skip to main | skip to sidebar
3 commenti

Violati gli account Twitter e Pinterest di Mark Zuckerberg: usava "dadada" come password?

Fonte: @Ben_Hall.
Qualcuno che si firma OurMine Team ha preso brevemente il controllo degli account Twitter e Pinterest di Mark Zuckerberg, cofondatore di Facebook e li ha usati per pubblicare dei messaggi di scherno. In particolare ha fatto scalpore e suscitato grandi risate la notizia che la password usata da Zuckerberg era un cortissimo “dadada” e che la stessa password era stata usata per entrambi i servizi e anche per il suo account LinkedIn, andando contro le più elementari regole di sicurezza, secondo le quali non si riusano le password e bisogna usare password lunghe e complesse.

Ma le risate hanno distolto l’attenzione da alcuni dettagli importanti: il primo è che a parte le dichiarazioni degli intrusi non ci sono conferme indipendenti che la password fosse davvero così ridicola e quindi potrebbe trattarsi di un espediente mediatico per far diventare virale la notizia. Il secondo è che gli account Twitter e Pinterest di Mark Zuckerberg erano inattivi da tempo, per cui l’intrusione non è grave come può sembrare. Gli account Instagram e Facebook di Zuckerberg, invece, non sono stati violati.

Viene facile pensare che se neppure Zuckerberg è capace di difendersi dagli intrusi informatici, allora gli utenti comuni non hanno speranze e non vale neanche la pena di provarci. In effetti è stato un periodo buio per la sicurezza, con le notizie della pubblicazione di 65 milioni di password Tumblr, 164 milioni di password di LinkedIn, 152 milioni di password di Adobe e 360 milioni di password di Myspace, ma a mio avviso la lezione qui è un’altra: si dimostra la regola che se usate la stessa password per più di un sito fate davvero un favore enorme ai ladri. Basta infatti che uno solo dei siti che usate venga violato e i ladri avranno accesso a tutti i vostri account. Per questo si sospetta che gli account Twitter e Pinterest di Zuckerberg siano stati attaccati con successo sfruttando la massiccia violazione di LinkedIn avvenuta nel 2012.

Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (3)
ch lieb dich nicht du liebst mich nicht

best password ever

https://www.youtube.com/watch?v=lNYcviXK4rg
Io ho credo una cinquantina di account, tra posta, discussion board di lavoro, discussion board di hobby, repository del codice (un SINGOLO progetto può avere TRE repository differenti), banche (sono tesoriere di 2 associazioni), computer di casa, computer(s) di lavoro, computer di classe di mia moglie insegnante ecc. ecc.
Ovviamente sono tutte password diverse ma la funzione "recupera la password dimenticata" credo sia una delle più gettonate da me.

Ho provato ad usare "portachiavi", ma alla fine hai un singolo punto di vulnerabilità. E devi replicarlo su N computer differenti.

Come avete risolto il problema?
@Gianni Comoretto

Mi tengo in mente una sola chiave, abbastanza complessa, che compongo con un nome identificativo del servizio/sito che voglio usare; la chiave complessiva è quindi la concatenazione di una parte fissa (la mia chiave nascosta) e una variabile (e.g. gmail.com). Questa chiave viene data in pasto a un algoritmo di hash e il risultato è la password per quel determinato sito.

In questo modo la soluzione è pratica (basta ricordarsi una cosa) e portabile (non è difficile costruirsi del codice che effettui l'hash voluto). Visto che quel che conta è la chiave, ci si può permettere il lusso di tenere una lista dei suffissi variabili con eventuali note (certi siti ammettono solo un numero massimo di caratteri e altri vincoli).

Non so se la mia soluzione abbia qualche vulnerabilità ma almeno mi permette di adottare password diverse per i servizî principali col minimo sforzo.