scritto da: Kurt Russel
    > Un po' di parte, ma ben spiegato:
    >
    > https://keepassxc.org/blog/2018-02-24-pwned-databa

    TIENITELO! Ancora più semplice.Sorride
    non+autenticato
  • XkCd obbligatorio xkcd. com/936/

    Sarebbe bene che tutti gli utenti la leggessero e comprendessero bene.
    E sarebbe bene la leggesse anche chi sceglie di imporre certi limiti alle password.
    non+autenticato
  • - Scritto da: xte
    > XkCd obbligatorio xkcd. com/936/
    >
    > Sarebbe bene che tutti gli utenti la leggessero e
    > comprendessero
    > bene.
    > E sarebbe bene la leggesse anche chi sceglie di
    > imporre certi limiti alle
    > password.

    Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.

    Nota come fra un po' arriveranno troll a difendere la bontà delle pwd della prima vignetta...A bocca aperta
    non+autenticato
  • - Scritto da: Albedo non loggato

    > Nota come fra un po' arriveranno troll a
    > difendere la bontà delle pwd della prima
    > vignetta...
    >A bocca aperta

    la mia pass è di otto caratteri senza simboli, non la cambio dal 1995 e non compare nelle liste di password leakate.
    non+autenticato
  • - Scritto da: espertone
    > la mia pass è di otto caratteri senza simboli,
    > non la cambio dal 1995 e non compare nelle liste
    > di password leakate.

    Il problema di questo tipo di password è che al giorno d'oggi è diventato banale aggredirle con la forza bruta, persino con strumenti da supermercato. Non vuol dire che penetrano i servizi dove la usi, vuol dire che se trapelano gli hash di un servizio, potrebbero facilmente comprometterla.

    Purtroppo la password è un concetto che sta rapidamente diventando inadeguato alle necessità odierne. Presto sarà inevitabile avere una qualche forma di autenticazione a due fattori, possibilmente legata ad un oggetto fisico che possiedi.
  • - Scritto da: bradipao

    > Il problema di questo tipo di password è che al
    > giorno d'oggi è diventato banale aggredirle con
    > la forza bruta, persino con strumenti da
    > supermercato. Non vuol dire che penetrano i
    > servizi dove la usi, vuol dire che se trapelano
    > gli hash di un servizio, potrebbero facilmente
    > comprometterla.

    beh sì chiaro infatti è una pass di secondaria importanza, quelle più importanti le uso più complesse.
    Comunque oggi i BIG le registrano gli HASH salted, quindi anche ad un attaccante in possesso del DB degli HASH mancherebbe comunque un elemento per poter fare brute force sulla pass.
    non+autenticato
  • - Scritto da: espertone
    > - Scritto da: bradipao
    >
    > > Il problema di questo tipo di password è che
    > al
    > > giorno d'oggi è diventato banale aggredirle
    > con
    > > la forza bruta, persino con strumenti da
    > > supermercato. Non vuol dire che penetrano i
    > > servizi dove la usi, vuol dire che se
    > trapelano
    > > gli hash di un servizio, potrebbero
    > facilmente
    > > comprometterla.
    >
    > beh sì chiaro infatti è una pass di secondaria
    > importanza, quelle più importanti le uso più
    > complesse.
    > Comunque oggi i BIG le registrano gli HASH
    > salted, quindi anche ad un attaccante in possesso
    > del DB degli HASH mancherebbe comunque un
    > elemento per poter fare brute force sulla
    > pass.

    quale elemento manca? il salt è scritto subito prima dell'hash...
    non+autenticato
  • - Scritto da: mementomori

    > quale elemento manca? il salt è scritto subito
    > prima
    > dell'hash...

    non servirebbe a nulla averlo lì.
    Il salt è stato pensato per evitare il problema del furto di hash, quindi è ovvio che non lo tengono nella stessa tabella e forse neppure nello stesso DB.
    non+autenticato
  • Se ci sono hash e il salt, per risalire alla password, devi comunque calcolare l'hash col salt. E' ben diverso da confrontare hash con hash...
    non+autenticato
  • - Scritto da: Kurt Russel
    > Se ci sono hash e il salt, per risalire alla
    > password, devi comunque calcolare l'hash col
    > salt. E' ben diverso da confrontare hash con
    > hash...

    è chiaro, a quello serve principalmente il salt, ad evitare l'uso di rainbow table aggratis
    Ma il punto è che non è vero che il salt sta di fianco all'hash, è chiaro che si deve fare in modo che un eventuale leak degli hash non contenga il salt, quindi:

    "Having a global salt could add a little extra complexity to cracking the passwords, as it could be stored outside of the database (in the code, for example) which attackers may not gain access to in the event of a database breach . Cryptographically I don't think it adds much, but in practice it could slow them down."
    non+autenticato
  • p.s. ah non rispondevi a me... vabbè la mia risposta vale comunque per eventuali rimostranzeOcchiolino
    non+autenticato
  • - Scritto da: espertone
    > - Scritto da: Kurt Russel
    > > Se ci sono hash e il salt, per risalire alla
    > > password, devi comunque calcolare l'hash col
    > > salt. E' ben diverso da confrontare hash con
    > > hash...
    >
    > è chiaro, a quello serve principalmente il salt,
    > ad evitare l'uso di rainbow table
    > aggratis
    > Ma il punto è che non è vero che il salt sta di
    > fianco all'hash, è chiaro che si deve fare in
    > modo che un eventuale leak degli hash non
    > contenga il salt,
    > quindi:
    >
    > "Having a global salt could add a little extra
    > complexity to cracking the passwords, as
    > it could be stored outside of the
    > database (in the code, for example) which
    > attackers may not gain access to in the event of
    > a database breach
    . Cryptographically
    > I don't think it adds much, but in practice it
    > could slow them
    > down."

    A me non sembra una buona idea avere un salt unico globale "nascosto".
    Scenario:

    - voglio attaccare un servizio di autenticazione
    - creo un account legalmente: pippo con password pluto
    - ottengo la tabella con gli account e gli hash con salt globale "nascosto"
    - identifico l'hash dell'account pippo e faccio un bruteforce sul salt poichè la password è nota.
    - trovato il salt di un account (pippo) lo riutilizzo per tutti gli altri.

    https://it.wikipedia.org/wiki/Sicurezza_tramite_se...
    non+autenticato