Metal.it Forum

Ho letto questo articolo molto interessante: https://motherboard.vice.com/it/article ... ord-sicura

E mi ha fatto riflettere sulla sicurezza delle password. E' davvero così facile sgamare una password?

Uhm, la mia la pensavo sicura, mi sa che non lo è così tanto, nonostante sia lunga di base 12 caratteri con maiuscole, minuscole e numeri.

Anzi, mi fa ripensare a quando il sito delle poste, dove avevo il conto, non permetteva psw più lunghe di 10 caratteri!!! Imbecilli.

Gino ha scritto:Ho letto questo articolo molto interessante: https://motherboard.vice.com/it/article ... ord-sicura

E mi ha fatto riflettere sulla sicurezza delle password. E' davvero così facile sgamare una password?

Si e no. Ci sono molti meccanismi di filtering che prevengono gli attacchi bruteforce (ovvero "le provo tutte a ripetizione"). Un sito serio se riceve troppi accessi dalla stessa sorgente in un breve periodo di tempo blocca il flusso di dati, non permettendo che pochissimi tentativi al secondo (altro che miliardi).

E' però molto vero che le password che hanno un senso compiuto sono facili da sgamare, ormai i deep learner ci mettono pochi minuti e pochi tentativi.

Senza arrivare a password non ricordabili, se se ne sceglie una abbastanza lunga, con poco senso per chi la legge, con qualche carattere addizionale e qualche numero, sicuramente è una cosa buona. Poi è importante non scriverla da nessuna parte e averne diverse (se ne si usa una per tutto... trovata quella ciao).

Quoto tutto il discorso di Sairus.

Una password come L1g2$$LMPICDT, nell'intervista, non è così semplice da violare... certo, facendo "4,3 miliardi di tentativi al secondo" ( ) in una manciata di giorni si cracca, ma quale sito/sistema è così vulnerabile, topogigio.com ? Il vero problema è che la gente di solito mette il proprio nome/nick seguito dall'anno di nascita

Secondo me la password del pc di Gino é questa

scegliere "password" come password fa molto Palianuk...

se la scrivi cosi "På$§WøRð" credo possa essere abbastanza efficace

Månehav ha scritto:se la scrivi cosi "På$§WøRð" credo possa essere abbastanza efficace

in realtà no, sostituire una i con un 1 o roba simile è una delle prime prove che fa un attaccante

Detta così sembra che un hacker faccia i tentativi personalmente uno alla volta. In realtà mi pare di capire che usino programmi, pe i quali I o 1 o Y sono solo possibilità, tutte valide per comporre una password. L'importante è che queste possibilità tendano ad infinito, di modo che anche il programma più potente impieghi secoli per provarle tutte.

Secondo me l'articolo è una cagata pazzesca (cit.), nel senso che semplifica tantissimo la realtà. Gli attacchi di forza bruta sono stroncati da account normali tipo Google o Facebook. Più che altro le password di noi "comuni mortali" il più delle volte sono crackate tramite il social engineering perché la gente sceglie password dimmerda.

Inviato dal mio SM-G950F utilizzando Tapatalk

Gino ha scritto:Detta così sembra che un hacker faccia i tentativi personalmente uno alla volta. In realtà mi pare di capire che usino programmi, pe i quali I o 1 o Y sono solo possibilità, tutte valide per comporre una password. L'importante è che queste possibilità tendano ad infinito, di modo che anche il programma più potente impieghi secoli per provarle tutte.

No. Un programma di learning non fa prove a mazzetta, un programma di learning studia la grammatica di una lingua, analizza le convenzioni sociali sul web e si crea un grafo di dipendenze con le associazioni tra le parole più usate. Nello specifico, se capisce che alcune sostituzioni "vanno per la maggiore", le prova subito, e statisticamente ci azzecca. Percentuale di persone che crede di essere immune perchè "quella che ho pensato io è diversa dalle altre"? Circa il cento per cento. Quante di queste persone hanno effettivamente una password diversa dalle altre? Circa lo 0 per cento. Pensiamo di essere molto furbi, in realtà il nostro modo di ragionare è legato al linguaggio che utilizziamo tutti i giorni, quindi le soluzioni che troviamo si assomigliano molto.

