skip to main | skip to sidebar
61 commenti

Le password delle Poste Italiane [UPD 11:25]

Lavorate alle Poste? La vostra password di default è...


... la vostra data di nascita. E il nome utente è nome punto cognome.

Sicurezza, questa sconosciuta.

Se lavorate per le Poste Italiane e avete un account su Poste.it, cambiate la password, se avete ancora quella di default. Subito.

11:25. Sto ricevendo indiscrezioni che circoscriverebbero il problema ai casi nei quali l'utente chiede il reset: in tal caso (e solo in tal caso) gli verrebbe assegnata come password di default la data di nascita. Ma questo non corrisponde a quello che ho visto personalmente. Ora sono in diretta alla radio, appena ho finito approfondisco e verifico. Il consiglio di cambiare password scegliendone una decisamente meno ovvia resta comunque valido.

2011/06/25 1:25. Confermo: la persona che mi ha segnalato l'uso della data di nascita come password ha ricevuto quella password da Poste.it quando gli è stato attivato l'account, che serve per visualizzare la documentazione dei suoi stipendi. Non gli è stata data in conseguenza di un reset.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (61)
Ma e' possibile che all'alba del 2011 ci sia qualcuno che non abbia ancora capito che la generazione di password basata sull'applicazione di algoritmi non pseudo-stocastici a dati noti e' una cagata pazzesca?!
Sto castico!
Più che altro non si capisce come nel 2011 non abbiano ancora capito il semplicissimo trucchetto di assegnare password iniziali pre-scadute (e quindi da cambiare al primo accesso) e quello di far scadere le medesime ogni 60 giorni.
Dilettanti allo sbaraglio!
Non è così solo per chi lavora alle poste. É così per molti semplici utenti.
Più che altro non si capisce come nel 2011 non abbiano ancora capito il semplicissimo trucchetto di assegnare password iniziali pre-scadute (e quindi da cambiare al primo accesso) e quello di far scadere le medesime ogni 60 giorni.

Questo non aiuta molto se le password iniziali sono basate su qualche algoritmo. Ci sono molti utenti che non utilizzano spesso il loro account. Anche se la password è scaduta, nel frattempo qualcuno potrebbe già essersi impossessato dell'identità di un altro :)

Se le password iniziali sono casuali, allora va bene!
devono aver cambiato algoritmo, 5 anni fa era un'altra cosa altrettanto ridicola (le prime sei lettere del codice fiscale usatoper la registrazione)
Questo commento è stato eliminato dall'autore.
Salvo che poi quando due ragazzini gli defacciano il sito ti raccontano che stanno aggiornando i sistemi di sicurezza e che i responsabili saranno consegnati alla giustizia... del resto la cosa peggiore di quel sito, e lo dico da loro cliente, è che la password possiede una lunghezza massima di 10 caratteri, che è una cosa talmente assurda che non si puo' nemmeno commentare. La lunghezza delle password è uno dei fattori più importanti per evitare anche banali brute-force...
Questo succede perchè manca un'informatizzazione di base negli utenti che si affacciano all'uso di un pc, nonostante poi debbano lavorarci sopra.

A noi sembra un comportamento stupido, perchè certe nozioni le diamo per scontate; ma per chi non ha mai usato un pc prima di quel momento, il ragionamento "tanto nessuno può sapere la mia data di nascita o il nome del mio cane, quindi sono al sicuro" può QUASI apparire sensato, perchè il suo modo di pensare si ferma all'orticello di casa propria.

Basterebbe una lezione supplementare tra "come si accende a internet" e "come si usa google" per spiegare quanto sia facile risalire a certe password e quali sono i rischi connessi al furto d'identità.

Poi non sanno queste cose, però sanno subito trovare il tasto "inotra a tutta la rubrica" >_>
Voi non avete idea di quale battaglia giornaliera si svolga in questi carrozzoni italiani, roba tra cavallieri Jedi (sempre pochi e messi all'angolo) e sith aderenti al lato oscuro (sempre troppi e chiassosi)

Poveri noi.
Informazione, questa sconosciuta.....
come sempre si racconta quel che si vuole. Basterebbe registrarsi sul sito di poste.it per verificare di persona che state mettendo in giro una colossale balla!!!
Per Valghesia

Informazione, questa sconosciuta.....
come sempre si racconta quel che si vuole. Basterebbe registrarsi sul sito di poste.it per verificare di persona che state mettendo in giro una colossale balla!!!


