Cerca nel blog

2009/09/25

Yahoo Mail fallato, ecco come i vandali trovano le password

Come si ruba una password? Lo insegna suo malgrado Yahoo Mail


Tentare di indovinare la password di un sito o di un utente di un sito per forza bruta, a furia di tentativi, sembra impossibile, anche perché i siti che usano password pongono un limite molto ristretto al numero di tentativi e per ogni tentativo propongono un captcha: una di quelle parole deformate che solo un essere umano riesce a decifrare e che servono per verificare che davanti al computer ci sia davvero una persona e non un programma automatico.

Ma c'è una falla in Yahoo che è aperta da due anni e scavalca tutti questi sistemi di sicurezza, secondo The Register e il consulente di sicurezza Ryan Barnett della Breach Security. Gli aspiranti intrusi possono fare tutti i tentativi che vogliono, senza essere bloccati e senza trovarsi captcha. Come se non bastasse, se si immette un nome utente esistente ma una password sbagliata, la falla risponde informando che il nome utente è valido, ma la password no: in questo modo si può sapere se un determinato nome utente esiste o meno, e poi si tratta soltanto di provare per forza bruta, usando le password più frequentemente utilizzate. Se il tentativo fallisce, si passa a un altro utente, e così via, fino a sfondare le difese.

Secondo The Register, anche altri siti sono a rischio per via di queste applicazioni non sicure, pensate per consentire ai clienti dei partner commerciali di Yahoo di controllare la propria posta senza abbandonare il sito del partner in questione. Il problema è che l'applicazione risponde alle richieste di verifica senza controllare se provengono da un server autorizzato o no. Chiunque può sfruttare quest'applicazione se sa come trovarla (e anche questo non è difficile).

Se l'intrusione ha successo, l'utenza diventa un trasmettitore di spam e spesso viene usata come testa di ponte per raggiungere password ancora più personali, come quelle della gestione dei conti bancari.

La tecnica di difesa migliore è usare password robuste, che non siano parole di senso compiuto o nomi o numeri riferibili in qualche modo alla propria identità: conviene creare le password per esempio usando le iniziali di una filastrocca o di una poesia. Per esempio, "quarantaquattro gatti in fila per sei col resto di due" produce la password "44gifx6crd2", che è piuttosto robusta ma al tempo stesso facile da ricordare.

Nessun commento: