Cerca nel blog

2009/09/25

Yahoo Mail fallato, ecco come i vandali trovano le password

Come si ruba una password? Lo insegna suo malgrado Yahoo Mail


Tentare di indovinare la password di un sito o di un utente di un sito per forza bruta, a furia di tentativi, sembra impossibile, anche perché i siti che usano password pongono un limite molto ristretto al numero di tentativi e per ogni tentativo propongono un captcha: una di quelle parole deformate che solo un essere umano riesce a decifrare e che servono per verificare che davanti al computer ci sia davvero una persona e non un programma automatico.

Ma c'è una falla in Yahoo che è aperta da due anni e scavalca tutti questi sistemi di sicurezza, secondo The Register e il consulente di sicurezza Ryan Barnett della Breach Security. Gli aspiranti intrusi possono fare tutti i tentativi che vogliono, senza essere bloccati e senza trovarsi captcha. Come se non bastasse, se si immette un nome utente esistente ma una password sbagliata, la falla risponde informando che il nome utente è valido, ma la password no: in questo modo si può sapere se un determinato nome utente esiste o meno, e poi si tratta soltanto di provare per forza bruta, usando le password più frequentemente utilizzate. Se il tentativo fallisce, si passa a un altro utente, e così via, fino a sfondare le difese.

Secondo The Register, anche altri siti sono a rischio per via di queste applicazioni non sicure, pensate per consentire ai clienti dei partner commerciali di Yahoo di controllare la propria posta senza abbandonare il sito del partner in questione. Il problema è che l'applicazione risponde alle richieste di verifica senza controllare se provengono da un server autorizzato o no. Chiunque può sfruttare quest'applicazione se sa come trovarla (e anche questo non è difficile).

Se l'intrusione ha successo, l'utenza diventa un trasmettitore di spam e spesso viene usata come testa di ponte per raggiungere password ancora più personali, come quelle della gestione dei conti bancari.

La tecnica di difesa migliore è usare password robuste, che non siano parole di senso compiuto o nomi o numeri riferibili in qualche modo alla propria identità: conviene creare le password per esempio usando le iniziali di una filastrocca o di una poesia. Per esempio, "quarantaquattro gatti in fila per sei col resto di due" produce la password "44gifx6crd2", che è piuttosto robusta ma al tempo stesso facile da ricordare.

75 commenti:

Rado il Figo ha detto...

oppure usare firefox -> strumenti -> opzioni -> sicurezza -> password salvate -> visualizza password.

:-)

Seven ha detto...

"quarantaquattro gatti in fila per sei col resto di due" produce la password "44gifx6crd2"
Ho appena cambiato la mia, non è bello vederla usata come esempio
:)

Willy ha detto...

Ancora meglio:
con un programma di p2p si cercano i nomi del file dove ff archivia le password e come per magia appaiono (o meglio apparivano un paio di anni fa quando ho fatto questa prova, adesso non so) i file di quei co***ni che condividono l'intero hard disc.
Un copia/incolla e voilà TUTTE le password di un altra persona senza neanche la fatica di doverle scrivere a mano sui form.

Willy ha detto...

Oppure sempre dagli stessi utenti si trovavano le mail di promemoria che i vari provider di posta inviavano con mail e password alla fine dell'iscrizione.

Unknown ha detto...

Oppure basta spostare di un tasto a destra (o sinistra) tutte le lettere di una password "facile".
Ad esempio "nicola" diventa "movpòs". Anche questa è facile da ricordare.

Unknown ha detto...

e ora una buona fetta degli utenti che frequentano questo sito si userà la password 44gifx6crd2...

speriamo che i lettori del disinformatico non siano tutti pecoroni! :P

Skeptic ha detto...

.

Unknown ha detto...

@mauro:
se uno legge il Disinformatico, non è un pecorone! :P
Si potrebbe anche utilizzare il simulatore di macchine Enigma...

Turz ha detto...

Oppure basta spostare di un tasto a destra (o sinistra) tutte le lettere di una password "facile".

Ancora meglio spostando le lettere di una password "difficile", perché questa tecnica non è del tutto sconosciuta ai cracker.