Leggi l'articolo, Valghesia, anziché ascoltare i tuoi sordi rancori. Si parla degli accrediti di posta elettronica forniti a tutti i dipendenti di Poste Italiane. Non si parla qui di semplici utenti.
Basterebbe registrarsi sul sito di poste.it per verificare di persona che state mettendo in giro una colossale balla!!!

mi sono registrato anni fa, e ricordo che mi hanno mandato addirittura un telegramma con la password generata casualmente quando ho fatto la registrazione... :)

questo post in effetti non si capisce a che cosa si riferisca... forse a qualche procedura interna ad uso dei dipendenti? servono maggiori dettagli!
Proviamo a seguire questo link
http://www.tecnicocavour-vc.it/MONTANO_ESERCIZI.htm
poi se ne riparla
Ma questa è una cosa gravissima !!!
Grande Gluse!!!
Per conto mio un lettore potrebbe anche capire male il contenuto di un articolo, vuoi perché è di fretta, vuoi perché è distratto da mille altre faccende che sta portando avanti simultaneamente sul suo pc. Ma nel momento in cui si prende in mano la tastiera e si comincia a rispondere con un commento SCRITTO, lì non ci sono scuse, l'attenzione deve essere ben desta e quindi una rilettura dell'articolo fatta in maniera attenta s'impone (non stiamo parlando al telefono con un solo interlocutore ...).

Buona giornata
Per Eretico

Ma questa è una cosa gravissima !!!

Mah, dipende. Se un dipendente delle Poste Italiane riceve d'ufficio un'e-mail col suo nome e cognome che non userà mai, perché ne ha già una ed è soddisfatto di quella, quell'indirizzo e-mail rimarrà lettera morta. Gli hacker violerebbero eventualmente un contenitore vuoto.

A meno che Poste Italiane pretenda che per ricevere comunicazioni ufficiali venga usata solo quella e-mail, e non altre, e magari ci metta pure l'estratto conto mensile. In quel caso, sì, verrebbero letti dati sensibili.
Da persona che ha a che fare giornalmente con assistenza ad utenti di servizi mail e simili, posso assicurare che non è una cosa così incredibile. Anzi, quando normalmente chiedo all'utente se ha preferenze per la password della sua casella di posta le prime 3 password che mi propone (prontamente cestinate dal sottoscritto) sono: data di nascita, nome proprio con anno di nascita, nome del proprio partner/animale domestico/luogo di lavoro. Non solo: quando gli comunico una password generata in modo randomico puntualmente la risposta tipica è "E' matto? Come faccio a ricordarmi una roba del genere?". Sono pronto a scommettere che il 50% degli utenti comuni che usano password complicate perché obbligati o perché consigliati da un informatico poi se le scrivono su un post-it attaccato allo schermo del pc. :-)
Basterebbe registrarsi sul sito di poste.it per verificare di persona che state mettendo in giro una colossale balla!!!

Mi riferisco alle registrazioni dei dipendenti, non a quelle degli utenti comuni.
A meno che Poste Italiane pretenda che per ricevere comunicazioni ufficiali venga usata solo quella e-mail, e non altre, e magari ci metta pure l'estratto conto mensile.

Esattamente. In particolare i cedolini dello stipendio.
@Accademia dei pedanti ♂
A parte che si parla di account e non di e-mail e comunque anche se fosse una e-mail, il contenitore vuoto farebbe molto comodo per un eventuale attacco di social engineering che sfrutterebbe un'indirizzo e-mail riconosciuto come attendibile dall'azienda e, tramite questo, ottenere informazioni anche importanti.

Figuriamoci un account.
[quote-"Federico"-"http://attivissimo.blogspot.com/2011/06/le-password-delle-poste-italiane.html#c6007933032246183864"]
questo post in effetti non si capisce a che cosa si riferisca... forse a qualche procedura interna ad uso dei dipendenti? servono maggiori dettagli!
[/quote]

Quale parte di "Se lavorate per le Poste Italiane e avete un account su Poste.it", non ti è chiara? :D
E sti castici però! o_O
@ gluse:

Grande!
Per Eretico

A parte che si parla di account e non di e-mail e comunque anche se fosse una e-mail, il contenitore vuoto farebbe molto comodo per un eventuale attacco di social engineering che sfrutterebbe un'indirizzo e-mail riconosciuto come attendibile dall'azienda e, tramite questo, ottenere informazioni anche importanti.

Non è particolarmente grave nemmeno così.
Esistono metodi, usati abbastanza spesso, che permettono di far comparire come mittente una e-mail esistente, il cui intestatario è del tutto ignaro e non si è fatto fregare la password.
Un account rubato con questo sistema fa comodo, ma non è certo l'unico metodo utilizzabile dagli hacker.
Danilo: c'è di peggio. Dove lavoro io login e password di accesso ai computer sono cognome / nome.