Sairus ha scritto:

Månehav ha scritto:se la scrivi cosi "På$§WøRð" credo possa essere abbastanza efficace

in realtà no, sostituire una i con un 1 o roba simile è una delle prime prove che fa un attaccante

bhe intanto lo fai lavorare di +

Erotic.Nightmares ha scritto:Secondo me l'articolo è una cagata pazzesca (cit.), nel senso che semplifica tantissimo la realtà. Gli attacchi di forza bruta sono stroncati da account normali tipo Google o Facebook. Più che altro le password di noi "comuni mortali" il più delle volte sono crackate tramite il social engineering perché la gente sceglie password dimmerda.

Più che una cagata pazzesca sembra tagliato su un universo informatico vecchio di 30 anni, alla War Games per dire.
Oltre alle questioni di machine learning citate da Sairus c'è anche la questione dei bachi contenuti in ogni programma. Insieme all'ingegneria sociale penso che al momento siano gli strumenti più proficui per violare account e quant'altro.

None ha scritto:Il vero problema è che la gente di solito mette il proprio nome/nick seguito dall'anno di nascita

Baker63 ?

ehhhh esagerato

vabbè ho messo quella di Mike per evitare di indovinarla

Sitting Bull ha scritto:http://www.ilpost.it/2017/08/10/passwor ... e-inutili/

ecco, è una manica di puttanate, vignetta compresa

In 22 anni di Internet (cioè da quando più o meno è stata introdotto in Italia) mi hanno crackato un account 1 volta sola, ma per mia superficialità (parliamo comunque di più di 15 anni fa).

Questo ragazzo nerd tedesco fa il classico al lupo al lupo.

A parte che se un hacker riesce, tipo, a penetrare un database di una banca, vorrei capire a cosa serve avere una password personale di 6 caratteri o 28.

Baker ha scritto:In 22 anni di Internet mi hanno crackato un account 1 volta sola

molto rilevante

Sairus ha scritto:

Baker ha scritto:In 22 anni di Internet mi hanno crackato un account 1 volta sola

molto rilevante

lo è, infatti

Baker ha scritto:

Sairus ha scritto:

Baker ha scritto:In 22 anni di Internet mi hanno crackato un account 1 volta sola

molto rilevante

lo è, infatti

naturalmente ad un onnisciente come te non devo certo spiegare perché sia rilevante.

Ho trovato una email nello spam:

I am well aware xxxxxxxxx is your pass. Lets get straight to purpose. None has paid me to investigate about you. You do not know me and you are probably thinking why you're getting this e-mail?
Let me tell you, i actually installed a malware on the xxx vids (pornographic material) website and there's more, you visited this website to experience fun (you know what i mean). While you were viewing video clips, your web browser started working as a Remote Desktop with a key logger which gave me access to your display and also web cam. Just after that, my software program collected all of your contacts from your Messenger, Facebook, and emailaccount. after that i created a double video. First part shows the video you were watching (you've got a good taste lol . . .), and 2nd part shows the recording of your web camera, & it is you.
You have 2 solutions. Shall we analyze each of these options in details:
1st alternative is to disregard this email. in that case, i most certainly will send out your videotape to each one of your contacts and consider about the awkwardness you experience. Keep in mind in case you are in an important relationship, how it can affect?

other choice is to pay me $987. Lets describe it as a donation. in such a case, i will without delay delete your videotape. You will continue on with your daily life like this never took place and you would never hear back again from me.
You will make the payment by Bi‌tco‌in (if you don't know this, search 'how to buy b‌itcoi‌n' in Google)

dove ho messo le xxxxxx era realmente parte della password (subito l'ho cambiata). Di cosa si tratta?

ho trovato questo

https://www.ransomware.it/password-rica ... o-bitcoin/

e si, sembra che la mia mail libero sia finita negli elenchi violati.
cmq ho cambiato password e amen

