skip to main | skip to sidebar
5 commenti

In vendita 32 milioni di password rubate di utenti Twitter? Esperti dubbiosi

Alcuni siti (per esempio Repubblica) hanno annunciato con toni di certezza la messa in vendita nei bassifondi di Internet di un elenco di oltre 32 milioni di password di Twitter, causando un certo panico fra gli utenti di questa piattaforma di microblogging, ma gli esperti hanno molti dubbi sulla qualità dell’offerta illecita, il cui prezzo è molto basso per gli standard del settore: circa 5000 dollari.

La fonte originale della notizia è Leakedsource.com, un sito che si offre come servizio di verifica di furto di password: si immette il nome utente del proprio account e si viene avvisati se la password dell’account è presente nelle varie collezioni di password rubate circolanti in Rete. LeakedSource dice di aver verificato soltanto 15 password presenti nell’elenco di quelle rubate di Twitter, ma tutte e quindici sono risultate autentiche.

Tuttavia è improbabile, a detta degli esperti, che l’elenco contenga davvero 32 milioni di password attualmente valide, perché Twitter protegge le password degli utenti conservandole soltanto in forma pesantemente cifrata (hash con bcrypt), che richiederebbe tempi e potenze di calcolo impraticabili per decifrarne 32 milioni in caso d’incursione nei server di Twitter. L’azienda ha comunque inviato un invito di cambio password ad alcuni milioni di utenti dopo aver rilevato che le loro password erano in circolazione.

Lo scenario più probabile è che non sia stato violato Twitter ma che siano stati violati gli utenti, per esempio perché hanno computer infetti. In ogni caso, se avete un account Twitter, è opportuno fare due cose:

non fidarsi di inviti a cliccare su un link per aggiornare la vostra password. I ladri di password approfittano spessissimo di notizie come questa per mandare messaggi falsi che sembrano provenire dal gestore del servizio (in questo caso Twitter, appunto) ma in realtà portano a siti-clone, identici a quelli del servizio ma in realtà gestiti dai truffatori. Se volete aggiornare la password di un servizio, accedete al sito del servizio manualmente, scrivendone il nome.

attivare la verifica in due passaggi, che vi salva in caso di furto di password: attivando questa verifica, infatti, la password funziona soltanto se viene immessa usando uno dei vostri dispositivi. Se un ladro vi ruba la password e la immette in uno dei suoi, gli viene negato l’accesso e ricevete un’allerta via SMS o in altro modo.

Su Twitter la verifica in due passaggi si attiva andando a https://twitter.com/settings/security e attivando la voce Verifica d’accesso. Già che ci siete, attivate anche le opzioni Richiedi informazioni personali per reimpostare la password e Richiedi sempre la password per accedere al mio account.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
Domanda... ma conservare le password in modo pesantemente cifrato non è la norma per questo big informatici? Io ero sempre stato convinto che anche se avessero rubato interi database non avrebbero trovato che inutili hash e invece dalle notizie recenti sembra che tutti abbiano password o numero di carte in chiaro... ma davvero un sito con centinaio di milioni di utenti come LinkedIn, non applica una cifratura? E se invece lo fanno tutti, perché per Twitter non c'è da preoccuparsi mentre tutte le altri violazioni si?
@Roby10, perchè non sono stati violati i server di Twitter. Nel dubbio che qualcuno la sappia, ti basta cambiare la password dell' "uccellino azzurro" (che sia diversa dagli altri account) e sei a posto.
Paolo,

qual' é il miglior password manager disponibile?

Ho letto qualcosa su 1Password, Lastpass e Keepass ma non é chiaro se ci si possa fidare.

Bisognerebbe poterne generare automaticamente, schedandole e recuperandole velocemente ma la condivisione su più dispositivi é rischiosa.

Graziee
Io uso KeePass sia su PC che su Android. L'archivio lo copio a manina per cui la sincronizzazione è fatta a mano.
E' open source ma non credo che sia stato sottoposto ad audit come truecrypt, però non sono note criticità neanche ipotetiche.
Ha la generazione di password incorporata con la possibilità di selezionare i set di caratteri.
Ha, volendo, anche una sorta di autenticazione a 2 stadi: password e file chiave che però ha senso su un PC se ti porti dietro una chiavetta. Sul mobile ha meno senso. Sulla versione mobile non è possibile visualizzare in chiaro password già immesse mentre sulla versione PC si.
Non uso sincronizzazioni su cloud.
Grazie mille per l' aiuto, é molto meglio attingere dall' esperienza di altri utenti che non alle sole pubblicità.
Utilizzare Thruecript ed un .xlsx ha senso ?