Se per caso cambi la password devi comunicarla a chi si occupa di assegnare i lavori, e in tempo zero tutti i tuoi colleghi la sanno perchè "magari devo prendere delle cose dalla tua macchina quando non ci sei".

Per le password della posta elettronica ci sono le solite regole (caratteri speciali, numeri, maiuscolo/minuscolo) ocn l'obbligo di cambiarla ogni tre mesi ma sono assolutamente certo che le password siano tutte cose tipo P@sswoRd_$mese

E ovviamente scritte su post-it nei cassetti.
[quote-"Danilo Salvadori"-"http://attivissimo.blogspot.com/2011/06/le-password-delle-poste-italiane.html#c3100249871835094168"]quando gli comunico una password generata in modo randomico puntualmente la risposta tipica è "E' matto? Come faccio a ricordarmi una roba del genere?".
[/quote]

È un problema di percezione. Tutti siamo consci, per abitudine o per senso comune, di cosa bisogna fare per tenere al sicuro casa propria (dare le mandate ogni volta che si esce, sostituire la serratura se si perde le chiavi e così via); quasi nessuno riesce a applicare le misure di sicurezza analoghe in campo informatico.

Bisognerebbe trovare il modo di far capire alla massa che scegliere "pluto" come password equivale a chiudere la porta di casa con un pezzo di nastro adesivo.
Se per caso cambi la password devi comunicarla a chi si occupa di assegnare i lavori, e in tempo zero tutti i tuoi colleghi la sanno perchè "magari devo prendere delle cose dalla tua macchina quando non ci sei".

@Lupo: credo che questa politica insulsa si applichi praticamente dovunque, purtroppo. Finché non si sbatte la faccia contro il muro perché l'ex dipendente installa un software di controllo remoto su tutti i server prima di andarsene usando la password del sistemista (cosa che ho visto capitare).
Ammettiamolo.
Attivissimo un po' paranormale lo è.

Pochi minuti fa una mia collega mi ha chiesto come fotocopiare e faxare le due facciate della carta di indentità su un unico foglio (la fotocopiatrice è stata cambiata da poco e non tutti hanno dimestichezza con i nuovi comandi).
Doveva mandare un fax perché aveva perso la userid e password del suo account presso le poste.
Chiedeva il reset.
Le istruzioni erano che entro 5 giorni attiveranno l'userid nome.cognome-frammentodinome e come password la data di nascita.
E' una utente, e non una dipendente delle poste.
Non è particolarmente grave nemmeno così.
Esistono metodi, usati abbastanza spesso, che permettono di far comparire come mittente una e-mail esistente, il cui intestatario è del tutto ignaro e non si è fatto fregare la password.
Un account rubato con questo sistema fa comodo, ma non è certo l'unico metodo utilizzabile dagli hacker.


Il mittente di qualsiasi mail è falsificabile, è una cosa banale e alla portata di tutti, non occorre essere esperti di informatica per farlo.
Come si può falsificare il mittente di una lettera cartacea, o di una cartolina.... basta scrivere l'indirizzo che vogliamo :)

Comunque i filtri anti spam ed altri accorgimenti hanno reso leggermente più difficile questa operazione.

Però credi che disporre di un account reale, a proprio uso e consumo, è una cosa che ad un hacker fa molto molto comodo... spesso l'account ha molto più valore del suo contenuto!
@mastrocigliegia

Come utente intendi che accede al suo conto online per visualizzare il patrimonio, fare versamenti o trasferimenti di denaro eccetera?

In Svizzera le poste usano il sistema di two-factor authentication.

L'utente possiede la sua tessera della Posta e un piccolo lettore con tastierino numerico. Quando accedi al sito della posta, ti viene chiesto di immettere il tuo numero di conto e la password. Dopo di che ti viene fornito un codice che devi immettere nel lettore dopo aver inserito la tessera. Il lettore a sua volta ti genera un codice il quale va inserito sul sito come controprova. A quel punto è certificato che l'utente è effettivamente il detentore della tessera.
Anche per i conti di Cornér Banque viene utilizzato il two-factor, ma al posto di avere il lettore ti viene spedito il codice direttamente sul cellulare.
Per la cronaca, accedendo con sola username e password non è possibile eseguire operazioni di nessun genere su un conto bancoposta. Per farlo è comunque richiesto l'inserimento di un altro codice che si genera usando una chiave numerica generata al momento, un lettore che viene fornito ai clienti delle poste ed il proprio bancomat. Quindi le operazioni bancarie sono comunque protette.
@Danilo Salvadori