Che merda di gente

AntonioC. ha scritto:ho trovato questo

https://www.ransomware.it/password-rica ... o-bitcoin/

e si, sembra che la mia mail libero sia finita negli elenchi violati.
cmq ho cambiato password e amen

Tranquillo, da un paio di settimane arrivano su tutte le caselle private e del lavoro (e anche a colleghi e colleghe), spesso in italiano e ben scritto. Son tutte cazzate, spam da deficienti. Metti che qualcuno, specie più anziano, magari si spaventa e ci casca pure. Poi sai, su milioni di persone che ricevono queste mail, la probabilità che becchino effettivamente qualche pedofilo che magari ci casca è alta. Ne bastano pochi per far soldi.
Per dire, la mia collega piú avanti con gli anni quando l'ha vista si é spaventata, e certo non ha nulla da nascondere. Credo che gli over 50 siano piú propensi a spaventarsi.
La cosa vergognosa in questo e in altri casi é che nel 2019 non si sia in grado di tracciare i conti e mettere in manette quelli che stanno dietro a queste spammate.
Qualche anno fa ad uno che conosco han pure fatto la foto con la webcam del suo pc facendogli credere di essere la polizia postale. Mi ha chiamato terrorizzato alle 11 di sera

Aragorn_V ha scritto: Mi ha chiamato terrorizzato alle 11 di sera

La vigilia di Natale?

Me ne arrivano 50 al giorno
Per quanto mi riguarda possono mandare in diretta mondiale a rete unificate tutte le mie seghe anche solo di fronte alla richiesta di un euro

Inviato dal mio ASUS_Z010D utilizzando Tapatalk

Tutta questa storia ci insegna qualcosa, e va ben oltre la semplice truffa. Forse questo tizio vuole solo risvegliarcu le coscienze.
Mi raccomando ragazzi: non disperdete il seme altrimenti finite ciechi all'inferno.

In ogni caso dopo anni ed anni ad inventare password ricordabili con piccoli cambiamenti tra una e l'altra mi sono arreso e mi sono affidato ad un gestore di password a 64 caratteri alfanumerici asd

Inviato dal mio ASUS_Z010D utilizzando Tapatalk

Ragazzi vi è forse sfuggito che davvero avevano la password di Antonio.

Voglio sottolineare un passaggio fondamentale:
"I am well aware xxxxxxxxx is your pass. Lets get straight to purpose. None has paid me to investigate about you. "

@None ha pagato il tizio per investigare su Antonio.
La password di AntonioC. é uguale al suo username, da bravo pirla.
E ora un applauso

No, era parte della password
È come se mettessi come pw graz1975

Inviato dal mio ASUS_Z010D utilizzando Tapatalk

None ma che cazzo dai...

Baker ha scritto:None ma che cazzo dai...

Infatti, che infame

La password reale era xxxxxxxxxxNUMERO, per questo mi sono un po' inquietato.
Però libero ogni tot obbliga a cambiarla, quindi probabile che anni fa fosse realmente solo xxxxxxxx, che poi ho riproposto come matrice di quella che avevo fino a stamani e che ho immediatamente cambiato.
Naturalmente la password non era il mio userid.
Il mio indirizzo risulta presente in quella ricerca di indirizzi "rubati". Ho fatto la prova con vari indirizzi che invece erano puliti.
La mia paura era che potesse trattarsi di qualche spyware che memorizza le password mentre le scriviamo e poi automaticamente genera la email di ricatto (non so se esiste una cosa del genere )

AntonioC. ha scritto: qualche spyware che memorizza le password mentre le scriviamo

questa cosa è molto complessa, perchè è difficile capire quando un utente sta scrivendo una password e quando sta scrivendo testo normale. In linea generale una password molto lunga, con lettere e numeri e con poco senso semantico è difficile da bucare.

Ho cercato sul sito haveibeenpwned e una delle mie mail risulta pwned.
Voi che siete esperti, devo fare qualcosa, è attendibile quel sito?

Inviato dal mio JSN-L21 utilizzando Tapatalk