skip to main | skip to sidebar
25 commenti

Motivi per non usare la stessa password dappertutto, puntata numero 802701: MacKeeper

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Sarà capitato anche a voi, quando vi chiedono consigli di sicurezza informatica e proponete di usare password differenti almeno per ciascuno dei siti o servizi più importanti, di ricevere in cambio quello sguardo di compatimento che dice “tu sei troppo paranoico”.

Non è questione di paranoia: è che so come lavora mediamente la gente. C'è un solo termine tecnico per descrivere con precisione il modo in cui la maggior parte delle aziende gestisce la sicurezza, e quel termine tecnico è “col culo”. Scusate la schiettezza, ma quando ci vuole, ci vuole.

Volete un esempio pratico? MacKeeper. Quell’applicazione per OS X particolarmente rompiscatole la cui pubblicità imperversa ovunque e che promette di migliorare le prestazioni e la sicurezza dei Mac. È praticamente inutile se non dannosa, ma lasciamo perdere. Quello che conta, qui, è il modo in cui l’azienda titolare di MacKeeper, la Kromtech, gestiva i dati dei suoi tredici milioni di clienti.

Li metteva in un database in chiaro, accessibile via Internet.

Sì, avete letto bene. Ripeto: Kromtech teneva i dati dei clienti di MacKeeper in un database in chiaro, accessibile via Internet. Comprese le password. Tutti i dettagli deprimenti sono su The Inquirer.

Per cui se avete usato per MacKeeper una password che avete usato altrove, quella password va cambiata. Possono averla letta e copiata cani e porci. Più in generale, diversificate le vostre password, perché questo episodio, l’ennesimo di una lunga serie, conferma che le aziende custodiscono i vostri dati con la stessa cura che un sedicenne dedica ai preservativi dopo l’uso. Non dite che non vi ho avvisato.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (25)
E' curioso, questi gestiscono le password peggio dei più scalcagnati forum.
"Per cui se avete usato per MacKeeper una password che avete usato altrove, quella password va cambiata:"

Perche' mi vedo il Fanboi Quadratico Medio che cambia la password SU MacKeeper?
Si potrebbe dire, ancora una volta, MacKeccavolo!!!
Io uso un algoritmo per cui le mie password sono tutte diverse, me ne ricordo solo 4-5 ma posso ricostruirle tutte. La domanda è: se volessi cambiare l'algoritmo (che uso da quasi 15 anni) sarebbe un casino cambiarle tutte! Considera che alcuni siti nemmeno so di essere iscritto e, quando ci torno, scopro di esserlo perchè mi avvisano sulla mail... a quel punto la password la trovo...
Tenere due algoritmi finchè non ho cambiato tutto?
La cosa più sconvolgente è che 13 milioni di persone si siano affidate, addirittura pagandolo, a quel software. Solo per la pubblicità rompicoglioni sarebbe da evitare come la peste.
https://discussions.apple.com/docs/DOC-3036
http://www.imore.com/avoid-mackeeper
802.701? Questo numero non mi è nuovo. Sei andato a controllare se, nel futuro, abbiano imparato a scegliere le password appropriatamente?
Ecco perché non mi fido dei vari software/servizi di salvataggio on line o in locale: prima o poi c'è la fregatura.

Meglio usare sistemi semplici e collaudati come un semplice file di testo o (come faccio io) un foglio excel con tanto di cifratura AES
societa' di insicurezza...
Un po' come quei siti che quando ti registri ti mandano la password che hai scelto per e-mail in chiaro come promemoria... boh... :-(
"Pollice su" per la metafora del sedicenne.
"Tanto non capiterà mai a me".
Credo sia questa la linea di pensiero che autorizzi le persone ad esser così stupide.
l'ulteriore problema è che i sedicenni NON usano i preservativi né altro...
Smiley1081: ahahha già :D

Comunque di tutte le ingenuità possibili quella che più mi stupisce è quella di memorizzare le password in chiaro. Anzitutto non te ne fai niente, perché se l'utente perde la password non gli dici "ce l'ho! è 'baudopippo'" ma gli fai fare la procedura di reset; e poi è talmente banale memorizzarla crittografata in modo dignitoso (ovvero "salata", usando un algoritmo decente e magari reiterando qualche volta) che davvero non mi figuro il perché non lo si faccia.

Con la sicurezza non si è mai a posto, commetterai sempre delle ingenuità, ma questa mi sembra davvero la più evitabile.
"Tanto non capiterà mai a me".

A pensarci bene, questa "filosofia" è applicata dappertutto e non solo alla sicurezza informatica.

Quanta gente "whatsappa" al cellulare o non usa l'auricolare mentre guida? Io ne ho incontrata tantissima. Anche loro pensano: "tanto non capiterà mai a me di fare un incidente e far male a qualcuno".

Quanta gente non indossa le cinture?

Quanti non usano scarpe antinfortunistiche o elmetti sui cantieri perché tanto sanno come evitare i pericoli e si offendono come una primadonna se poi li minacci di sanzioni?

Quindi, perché l'informatica deve essere privilegiata? Chi non capisce i pericoli che corre e fa correre con i suoi comportamenti nella vita reale farà lo stesso in quella virtuale.