Ah ok, allora è simile come da noi. Mi sembrava un tantino assurdo!
@Accademia dei pedanti ♂
Tutto quello che vuoi, ma serviglielo su un piatto d'argento mi sembra come minimo da idioti.
Tutti i dipendenti di poste italiane hanno una casella di email @posteitaliane.it, poichè ne sono stati dotati d'ufficio (chi ne era sprovvisto) nel 2010 quando l'azienda ha smesso di fornire cedolini per lo stipendio cartacei, inviandoli esclusivamente via email in una apposita sotto-sezione della casella (comunicazioni aziendali).
La username è nome.cognome spesso seguito da due numeri casuali (per via di omonimi immagino, altri infatti hanno solo nome.cognome senza numeri). La password (fornita in busta chiusa) veniva cambiata al primo accesso. Il reset, quando un collega ne ha avuto bisogno, ha comportato l'arrivo di un SMS con la password nuova (temporanea ed attiva dopo 24 ore, ma non ricordo se era la data di nascita sinceramente).
Quanto ai conti bancoposta, sono attualmente soggetti a doppia verifica da un lettore fisico di carte Xi-Sign 4000 fornito a tutti i correntisti, necessario per autorizzare le operazioni che prevedono spostamento di denaro.
Le caselle di posta @posteitaliane sono comunque soggette a costante spam mirato ai conti bancoposta, con giornaliere false comunicazioni circa presunti bosnu fedeltà da attivare cliccando il link fornito, ed il mittente che *appare* è sempre un altro utente bancoposta.
Come utente intendi che accede al suo conto online per visualizzare il patrimonio, fare versamenti o trasferimenti di denaro eccetera?

Francamente non ho chiesto dei particolari. Dopotutto, non sono fatti miei.
Ho il sospetto di no, altrimenti, con un uso frequente non avrebbe perso la psw. Però non so se fosse per scelta o per impossibilità.

Comunque la cosa sta incuriosendo anche me. Appena possibile chiederò qualche particolare in più.
Ho lavorato come consulente per una nota struttura ospedaliera italiana (MOLTO nota), e mi è capitato di vedere con i miei occhi i dati degli account degli amministratori del CED scritte su pezzi di carta incollati sotto le tastiere dei vari computer, praticamente a disposizione di chiunque.
@Accademia

Mah, dipende. Se un dipendente delle Poste Italiane riceve d'ufficio un'e-mail col suo nome e cognome che non userà mai, perché ne ha già una ed è soddisfatto di quella, quell'indirizzo e-mail rimarrà lettera morta. Gli hacker violerebbero eventualmente un contenitore vuoto.

Errore comune, quasi paragonabile a "risucchiato nello spazio".

Un account email accessibile dall'esterno non serve solamente a leggere la propria mail, ma anche per inviare mail, che esattamente cio' che serve a chi tenta di penetrare i sistemi mail.

Della vostra mail agli "hacker" generici non frega un accidente secco. Quello che fa gola sono dei mail server non blackistati in grado di spedire quanta piu' mail possibile.

Parlo per esperienza diretta, visto che ho dovuto fare piu' volte il "controllo danni" in situazioni dove e' avvenuto esattamente quello che ho descritto. La password dell'utente era facilmente indovinabile, dei malviventi l'hanno indovinata e non hanno scaricato nemmeno una delle sue mail, ma hanno iniziato a spammare.

E vi assicuro che non e' una bella cosa dover tenere a bada da remoto un mail server che ha 20.000 mail in coda.
Per Luigi Rosa

Mah, dipende. Se un dipendente delle Poste Italiane riceve d'ufficio un'e-mail col suo nome e cognome che non userà mai, perché ne ha già una ed è soddisfatto di quella, quell'indirizzo e-mail rimarrà lettera morta. Gli hacker violerebbero eventualmente un contenitore vuoto.

Errore comune, quasi paragonabile a "risucchiato nello spazio".

Un account email accessibile dall'esterno non serve solamente a leggere la propria mail, ma anche per inviare mail, che esattamente cio' che serve a chi tenta di penetrare i sistemi mail.


Questo l'ho capito.

Della vostra mail agli "hacker" generici non frega un accidente secco.

Se ci sono i dati di clienti che hanno scritto al servizio della posta, magari sì.
Paolo Attivissimo ha aggiunto che la busta paga viene inviata alla e-mail ogni mese.

Quello che fa gola sono dei mail server non blackistati in grado di spedire quanta piu' mail possibile.

