Passa ai contenuti principali

Hanno rubato la mia password (e tre...)

(...almeno che io sappia)

Anche io sono uno dei 43.000.000 (quarantatre milioni) di utenti le cui credenziali Weebly sono state trafugate.

https://techcrunch.com/2016/10/20/weebly-hacked-43-million-credentials-stolen/

E' la terza volta che mi succede (LinkedIn, Dropbox). Non accade solo a me (vedi questo post).

Ciò spiega perché usare la stessa password per più siti è una follia. Se io usassi la stessa password su tutti i siti, allora l'attaccante che è riuscito a trafugare la mia password su uno di quei siti riuscirebbe ad impersonarmi in ogni altro sito. Da notare che le password trafugate sono quasi sempre messe in vendita a pochissimo prezzo, quindi sono note a potenzialmente chiunque.

Ciò spiega anche perché è necessario usare password lunghe e che non consistono di parole (vedi anche più sotto). Non perché gli attaccanti provano a inserire la password in un form esposto su web (e quindi riescono a provare circa 10 password al minuto). Il motivo è più complicato.

Le password trafugate in questi eventi non sono utilizzabili immediatamente perché sono "crittate" (non è proprio così, è solo per rendere l'idea). Possono essere utilizzate dall'attaccante solo se riesce a "decrittarle" . A tale scopo l'attaccante usa degli elenchi giganteschi contenenti tutte le possibili password: le "critta" una dopo l'altra fino a quando non ne trova una che, in forma "crittata", coincide con una di quelle che ha trafugato---bingo. L'attaccante riesce a provare milioni e milioni di password ogni secondo, perché opera su un file in suo possesso. Se uno ha usato una password di pochi caratteri, o con parole comuni, o con varianti prevedibili di parole comuni (ad esempio con lettera 'o' sostituita dalla cifra 0, o con appesa qualche cifra all'inizio o alla fine) è inevitabile che la password sia individuata.

Come scegliere una password in grado di resistere ad attacchi come questo? Non esiste una risposta univoca, anche perché dipende dallo sforzo che l'utente può e vuole impiegare nel mantenere le proprie password. Seguono suggerimenti.

L'approccio di gran lunga migliore è l'uso di un programma password manager (io uso Lastpass).

Se uno non può o non vuole usare un password manager, oppure deve scegliere password da usare anche senza password manager:

  1. Più lunga di 8 caratteri.
  2. Facile da ricordare (quindi niente caratteri speciali o cifre in posizioni strane).
  3. Presumibilmente non indovinabile da una persona che ci conosce (quindi niente figli, compagni, date di nascita, scuole, squadre di calcio e altro).
  4. Non legata a concetti legati al luogo di lavoro o ad immagini gradevoli (vari studi hanno mostrato che sono password scelte frequentemente, quindi gli attaccanti provano parole di questo genere più spesso).

Scegliere due o tre sostantivi del tutto scorrelati tra loro ed incollati insieme è spesso una ottima scelta. Ad esempio "polentapistone" oppure "corallocontrattoago".

Ultimo suggerimento: le password non devono essere modificate di frequente (a meno che uno non sia un amministratore di sistema; in quel caso la password deve essere modificata periodicamente). Il motivo è che se uno deve cambiare la propria password, inevitabilmente tende a convergere verso password facili da indovinare e/o password già usate in altri siti.

Commenti

Popular Posts

"Ingegneria deve essere difficile"

Il ritaglio di giornale qui sotto ricorda uno degli eventi più non-trovo-un-aggettivo-appropriato del mio periodo di studente di Ingegneria a Pisa. Ricordo che una mattina iniziò a spargersi la voce "hanno murato la porta del dipartimento!".  Andammo subito a vedere ed arrivammo un pò prima dei giornalisti che scattarono questa foto. La porta era murata, intonacata, pitturata di bianco e sovrastata da una scritta "INGEGNERIA DEVE ESSERE DIFFICILE". Le "E" di "INGEGNERIA" erano scritte al contrario perché era una sorta di "marchio di fabbrica" della facoltà di Ingegneria di Pisa. L'aula più grande, quella in cui pressoché tutti gli studenti seguivano i corsi dei primi anni, aveva infatti alcuni bellissimi "affreschi scherzosi" che furono fatti nel corso delle proteste studentesche di qualche anno prima ed in cui la parola "Ingegneria" era appuntoi scritta in quel modo. Si era anche già sparsa la voce di cosa era

