- Messaggi
- 16,705
- Reazioni
- 8,289
- Punteggio
- 223
Anche io lo trovo assurdo, ma ho fatto la prova io stesso in un noto sito italiano di confronto e ricerca assicurazioni
Ultima modifica da un moderatore:
Pubblicità
UFFICIALE AVVISO IMPORTANTE: Account Rubati o compromessi
- Autore discussione sp3ctrum
- Data d'inizio
Pubblicità
Anche io lo trovo assurdo, ma ho fatto la prova io stesso in un noto sito italiano di confronto e ricerca assicurazioni
Concordo, tuttavia non sottovaluterei il fatto che la voglia spesso (non sempre) nasce dal bisogno, che a sua volta nasce dalla consapevolezza (suddetta awareness, appunto). Se so che usare un account comporta dei rischi per i miei dati, allora è probabile che senta il bisogno di tutelarmi adeguatamente e quindi mi viene voglia di cercare modi per proteggere il mio account. Come farlo? Se non so che usare la stessa password su tutti i siti o una password debole è rischioso, adotterò tali scelte e non sentirò il bisogno né la voglia di fare nulla di più. Molte persone ti diranno, in onestà, che usare la stessa password per molti siti è un modo "furbo" per ricordarsela senza segnarla, "così nessuno me la ruba"; oppure che una password debole non è tale perché loro la usano da anni e non hanno mai avuto problemi. C'è gente che ragiona così e da cui non ci si può aspettare voglia di informarsi, perché le informazioni (sbagliate) che già hanno gli risultano valide e sufficienti.
Poi, certo, ci sono quelli che sanno ma, per pigrizia o superficialità, fanno finta di non sapere; oppure quelli che registrano un account su un forum, accedono, postano un messaggio, si riconnettono decine di volte per vedere se hanno ricevuto una risposta mentre, in un decimo di tutto questo tempo impiegato, avrebbero trovato l'informazione che cercano, in italiano e da fonti ufficiali, fra i primi risultati di Google. Il mondo umano è da sempre vario, ma, a differenza del recente passato, adesso (quasi) tutti sono utenti informatici, anche chi non è "pronto" ad esserlo e magari pensa che il browser sia il posto migliore dove salvare le password.
Inoltre va considerato che anche le informazioni migliori cambiano: utilizzare password adeguatamente complesse e lunghe rende sufficiente cambiarle una volta l'anno o anche oltre (v. NIST) e non "molto spesso" come solitamente si dice; poiché una password adeguatamente complessa e, soprattutto, lunga (e ben archiviata con "sale e pepe") richiede secoli per essere decifrata (quindi tutti i siti che consentono password di massimo 12 o 16 caratteri, dovrebbero raddoppiarne la lunghezza, nella certezza che non sarà qualche GB in più del database delle password a farli fallire, mentre per la sicurezza degli utenti sarebbe un bel passo avanti).
- Messaggi
- 2,347
- Reazioni
- 1,934
- Punteggio
- 134
Questo è già uno step successivo. Nel senso, non credo che la maggior parte della gente che usa un PC da utente che normalmente usa solo smartphone, abbia davvero contezza nemmeno di cosa sia la coppia "password e email" che usa per accedere in un sito / forum etc. C'è proprio dell'ignoranza di fondo.
Quando ti scatta il timore di essere a rischio è anche quando sei consapevole che un rischio c'è; per esserlo ti sarai informato su qualcosa. A me sembra manchi proprio questo step iniziale (e lo vedo anche tra i miei famigliari, che non hanno mai usato un PC, ma che usano smartphone).
Comunque non è forse il topic corretto per farlo notare, ma stiamo parlando di password di 15 caratteri, con maiuscole numeri e simboli, e "addirittura" la 2FA quando molte banche hanno password ridicole... non voglio fare nomi, ma ci sono banche che ti fanno accedere con una pwd di 8 caratteri, e quando ho chiesto spiegazioni mi è stato risposto di stare tranquillo perchè i loro sistemi monitorano tutto in tempo reale...