Blacklistati. Anzi, inseriti nelle liste nere.
Non mi pare che si tratti di una cosa per cui strapparsi i capelli. Lo spam esiste anche con metodi diversi, purtroppo. Capirei il danno se Poste Italiane avessero una reputazione da difendere, o se i dipendenti non potessero fare a meno di quell'account. Sospetto invece che non lo usino mai, al di fuori delle comunicazioni strettamente lavorative.
Bisognerebbe ridefinire il concetto di "discussione accademica"... ;)

Comunque, il problema del post-it con la password è, da sempre, il più diffuso baco di sicurezza.
Rispolverando un vecchio adagio: il problema sta tra la tastiera e la sedia.
@accademia:

Blacklistati. Anzi, inseriti nelle liste nere.

E' un termine tecnico informatico. L'autarchia nel linguaggio informatico e' ridicolmente pedante (da uno che ha un nick come il tuo...) e porta solamente a confusioni (e un po' anche a risate a crepapelle). Chi ha avuto a che fare con l'informatica in francese sa cosa intendo.

Lo spam esiste anche con metodi diversi, purtroppo.

Quali, se non l'hackeraggio di sistemi informativi? Oppure tu pensi che quando ricevi una mail di spam da pippuzzo@hotmail.com credi davvero che un utente pippuzzo abbia fatto login su hotmail e si sia messo li' a spedire mail che ti invitano a comperare orologi contraffatti?

L'atteggiamento fatalista nei confronti dello spam, come nei confronti del malware in genere, e' una delle cause del proliferare del malware stesso.
@Luigi Rosa
Sai anche che "i migliori" virus informatici installano sul pc infetto un loro servizio smtp. E' più comodo fare così perchè, se si usa un mail server, questo finisce in breve tempo nelle blacklist, e, per uno spammer, ciò non va bene. Per un pc casalingo, invece il discorso cambia. Infatti prima di essere "beccato" e isolato manda tonnellate di spam. Se poi i pc sono migliaia....
Per quanto riguarda la sicurezza, nel mio ufficio, in qualità di "esperto informatico" (siccome so andare leggermente oltre l'uso dell'interruttore, il mio "caro" direttore mi ha insignito di tale onoreficenza aggiungendo un nulla al mio stipendio ma con la promessa che quel nulla me lo avrebbe presto raddoppiato) lo stesso problema l'ho risolto proponendo un compromesso: l'uso di parole del dizionario separate da caratteri speciali e numeri (es: fragole.-#.filetto). Non sarà il top ma è meglio di niente... spero!
io lavoro per poste italiane spa.
gli account con suffisso @posteitaliane.it sono quelli 'di servizio', solo i dipendenti lo hanno (non tutti, dipende dal ruolo in azienda) e la password iniziale(da cambiare al primo accesso) NON è la data di nascita ma una sequenza casuale di numeri e lettere, con maiuscole e minuscole, per di più, di otto caratteri. al primo accesso va sostituita e scade ogni trenta giorni; rimane l'obbligo di usare lettere e numeri, maiuscole e minuscole. molti miei colleghi usano ovviamente il nome del marito o della moglie, o dei figli, seguiti da uno o due numeri. facilissime da scoprire, per chi ne avesse interesse.
i clienti di poste italiane che si registrano sul sito www.poste.it (ad esempio per fruire di un conto corrente on line, hanno account con suffisso @poste.it e non so quale password iniziale abbiano. per i dipendenti - come me - che sono stati registrati d'ufficio, la password iniziale era la data di nascita. ovviamente, tale dato è comunicato alla prima registrazione o in caso di reset, per cui il cambio di pw è praticamente contestuale alla comunicazione di detta pw/data di nascita.
per la cronaca, la sicurezza della mia password è stata giudicata - da chi di competenza - come 'eccellente'. ovviamente no c'entra per noente mia moglie, nè i figli o il cane (che si chiama chucky, ma io lo chiamo 'gino').
per concludere: cosa c'è scritto nel commento numero 1? non si capisce una mazza…
saluti
p.s.
se le poste mi inviassero lo statino sul mio account di libero, o su quello di yahoo, sarei molto più contento: sull'account di poste.it è molto macchinoso entrare, non funziona con safari (uso quindi firefox) ed è pieno di spam!!!
per i dipendenti - come me - che sono stati registrati d'ufficio, la password iniziale era la data di nascita

Che è quello che risulta anche a me.

Io lo trovo assolutamente imprudente. È una regola sacrosanta che non si usano password del genere. Nemmeno come password temporanee.

E pensare che stamattina qualcuno delle Poste mi ha telefonato chiedendomi di rimuovere l'articolo. Gli ho chiesto di mandarmi una comunicazione ufficiale, ma ha detto che i tempi burocratici non lo permettevano.