Ma se a casa usi la tastiera italiana e al lavoro quella sviyyera attenyione perchÜ nel tasto a destra non cßü sempre ciö che ci si aspetta.

Rodri ha detto...

Ummamma, io non andrei oltre il 44miao :-)

Hanmar ha detto...

Io uso 12345.

Mi pare sicura, no? :D

Saluti
Michele

mastrocigliegia ha detto...

Io mi sono fatto un programmino che ci dai una password facile da ricordare e la codifica in una difficile, da copincollare nel sito che interessa.

mc

ps: Sono tre mesi che non riesco ad entrare nel pc di casa.

ps2: NON sono di Sanremo.

Armando ha detto...

io con il discorso delle password, sono 5 anni che non riesco ad entrare in MIEI file rar chiusi con password. Ho provato anche attacchi di forza bruta per mesi, ma nulla.
sig!

mastrocigliegia ha detto...

[da non mi ricordo dove...]

Io uso sempre la stessa password.

Anch'io. La tua.

Ceci ha detto...

Se uno vuole sapere la mia password deve sapere anche sapere cosa vuol dire il mio nick e avere una mente contorta. A confidare sull'ignoranza della gente comune ci si becca sempre! ;)

@mc : uahahahahahahah! sei anche uno di quelli che smonta il televisore e poi smette di guardare la tv? :D

Elena ha detto...

io è una vita che uso le lettere e le iniziali di strofe di canzoni o poesie, meglio se c'è l'articolo indeterminativo o qualcosa d'altro che si può tradurre in numero o simbolo esempio (fittizio):
p1dtmlctaph ovvero
Prendi una (1) donna, trattala male, lascia che ti aspetti per ore (h).

Turz ha detto...

La mia tecnica è di combinare più meccanismi di sicurezza, ciascuno dei quali da solo non sarebbe sufficiente.
Esempi:
- usare password di almeno 8, ma meglio 10-12, caratteri;
- usare una parola che non è sul dizionario (pastalpesto, Hintertupfingen, Cialtrobbo, aybabtu, ecc.);
- rovesciarla o spaccarla in due-tre pezzi per poi ricomporli;
- sostituire qualche carattere con qualcuno che gli assomiglia;
- usare il tasto vicino sulla tastiera (facendo attenzione ad eventuali cambiamenti di layout);
- condire con qualche numero o carattere speciale (possibilmente presente su qualsiasi tastiera, quindi non äöüßéò~).
Un esempio di metodo è qui:
http://makemeapassword.com/

E poi per ricordarla:
- mai cambiare la password di venerdì o prima di andare in ferie (il metodo fotorinico consiglia di usare la password almeno per un numero di giorni pari a quelli di assenza successivi: ad esempio cambiare la password almeno due settimane prima di andare in ferie per due settimane);
- usare lo stesso metodo, benché non la stessa password, per tutti i servizi;
- usare password di difficoltà proporzionale alla frequenza con cui si usano i vari servizi (se accedi alla mail tre volte al giorno puoi usare una password complicatissima, se accedi a Wikipedia una volta al mese è meglio usare una password piuttosto facile);
- usare password di difficoltà proporzionale al potenziale danno (se mi sgamano la password di Wikipedia è meno grave che se mi bucano l'account Paypal).

Zer0 ha detto...

Paolo non è valido usare un articolo sulla sicurezza per farci tradire e postare le nostre password nei commenti

Hack3r!!!11

:P

Cambiate password sovente, gente. Magari anche una volta al mese, non si sa mai.

Juleps ha detto...

Dal primo hanno di informatica io uso "pippo" per tutte le mie password.

E' abbastanza "forte" o mi suggerite di cambiarle?

mogio ha detto...

@Hanmar

Io uso 12345.

Mi pare sicura, no? :D


Qui era ritenuta inviolabile, ma è un pò inflazionata:

La Combinazione

;)

theDRaKKaR the bloody homeopath ha detto...

ah le password.. una lotta persa in partenza.. la maggior parte degli utenti le considerano un ostacolo alla loro libera fruizione dei computer e sistemi annessi e quindi cerca di crearle il più semplici possibile... quindi si parte dal joe's account e si finisce alla propria data di nascita

ancora ricordo quando indovinai la mia prima password altrui, di un utente di The Microsoft Zone con cui mi sfidavo ad AOE: la password era "gioca"
LOL

voglio rassicurare i cracker (non i biscotti salati) finché esisterà l'uomo esisteranno le password ridicole

gareth ha detto...