Il colmo è che mi sono sentito dare io questa risposta, che lavoro in campo informatico, e trovo assurda nel 2024 una password di 8 caratteri (per altro il fatto che possa essere solo di 8 e non oltre, mi crea anche forti dubbio sull'implementazione, ma questo è un discorso diverso).
Il colmo è che mi sono sentito dare io questa risposta, che lavoro in campo informatico, e trovo assurda nel 2024 una password di 8 caratteri (per altro il fatto che possa essere solo di 8 e non oltre, mi crea anche forti dubbio sull'implementazione, ma questo è un discorso diverso).
Shadow93
Utente Attivo
- Messaggi
- 698
- Reazioni
- 220
- Punteggio
- 77
senza contare che molte di loro limitano poi quei 8 caratteri a solo numeri
e la genteche fà? usa ad esempio date di nascita loro o di parenti, molto banali, soprattutto visto che vengono riechiesti da un botto di siti o condivise su social con post di auguri, o nelle info, e percio facilmente trovabili online...
Ultima modifica:
- Messaggi
- 16,705
- Reazioni
- 8,289
- Punteggio
- 223
Questa regola non vale più.
I metodi attuali di attacco informatico ad un database non si tratta di decifrare una password provandola milioni di volte.
Il problema è che ormai si buca un database, si prende il file contente le password e si rivende sul dark web.
Puoi mettere anche una password di 200 caratteri, te la rubano lo stesso se chi la ospita non è protetto a sufficienza, quindi è per questo che consiglio la due fattori (non è infallibile, ma per superarlo serve più interazione con l'utente ignaro) perchè in questo modo, anche con pass rubata, non possono accedere al tuo account.
Con password «ben archiviata con "sale e pepe"» mi riferivo esattamente a chi la deve custodire e, come ricordato, ci sono norme che riguardano l'archiviazione aziendale delle password. Un elenco di hash di password magari può avere un suo mercato, ma comunque se la password è di più di 20 caratteri (ben scelti, poi con salt e pepper annessi) garantisce un'ottima tenuta ai vari attacchi (certo, se invece è stata dolosamente archiviata in chiaro, il problema della lunghezza non si pone). Fermo restando che se si ha un account su un sito vittima di data breach è sempre bene cambiarla a prescindere, così come la 2FA o la passkey sono sicuramente soluzioni più consigliabili della sola password forte.
- Messaggi
- 8,559
- Reazioni
- 5,910
- Punteggio
- 193
Banniamo gli account per evitare che spammino ma se il legittimo proprietario lo richiede ci operiamo per ridarglielo.
- Messaggi
- 16,705
- Reazioni
- 8,289
- Punteggio
- 223
Ci sono anche utenti registrati nel 2023 che sono stati "hackerati"
- Messaggi
- 2,537
- Reazioni
- 2,115
- Punteggio
- 133
password cambiata e F2A attivato.
- Messaggi
- 5,041
- Reazioni
- 2,222
- Punteggio
- 148
Io ho cambiato anche l’indirizzo e-mail
E il 21 cambierò anche nick
E il 21 cambierò anche nick
yardrat
Utente Èlite
- Messaggi
- 5,286
- Reazioni
- 2,165
- Punteggio
- 158
mai uno che aprisse un conto in banca, eh?
Guerriero con mazza
Utente Attivo
- Messaggi
- 551
- Reazioni
- 660
- Punteggio
- 66
Ma una cosa non ho capito, ci sono stati degli account hackerati anche quì su tomshw.it, motivo?
DB password in chiaro?
DB password in chiaro?
- Messaggi
- 25,079
- Reazioni
- 12,686
- Punteggio
- 254
motivo: idiozia della gente che usa la stessa password su tutti i siti/servizi
qui le password sono cifrate ma non i tutti i siti è così: se Guerriero con mazza si registra su toms, pippo, pluto, paperino e isolachenonc'è, basta che uno solo di questi non abbia la password cifrata ed ecco che se Guerriero con mazza ha usato la stessa password per 1000 siti si titrova con tutti i propri account compromessi
ecco perché bisogna usare password diverse (e sicure) per ogni sito/servizio e possibilmente con autenticazione a 2 fattori
Pubblicità