Le Poste sono insomma prontissime a comunicare in caso di difficoltà. Dormiamo tranquilli.
certo che è imprudente.
ma le poste italiane, nonostante la facciata di efficienza e rinnovamento, sono rimaste il carrozzone clientelare che erano 50 o 60 anni fa. e questo lo dimostra la loro risposta. io dormirò tranquillo (più o meno…) quando sarò in pensione, spero tra sei o sette anni… …se i nostri 'manager', nel frattempo, non si saranno mangiato tutto.
[quote-"Paolo Attivissimo"-"http://attivissimo.blogspot.com/2011/06/le-password-delle-poste-italiane.html#c3821812906551912328"]
E pensare che stamattina qualcuno delle Poste mi ha telefonato chiedendomi di rimuovere l'articolo. [/quote]

Posso immaginare la motivazione: "Lei ha rivelato un segreto che custodivamo da secoli e il cui svelamento porterà seri danni alla nostra istituzione".
Un po' come quelli che si indignano quando alle Iene viene spiegato come fanno i ladri a scassinare una serratura, pensando che i veri criminali queste cose non le sappiano già.
"Gli ho chiesto di mandarmi una comunicazione ufficiale, ma ha detto che i tempi burocratici non lo permettevano."

Togliere l'articolo sarebbe, dal punto di vista della sicurezza, ancora peggio mentre a loro basta cambiare sistema (ci vuole pochissimo) anche perché non occorre chissà che sistema per generare un po' di pseudo-casualità.

Ovviamente poi quello che deve cambiare la password metterà il nome del cane tipo Fuffi300 e buona notte (o Banana8) ma quelli sono affari suoi. Se fosse comunicata a me una password del genere mi rifiuterei di usare il servizio.

Già con tutti i sistemi di protezione il pericolo è sempre presente, figuriamoci con questi sistemi.
Per Replicante Cattivo

Un po' come quelli che si indignano quando alle Iene viene spiegato come fanno i ladri a scassinare una serratura, pensando che i veri criminali queste cose non le sappiano già.

Particolare gustoso. :-D
Ci sono davvero queste persone indignate, o ci hai ricamato un po' su?

Ricordo invece una lettera indignata, che credo sia ancora nell'archivio delle rubrica di Aldo Grasso, sul Corriere della Sera online. Un lettore era furente con C.S.I., perché aveva rivelato come si possano facilmente distruggere le tracce di DNA lasciate sulla scena del delitto con non ricordo quale liquido... quando l'ho letta, ho riso per mezz'ora.
@Accademia dei pedanti
Ho letto anch'io di lamentele di questo tipo. Ad esempio, ho letto da qualche parte che in Inghilterra era stato commesso un reato (forse una rapina, non ricordo) e per confondere le tracce, l'auto utilizzata per compierlo era stata cosparsa di tracce false, tipo cicche di sigarette e roba del genere. Alcuni investigatori hanno dichiarato che da quando davano in TV questi telefilm, sempre più spesso si sono trovati davanti a cose del genere.
[quote-"Accademia dei pedanti ♂"-"http://attivissimo.blogspot.com/2011/06/le-password-delle-poste-italiane.html#c5066118064982767214"]
Particolare gustoso. :-D
Ci sono davvero queste persone indignate, o ci hai ricamato un po' su?
[/quote]

Non so se sia mai successo, ma in un interessantissimo servizio sui metodi utilizzati dai topi d'appartamento (spiegati da un ex-ladro con tanto di dimostrazione) la Iena ha puntualizzato: "Qualcuno ora potrebbe pensare che noi stiamo insegnando alla gente come aprirvi le porte di casa...in realtà i ladri, queste cose, le sanno già".

Mi ricordo di un servizio in cui Giulio Golia spiegava (eliminando un paio di passaggi fondamentali) quanto fosse facile craccare un account di posta elettronica registrato su un particolare sito, di cui comunuque non veniva fatto il nome. Mi pare che anche in quel caso venne spiegato che chi voleva fregarvi l'account l'aveva già fatto anche senza vedere il servizio.

[quote]Ricordo invece una lettera indignata, che credo sia ancora nell'archivio delle rubrica di Aldo Grasso, sul Corriere della Sera online. Un lettore era furente con C.S.I., perché aveva rivelato come si possano facilmente distruggere le tracce di DNA lasciate sulla scena del delitto con non ricordo quale liquido... quando l'ho letta, ho riso per mezz'ora.[/quote]

In realtà io so che CSI è stato molto criticato perchè, almeno nei primi tempi ha svelato molti trucchi del mestiere. Ad esempio, quando ancora "esame del DNA" non era un'espressione comune, tanti delinquenti venivano beccati grazie ai mozziconi di sigarette o cartacce che gettavano per terra. Probabilmente è per questo che, negli ultimi anni, vengono presentate tecnologie e metodi sempre più improbabili e inverosimili (come i software audio che isolano i rumori di fondo)
Senza contare che esiste l' effetto CSI che è perfettamente riscontrabile anche in Italia. Basta vedere che oggi si fa becero umorismo sui RIS di Parma perchè sono colpevoli di non risolvere mai un caso o perchè ci mettono addirittura settimane per dare dei risultati degli esami. Questo perchè i telefilm ci hanno abituato a scienziati che, non solo risolvono un omicidio in pochi giorni, ma possono anche accusare formalmente o addirittura arrestare gli indagati.
E pensare che stamattina qualcuno delle Poste mi ha telefonato chiedendomi di rimuovere l'articolo.

Che merdacce :)
nonostante la facciata di efficienza e rinnovamento

Rinnovamento?? EFFICIENZA????
A proposito di dati causali e algoritmi.
Ho un conto corrente su una banca straniera.
Per accedervi via web ho un certificato elettronico: per generare il certificato servivano dei dati casuali che dovevo generare sul computer. Ebbene, invece di usare un algoritmo (che una volta scoperto è inutile) l'applicazione che crea il certificato ti chiede di muovere il mouse a caso al'interno di una casella.
A me è sembrata una soluzione molto intelligente.
Per Replicante Cattivo

In realtà io so che CSI è stato molto criticato perchè, almeno nei primi tempi ha svelato molti trucchi del mestiere. Ad esempio, quando ancora "esame del DNA" non era un'espressione comune, tanti delinquenti venivano beccati grazie ai mozziconi di sigarette o cartacce che gettavano per terra.

È possibile, ma io continuo a essere del parere che questi accorgimenti i professionisti li conoscessero già, esattamente come i metodi per entrare in un appartamento. Del resto già prima dell'esistenza di CSI (ottobre 2000) i giornalisti assistevano ai processi e parlavano di prove raccolte. Chi voleva informarsi, leggeva le cronache giudiziarie.
Scopro che già quattro anni prima (febbraio 1996) esisteva una serie britannica, Silent witness, basata sulla stessa struttura. Venne criticata anche quella per dare una mano ai malfattori?

Senza contare che esiste l' effetto CSI che è perfettamente riscontrabile anche in Italia.

Chiamiamolo effetto rimbambimento da tv, è più corretto. Come rivolgersi a un giudice italiano e chiamarlo "vostro onore". Oppure chiedere una cauzione per evitare il carcere.
Per Luigi Rosa

Blacklistati. Anzi, inseriti nelle liste nere.

E' un termine tecnico informatico.


Non esiste, che io sappia, un dizionario della terminologia tecnica informatica italiana. Esiste un gergo esclusivo. Ma su questo spazio scrivi per tutti, non solo per gli addetti ai lavori. :-)

L'autarchia nel linguaggio informatico e' ridicolmente pedante (da uno che ha un nick come il tuo...) e porta solamente a confusioni (e un po' anche a risate a crepapelle).

Ridi pure, non è proibito.
La lingua italiana non è un'opinione. Non ancora, almeno. E blacklistato non è italiano, non è inglese (si dice blacklisted), non è niente. Una schifezza.

Lo spam esiste anche con metodi diversi, purtroppo.

Quali, se non l'hackeraggio di sistemi informativi?


Uno di cui sono vittima su un canale youtube che gestisco: non passa mese che qualcuno, con un nome utente diverso, mi invii sempre lo stesso messaggio per aumentare fraudolentemente gli accessi. E da oltre un anno, non da pochi mesi.
Un altro sistema, che ha dato vita al termine scherzoso bufalovirus mittensis, è sostituire il mittente vero con un altro, presumibilmente conosciuto al destinatario, o comunque familiare.
Quello che descrivi tu è uno dei metodi che gli spammer adottano. Magari si potesse fermare lo spam mondiale eradicando questa leggerezza dei gestori di Poste Italiane...

L'atteggiamento fatalista nei confronti dello spam, come nei confronti del malware in genere, e' una delle cause del proliferare del malware stesso.

Non sono fatalista. Conosco il mondo.
Finché non sarà adottata a livello internazionale una patente del navigatore internet obbligatoria, analoga a quella per condurre veicoli su strada, gli smanettoni sapranno sempre quali trucchi di ingegneria sociale adottare per appropriarsi di account, di e-mail, di conti correnti bancari altrui et similia, da usare contro persone terze.
Ripeto, quello che hai biasimato tu è uno dei tanti metodi, e probabilmente nemmeno il più pericoloso. Ed è per quello che non mi straccio le vesti.
[quote-"il Lupo della Luna"-"http://attivissimo.blogspot.com/2011/06/le-password-delle-poste-italiane.html#c1041905443191561544"]
Danilo: c'è di peggio. Dove lavoro io login e password di accesso ai computer sono cognome / nome.