Citando Il Pendolo di Foucault, io come password uso "password"!

david ha detto...

Io non ho nulla da nascondere, non c'ho soldi, non ho conti on-line, ho la post-pay vuota, non sono un ricercatore e non ho i codici di lancio..e uso sempre le stesse 3/4 password per tutto!

Epsilon ha detto...

Beh, c'è qualcosa di ancora più facile, a parer mio, da indovinare rispetto alle password e sono le famigerate "domande segrete" per cambiare una password che non si rammenta.
Io ad esempio non avrei mai indovinato la password di una mia amica ma come "domanda segreta" aveva inserito "il mio piatto preferito" e sono bastate un paio di prove per indovinare la risposta; il bello è che la procedura del gestore (uno famoso, mi sembra di rammentare fosse yahoo) non è che resettasse la password ma ti chiedeva di inserirne una nuova per cui facendolo mi sarei impossessato della posta della mia amica... ma sono un buono e l'ho avvertita :-)
Enrico

Turz ha detto...

Sì era Yahoo! (il punto esclamativo non è mio)

Paolo parlò già qui di un caso celebre e(d)istruttivo:
http://tinyurl.com/3j4vgw

Gian Piero Biancoli ha detto...

@ Juleps
"pippo" è lo username, "pluto" è la password standard, "ciao mondo" è la frase di test.

@ Paola
Enigma in quanto cifrario, richiede anch'esso la necessità di comunicare una "password" al destinatario. Se non erro i tedeschi avevano veri e propri libri con combinazioni da usare a seconda dei periodi: per decifrare il codice occorrevano macchinario e libro.
Problema oggi risolto grazie ai cifrari a chiave pubblica

@ Turz
Se devo usare il tasto a sinistra di una password strong, non so tu, ma io divento scemo (va detto che parto già in vantaggio :-)).
Prova a scrivere 44gifx6crd2 usando il tasto a destra sulla tastiera.
Penso che la scelta della password valga la regola dei bidoni e degli orsi, ovvero un buon compromesso tra usabilità e sicurezza.

Salutoni a tutti

CMT ha detto...

Il problema è che spesso il peggior nemico della sicurezza è il sito che dovrebbe garantirla.
In passato mi sono trovato per puro caso a entrare in un account che non mi apparteneva su un sito (che non ricordo quale sia ma anche se lo ricordassi eviterei di dirlo :D)
Il GENIALE sistema di recupero password era del tipo "domanda a risposta segreta" (che già trovo idiota di suo) e in caso di risposta corretta resettava la password sul momento consentendo di accedere. Fatto sta che io non ricordavo il mio nome utente, inserii uno di quelli che uso in genere e mi venne chiesta la "domanda segreta".
Ora: io non le imposto MAI, per cui la cosa mi puzzava, ma risposi quello che avrei risposto io e... entrai. Subito dopo mi resi conto che era l'account sbagliato (e andai via in punta di piedi), il vero proprietario probabilmente mi starà ancora bestemmiando per non essere più riuscito a entrarci a causa del reset della password...

Alter Planet ha detto...

davvero interessante.

Alter Planet ha detto...

Davvero furbe le persone che usano le password altrui,però a spese di qualcuno.

Willy ha detto...

il vero proprietario probabilmente mi starà ancora bestemmiando per non essere più riuscito a entrarci a causa del reset della password...

Avrà riutilizzato la stessa procedura e resettato nuovamente la password ;)



--

Anche io recentemente ho cambiato password ad un account (non ricordo di preciso quale) e mi ha chiesto solo la domanda segreta: il numero di telefono :P

A questo punto si dovrebbe utilizzare una risposta "robusta" anche per la domanda segreta, col rischio di non ricordarsela più!

martinobri ha detto...

Citazione, a proposito di password:
"Dì, amico, e passa".

Alter Planet ha detto...

Comunque la password che uso è il nome di una mia grande passione.ed è molto leggera.

Domenico_T ha detto...

*segnaposto*

Elragno ha detto...