Il patch che non era un patch

Quanto segue è un patetico quanto inutile tentativo di distrarmi e non pensare alla pessima prestazione calcistica di ieri sera, decisamente non all'altezza dell'evento e dei nostri gloriosi colori. Nella lezione di "Computer Networks and Principles of Cybersecurity" di ieri, mi è stata posta la domanda " E' possibile che un patch introduca nuove vulnerabilità? ". La mia risposta è stata affermativa, ho evidenziato che un patch è un software, quindi può introdurre errori, vulnerabilità, può fare riemergere errori o vulnerabilità presenti e risolti in versioni precedenti, può correggere la specifica vulnerabilità presumibilmente risolta da quel patch solo in parte. Non è frequente, ma può accadere ed è quindi una possibilità da tenere presente. Uno dei numerosi motivi che rendono così complessa la gestione delle vulnerabilità è anche questo. Stamattina ho letto un esempio molto interessante di quanto abbiamo detto. Pochissime settimane fa Microsoft ha ril

Perché studiare Analisi Matematica???

Un mio caro amico mi ha scritto: ...sono con mia figlia che studia Analisi 1...A cosa serve, al giorno d'oggi, studiare Analisi (a parte sfoltire i ranghi degli aspiranti ingegneri)? Riporto la mia risposta di seguito, forse può "motivare" qualche altro studente. ... Per un ingegnere la matematica è fondamentale perché è un linguaggio ; ed è il linguaggio essenziale per trattare gli argomenti che dovrà affrontare come ingegnere; non sono importanti i contenuti specifici; è importante, anzi fondamentale, che riesca a capirli, ricostruirli etc. ad esempio, chi deve usare l'inglese, lo usa perché in un modo o nell'altro lo conosce; nessuno di noi ha usato esattamente le frasi o i dialoghi o le regole che ha incontrato negli esercizi di inglese o di tedesco; nella matematica è lo stesso; non sono importanti i limiti, le serie, i teoremi di cauchy o che so io; ma se uno non è in grado di capire quel linguaggio allora non sarà in grado di capire davvero quas

40 anni di Internet: Cosa non ha funzionato e perché

Leggo molti documenti tecnico-scientifici per lavoro e, in parte, per "piacere". Molti sono interessanti, alcuni molto interessanti. E' raro che trovi un documento che mi appare illuminante. Questo indicato sotto è uno dei pochi documenti in questa categoria. Sembra banale, in quanto è molto discorsivo e parla di molte cose note: IP, DNS, NAT.... In realtà è profondissimo. Una miniera di riflessioni profonde, sintetiche, focalizzate ed, appunto, illuminanti. A mio parere imperdibile per chiunque abbia un qualche interesse negli aspetti tecnici di Internet. Chi non ha la pazienza di leggerlo per intero, legga almeno gli ultimi due paragrafi. Failed Expectations (l'autore, Geoff Houston , fa parte della Internet Hall of Fame )

ChatGPT: supererebbe il mio esame di Reti di Calcolatori?

Molto probabilmente chi ha a che fare con i corsi di laurea scientifici e tecnologici, come me, ha preso atto della notizia che ChatGPT ha superato esami universitari in giurisprudenza ed economia con un pò, diciamo così, di sufficienza. Pensando "da noi non potrebbe mai succedere; figuriamoci". E' quello che ho pensato io. Poi però ho fatto a ChatGPT qualche domanda di Reti di Calcolatori. Ho quasi cambiato idea. "Quasi" perché nello scritto di Reti di Calcolatori faccio sempre esercizi. Pur non avendoli sottoposti a ChatGPT sono certo che questi esercizi non li sa risolvere. Ma alle "domande tipiche da orale" ha fornito risposte che mi hanno davvero stupefatto. Riporto qui sotto solo un esempio di "dialogo", relativo a validazione di firma digitale e certificati auto-firmati. Risposte sostanzialmente corrette e pertinenti, molto più sintetiche e focalizzate di quelle che ricevo normalmente. E più rapide. Alla fine ha riconosciuto di esser