Per quanto riguarda i servizi di custodia dati e credenziali, alla supponenza "dell'amenoncapita" si aggiunge il risparmio nell'immediato (ma un costo a medio e lungo termine per i danni da perdita d'immagine).
Si chiede sempre il massimo profitto nel minor tempo e col minor costo; questi sono i risultati.
802.701... Adoro questo tipo di citazioni colte :)
Gli Eloi se ne fregano delle password, c'è il sole, è tutto bello, non può succedere niente di male.
@andy: nel caso di password inviata via mail, sono generate in automatico, e c'è il chiaro invito a cambiarla al primo accesso con una di tua scelta.
Se poi ANCHE la tua la tengono accessibile a chiunque... a che diavolo serve una password?
Fx wrote:
<>

Telecom e Fasteweb lo fanno da anni per quelli che non hanno cambiato password iniziale dei router (quella sfilza di 24 o 30 numeri e cifre).

E fatto ben più grave, neppure devi cercarli sui loro DB, basta applicare un semplice algoritmo al nome della rete, oppure scaricare programma o una app che lo faccia in automatico per te.

Se qualcuno usa questi provider, cambi subito la password del wifi (so che non è una procedura così banale, ma mi aspetto che chi frequenta questo blog non abbia difficoltà a farlo) perchè le password iniziali di questi provider sono in pratica PUBBLICHE.
Se invece avete altri provider... cambiatela comunque, non si sa mai.

Ciao

Carson
[quote]@andy: nel caso di password inviata via mail, sono generate in automatico, e c'è il chiaro invito a cambiarla al primo accesso con una di tua scelta.[/quote]

No, no. Mi riferivo proprio a quei siti che la password la scelgo io con tanto di casellina per la conferma (quella che dovrebbe servire a evitare gli errori di battitura, che poi ci sono i geni che fanno copia-incolla) e scommetto che se la cambio me la mandano un'altra volta.

Tanto per fare un esempio, succede con easybytez.com, backin.net (per dirne due a caso). Ho appena fatto la prova con il recupero password dimenticata e come nell'esempio di FX me l'hanno rimandata tale e quale sempre in chiaro, niente link per il reset.

Fin adesso l'unico sito con cui ho avuto a che fare che usa le password a scadenza (che sei costretto a cambiare) è quello della banca, che tra l'altro fino ad un po' di tempo fa aveva la scadenza automatica ogni mese, ora invece se vuoi devi ricordarti di cambiarla tu.

(a proposito, genialata da utonti (nb: da non imitare a casa), tenere due password e ogni volta che una scade rimettere l'altra, così si evade il filtro che ti impedisce di rimettere sempre la stessa password.)

[quote]Se qualcuno usa questi provider, cambi subito la password del wifi (so che non è una procedura così banale, ma mi aspetto che chi frequenta questo blog non abbia difficoltà a farlo)[/quote]

Il problema con fastweb (si, purtroppo ce l'ho, la paura che cambiando poi non tiro più i 650kb/s di adesso), è che in pratica il router è bloccato e la password e tutte le impostazioni del wi-fi si cambiano attraverso una pagina della loro myfastpage, quindi c'è il "qualcosa in mezzo".

Il loro intento probabilmente sarebbe che se un utonto chiama il servizio clienti non devo spiegarli di inserire 192.168.0.1 nel browser e fare "tante cose strane", semplicemente si collegano da remoto e lo fanno loro.
(per gli scettici: l'ultima volta che ho cambiato router all'inizio mi sono connesso con la password nuova del wi-fi, il giorno dopo non andava più niente e dopo due giorni era tornata in automatico la password del vecchio router).

[quote]A pensarci bene, questa "filosofia" è applicata dappertutto e non solo alla sicurezza informatica.[/quote]

[b]Dappertutto[/b] e da [b]sempre[/b]: "le mai sucess nient le al parlà che frega la gent" dice un vecchio proverbio milanese... si, ho detto proprio "vecchio".
Consiglierei a chi ha fastweb di mettere in bride il loro modem con un buon router. Si evitano molte problematiche di sicurezza...
@Rebecca: lo so, lo so. Non sai quanto mi piacerebbe avere un router configurabile.
(ci avevamo anche pensato quando su fastweb c'era il famigerato limite dei 3 Ip per volta)
Il problema è che i router costano, e quando si può si cerca sempre di risparmiare.
Più scioccante è il "leaking" di nomi, email, indirizzi di casa, date di nascita, numeri telefonici e dati sul recupero credito avvenuto in Australia solo perchè un impiegato ha caricato un'intera spreadsheet: http://www.tripwire.com/state-of-security/latest-security-news/optus-investigating-breach-after-data-leak-on-freelancer-com/
Un router si trova a partire da 30 euro con una serie di funzioni più che dignitose.
@Lupo
quando l'ho comprato io con 30 euro avevi qos, filtro famiglia e che ti pare, adesso per quella cifra e' gia' tanto che ti diano il router...
no scusa fammi capire, io per le mie applicazioni domestiche (quindi solo per uso interno, che usiamo solo noi di famiglia, con firewall e database bindato sulla rete locale) le password su db le scrivo cifrate e loro che scrivono un di gestione le mettono in chiaro?