Ok, ora devo confessare una piccola cosa:
Solo io non riesco MAI a scrivere i captcha in modo corretto al primo colpo? Devo sempre ricaricarli e trovarne uno che riesco a leggere :P
Una volta mi è capitato che mi apparisse un messaggio con scritto che non ero un uomo ma una macchina automatica!
Per quanto riguarda la domanda di sicurezza io di solito metto risposte impossibili o comunque che una persona normale non la leggerà mai (ad esempio un nome scientifico...)

Domenico_T ha detto...

Riguardo alla domanda segreta io uso un trucchetto: la risposta è completamente slegata dalla domanda.

Per esempio se la domanda è "qual è il tuo film preferito?" la risposta è "melanzane alla parmigiana".

Ovviamente più codificata impiegando cifre al posto delle lettere e robe di questo genere.

Alter Planet ha detto...

perchè non venite nel mio blog di scienza qualche volta?

Willy ha detto...

perchè non venite nel mio blog di scienza qualche volta?

Perché non c'è nulla?

Prova a scrivere qualche bell'articolo su un argomento in cui sei particolarmente ferrato e vedrai che le visite e soprattutto i commenti arriveranno.

Anderson ha detto...

Il primo email account che registrai aveva password: 123.
Ora uso sempre: ********

Pietro ha detto...

Che bella foto quella del gatto col topo!
L'hai fatta tu o l'hai trovata in internet? Mi piace molto, vorrei metterla come sfondo del desktop, ma mi servirebbe una versione piu' grande :-)

Ciao!

Stefano Nicoletti ha detto...

La migliore sicurezza è sapere di essere un atollo minuscolo in mezzo ai dati di Internet.

Anghelos ha detto...

forse la password migliore è 0000. E' talmente stupida che nessuno la proverebbe...

Gioppo ha detto...

Roberto Giacobbo vicedirettore di RaiDue!!

http://iltempo.ilsole24ore.com/politica/2009/09/25/1073896-infornata_nomine_vicedirettori_rai2_sette.shtml

Slowly ha detto...

Le mie password, che ricordo rigorosamente a memorizzo senza metterle da nessuna parte, sono totalmente idiote.
Non nel senso di facili, ma nel senso che il peggiore dei sciogli lingua è una poesia in confronto.
Ovviamente hanno un senso, ma solo per me.
Inattaccabile.
Di solito quando faccio interventi in giro basta provare a mettere il nome dell'Azienda dalla quale sono (o quella installatrice)usando il nome utente di default.
Altre volte, quando s'impegnano, è "videosorv".
In casi estremamente rari è qualcosa del tipo "videosorv123" o "videosorv111" che rappresentano lo stato dell'arte!!!
Quando trovo una password così so per certo che sono tra gente che ne sa di brutto e vivo sereno.

Alter, in un blog di solito si mettono post a tema col suo nome.
Io parlo di prugnette mentali, tu dovresti parlare un pò di astrocose.
Per esmepio, a me affascinano i cosi che diventano grossi di brutto, bianchi e fanno macello.
Parla di quelle.
Ah si, le nane bianche.
Che poi se non ricordo male è la fase finale della vita di una suocera. Si gonfia di brutto e poi scoppia.

Cià, vado a prendere l'aereo va.
(al ritorno vi dico la password che trovo).

Buona domenica.

Unknown ha detto...

Ma sei fissato con i gatti ???
:D

Yari Davoglio | Cronache dal '900 ha detto...

[OT]
Sulla scia del giornalismo nostrano: link.
[/OT]

Alter Planet ha detto...

Se venite sul mio Astro Blog c'è un'articolo su un pianeta esoroccioso trovato che si chiama CoRoT-7b.

Fantastica Moglie ha detto...
Questo commento è stato eliminato da un amministratore del blog.
Willy ha detto...

Finalmente spammano qualcosa di interessante :D :P

Alter Planet ha detto...

venite nel mio blog,corot 7b rappresenta una possibbile colonia per il futuro della terra.

theDRaKKaR the bloody homeopath ha detto...

@alter

...

theDRaKKaR the bloody homeopath ha detto...

il topone non c'è e i gatti ballano...

mogio ha detto...

O le "gatte" milanesi ?