Se per caso cambi la password devi comunicarla a chi si occupa di assegnare i lavori, e in tempo zero tutti i tuoi colleghi la sanno perchè "magari devo prendere delle cose dalla tua macchina quando non ci sei".

Per le password della posta elettronica ci sono le solite regole (caratteri speciali, numeri, maiuscolo/minuscolo) ocn l'obbligo di cambiarla ogni tre mesi ma sono assolutamente certo che le password siano tutte cose tipo P@sswoRd_$mese

E ovviamente scritte su post-it nei cassetti.
[/quote]
Occhio che rischi il posto...:
http://www.ictlex.net/?p=685
[quote-"Giuseppe"-"http://attivissimo.blogspot.com/2011/06/le-password-delle-poste-italiane.html#c5947834935219603722"]
@Luigi Rosa
Sai anche che "i migliori" virus informatici installano sul pc infetto un loro servizio smtp. E' più comodo fare così perchè, se si usa un mail server, questo finisce in breve tempo nelle blacklist, e, per uno spammer, ciò non va bene. Per un pc casalingo, invece il discorso cambia. Infatti prima di essere "beccato" e isolato manda tonnellate di spam. Se poi i pc sono migliaia....
Per quanto riguarda la sicurezza, nel mio ufficio, in qualità di "esperto informatico" (siccome so andare leggermente oltre l'uso dell'interruttore, il mio "caro" direttore mi ha insignito di tale onoreficenza aggiungendo un nulla al mio stipendio ma con la promessa che quel nulla me lo avrebbe presto raddoppiato) lo stesso problema l'ho risolto proponendo un compromesso: l'uso di parole del dizionario separate da caratteri speciali e numeri (es: fragole.-#.filetto). Non sarà il top ma è meglio di niente... spero!
[/quote]
Questo è il motivo per cui molti gestori (leggi Libero o Fastweb) hanno obbligato lgi utenti ad usare l'autenticazione SMTP. Se non passi username e password, non puoi inviare posta.
Bè se proprio vogliamo chiarire la questione tutto nasce da quando poste italiane ha deciso in maniera unilaterale di abolire la busta paga cartacea dopo alcuni mesi di di emissione sia cartacea che telematica si è passati alla sola telematica
E' stato anche distribuito anche un opuscoletto insieme alle ultime buste paga cartacee dove si spiegava per chi non era in possesso di un account sul sito di poste come ottenerne uno rapidamente. il tutto si riassumeva in tre possibilità hai l'account ti colleghi come al solito se non ce l'hai chiamata al call center o inserimento di alcuni dati su sito della intranet aziendale
Visto che pochissimi si sono presi la briga di leggerlo la maggior parte si è attaccata al call center che di come account genera nome punto cognome spesso seguito da un numero comunque sia l'opuscolo che il call center si raccomandavano di cambiare al primo accesso la password
Ovviamente lavoro in poste italiane e sono stato di supporto a molti colleghi che hanno avuto difficoltà ma che non hanno letto le istruzioni del caso
Claudio
Anche io sono un dipendente di Poste e sinceramente mi sarei aspettato un pò più attenzione per questo articolo. (Paolino!!!! ^__^)

La prima attivazione della casella mail appena assunto aveva una Password che mi è stata comunicata dal tecnico al momento della consegna del PC e ovviamente al primo log in tale password andava cambiata.
In caso di problemi con l'account è necessario chiamare il call center per chiedere il ripristino, che viene effettuato solo dopo aver inviato un fax con nome, cognome, matricola e firma (tua o del responsabile per gli impeigati).
Solo dopo l'invio del fax si riceve una telefonata del tecnico che al telefono (cellulare aziendale o il fisso) ti fa fare il log in con un'altra password (mi sembra la propria userid non la data di nascita).
Ovviamente il sistema richiede immediatamente il cambio di password per procedere.

Per quanto riguarda l'accesso a Poste.it per la Busta paga (finalmente solo elettronica!!!!) è come dice il collega Claudio.

Huma
sinceramente mi sarei aspettato un pò più attenzione per questo articolo. (Paolino!!!! ^__^)

Huma, ho visto personalmente la situazione e ne ho verificato i dettagli. Non ho capito quali altre attenzioni avrei dovuto avere. O forse ho frainteso le tue parole.