mercoledì 9 marzo 2016

Quante password sono state rubate di recente?

Nella lezione di Reti del 9 Marzo abbiamo evidenziato che uno dei grossi problemi delle password consiste nel fatto che si tratta di un "segreto non tanto segreto".

Un client C dimostra la propria identità al server dimostrando che conosce un certo segreto (la password). Segreto che conosce solo C.

Il problema è che il segreto lo deve conoscere anche il server. Il server deve cioè avere una tabella con tutte le coppie username-password dei propri utenti, cioè di tutti i C.

Questo significa che se qualcuno riesce a rubare la tabella allora quel qualcuno conosce tutti i segreti e quindi riesce ad impersonare tutti gli utenti. Anche se ogni utente custodisce la propria password perfettamente. Anche se ogni utente sceglie la propria password in modo praticamente impossibile da indovinare. Gli utenti soffrono quindi un danno non per colpa loro.

Questi eventi non sono affatto rari.

http://sijmen.ruwhof.net/weblog/608-personal-data-of-dutch-telecom-providers-extremely-poorly-protected-how-i-could-access-12-million-records

http://blog.erratasec.com/2012/06/confirmed-linkedin-6mil-password-dump.html

https://nakedsecurity.sophos.com/2012/02/22/youporn-password-download/

https://nakedsecurity.sophos.com/2012/02/11/dutch-isp-kpn-hacked-credentials-and-personal-information-leaked/

http://www.theguardian.com/technology/2013/nov/07/adobe-password-leak-can-check

http://www.security-faqs.com/avast-de-hacked-and-defaced-20000-user-accounts-leaked.html

etc etc

Recentemente è sorto un sito web molto interessante. Molti hacker fanno circolare liberamente gli username e password che sono riusciti ad ottenere. Questo sito raccoglie molte di queste "divulgazioni" e permette di verificare se il proprio username è contenuto in queste raccolte. Permette anche di lasciare il proprio indirizzo email in modo da essere avvisati. Ovviamente il sito raccoglie solo username, non password.

Il sito è interessante sia per il servizio sia per i numeri coinvolti. Poco fa erano 92 siti con quasi 300 milioni di username.

https://haveibeenpwned.com/
Posta un commento