Alter Planet ha detto...

Secondo voi firefox è buono come programma?

Yari Davoglio | Cronache dal '900 ha detto...

Alter Planet,

con sale, pepe e limone è eccezionale! ^^

Slowly ha detto...

fantastica su facebook staresti meglio. sul lettino di un analista pure.

Alter, abbiamo capito. Verremo, verremo.

Eh, scusate eh? Ma quando ci vuole...

Slowly ha detto...

Sta venendo fuori un trattato di psicologia con 'sti metodi di password però eh?
Alla fine comunque i risultati sono sempre i medesimi con password formate da lettere e numeri apparentemente casuali.
Quello che cambia è la strategia di memorizzazione.
Forte l'idea dei testi delle canzoni, ma a me piace EVIA e sarebbe un pò un problema...

:D

Paolo Attivissimo ha detto...

Cara moglie esibizionista milanese,

vai a spammare altrove. Grazie.

Alter Planet ha detto...

Comunque l'accaparramento delle password è sempre una truffa.

Falco Stellare ha detto...

Paolo Attivissimo ha scritto:

"Tentare di indovinare la password di un sito o di un utente di un sito per forza bruta, a furia di tentativi, sembra impossibile, anche perché i siti che usano password pongono un limite molto ristretto al numero di tentativi e per ogni tentativo propongono un captcha: una di quelle parole deformate che solo un essere umano riesce a decifrare e che servono per verificare che davanti al computer ci sia davvero una persona e non un programma automatico".

C'è un po' di confusione: non capisco cosa c'entra il sistema CAPTCHA con il tentare di indovinare una password: un assalto forza bruta su un sistema informatico non passa certamente attraverso il form di login utente; passa attraverso vie normalmente non poste sotto la sorveglianza di un sistema captcha, il quale viene impiegato praticamente solo per la verifica di procedure come la creazione di nuovi account o il recupero di password dimenticate. Non mi è mai capitato di incontrare un captcha durante un login...

Gian Piero Biancoli ha detto...

Mi sembra corretta la precisazione di Falco Stellare, i CAPTCHA vengono usati in fase di registrazione di un account, non in fase di login.

Non mi risultano servizi che, in fase di autenticazione, richiedano un CAPTCHA.

Willy ha detto...

@Falco Stellare @Gian Piero Biancoli,

se provate a loggarvi a google con una password sbagliata probabilmente già al secondo tentativo richiede il captcha

Anzi ora che ho fatto un paio di prove credo che chieda il captcha solo se l'username effettivamente esiste.

Anonimo ha detto...

il widget Enigma di Opera è fantastico ;)
Comunque c'è un altro consiglio da seguire, usare pwd di lunghezza superiore ai 10 caratteri, almeno se invece di un attacco a dizionario usano la forza bruta gli complichi leggermente la vita

Anonimo ha detto...

Comunque usare anche le maiuscole irrobustisce di non poco la pwd ;)

Anonimo ha detto...

Se si parla di pwd facili, il suggerimento per non scordarsela di windows è un'opzione "fantastica"... Mi hanno portato un pc da accomodare, non sapevo la password utente. Il suggerimento era "chi siamo io e te?" sapendo che il pc era quello mi è bastato scrivere "fratelli" e tac eccola lì ;)
nono ma è sicuro windows... sisi come no

Anonimo ha detto...

@martinobri
mellon

Unknown ha detto...

@Guido
Beh in quel caso la (in)sicurezza non dipende tanto da Windows ma dall'utente che sceglie la domanda.

A tal proposito mi viene in mente un fatto che mi è capitato alcuni mesi fa.

Nel mio paese, il comune mi ha chiamato per tenere un corso di informatica di base (proprio l' abc dell'informatica...., anzi solo l'a) per persone che un pc non lo avevano mai neanche acceso, gente che non avevano mai avuto in mano un mouse e per fare il doppio click c'era addirittura chi teneva fermo il mouse con la sinistra e con la destra cliccava (giuro, non sto scherzando...)

Quando abbiamo iniziato a parlare di posta elettronica, ho pensato che sarebbe stato carino far creare ad ognuno di loro un account di posta elettronica segundoli passo dopo passo.
Quando siamo arrivati alla fatidica "domanda di sicurezza", uno dei miei allievi (il prete del paese)ha scelto:
"Sei tu un sacerdote?"

Altro che "brute-force", nel caso peggiore al secondo tentativo..bye bye account

Anonimo ha detto...

Il fatto che un sistema operativo preveda una DOMANDA per ricordarsi la password mi pare un po' assurdo... Inoltre windows ha quel brutto "viziaccio" di tenere il nome utente scritto nella maschera di login (se fai tanto di entrare come administrator e scordartene, poi il giorno dopo ti chiama l'utente dicendo che "non gli piglia più la password"...)
Nel mio ubuntu 9.04 il login è bianco... Hai un grado di complessità in più, indovinare l'utente... poi è vero che in ubuntu basta infilare un par di parametri in grub per trovarsi davanti la shell di root, però sai com'è non è roba da tutti ;)
mentre mettersi a ragionare su un suggerimento si...

Anonimo ha detto...

ho appena riletto il mio post...
ho scritto una parola sbagliata
"ragionare"...
Perchè se gli utenti ragionassero non succederebbero tante cose...
vabbè lasciam perdere ;)

Unknown ha detto...

Io che uso la stessa password per mille cose sono un pirla allora?! Però lo faccio, perchè la mia memoria in merito di password è abbastanza scarsa

Anonimo ha detto...

@alex
beh, rischi che se te ne sgamano una perdi tutto...
Sai provare se la pwd appena trovata viene usata anche per altri servizi è tra le prime cose che fanno dopo aver sgamato una password ;)

Turz ha detto...

"Due colpi al cerchio e due alla botte" sull'usare la stessa password per tanti servizi:

Cerchio:
1) MALE: nel caso (improbabile ma non impossibile) che venga scoperta, ti hanno bucato contemporaneamente tutti i servizi.
2) PEGGIO: se usi la stessa password per N servizi, c'è una probabilità N volte maggiore che venga scoperta.

Botte:
1) Attenuante: è più sicuro usare una sola password di 24 caratteri contenente maiuscole, minuscole, numeri e caratteri speciali, costruita da una o più parole non esistenti in nessuna lingua tra le prime 100 al mondo, codificata spostando i tasti, utilizzata per N servizi diversi, piuttosto che N password diverse, ma del tipo "fuffi", "29-09-1936", "gino", "milano", "password", ecc.
2) È anche più facile da ricordare e da cambiare ogni due mesi (basta che ti ricordi di farlo per tutti gli N servizi).

Ricordate: va bene mantenere lo stesso algoritmo, ma non la stessa password.

In particolare eviterei di usare la stessa password per un forum di cucina e per il conto in banca.

Slowly ha detto...

Vi è mai capitato di impazzire al login provando a indovinare per poi scoprire che non c'era alcuna password???

In effetti una password senza caratteri è pur sempre tecnicamente una password! :D

Anonimo ha detto...

@slowly
si solito quando non so la pwd è premere invio
la seconda se invece c'è una pwd che non so è provare a loggarmi come administrator (e quello di solito la pwd non ce l'ha nel 90% dei casi...)

Turz ha detto...

Storia vera: la mia azienda prova ogni 3 mesi a craccare le password degli utenti.

Per tre trimestri ho fatto lo sborone perché la mia password, costruita con il criterio di "combinare più meccanismi di sicurezza" come ho detto qualche commento fa, passava sempre indenne il test, mentre più di 1 password su 6 veniva craccata.

Qualche giorno fa invece ho ricevuto un messaggio del tipo "abbiamo violato la tua password, quindi non era una buona password".

Era la prima volta che usavo una parola da dizionario, pur aggiungendo numeri, maiuscole e caratteri speciali, ed era la prima volta che non spostavo i caratteri di un tasto, pensando che "meinte50Hz!" fosse sufficientemente sicura. No, non lo era.

Probabilmente 1 su 6 di voi ha come password qualcosa di meno sicuro della password che ho scritto sopra. Fossi in voi la cambierei, i trucchi li ho spiegati (e se li avessi anche rispettati farei ancora lo sborone coi colleghi :-))

Turz ha detto...

Comunque c'è ben di peggio:
http://tinyurl.com/123456password