Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
MaXXX eternal tiare Dio maturo
Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 31 Gen 2014 15:24 Oggetto: |
|
|
Così è più chiara... stamattina molte altre notizie parlavano di password rubate non tramite attacco brute force ma proprio rubate a yahoo..
Rimane certo il biasimo (non ci si sorprende però) che server di servizi di terze parti possano aver accesso a database yahoo contenenti gli username degli utenti... sicuramente per scopi pubblicitari
forse yahoo e gli altri oltre a proteggere se stessi dovrebbe chedere più competenza anche dai partner |
|
Top |
|
|
valcipo Mortale devoto
Registrato: 01/02/14 11:25 Messaggi: 17 Residenza: Firenze
|
Inviato: 01 Feb 2014 11:36 Oggetto: |
|
|
Anche voi usate la criptografia delle password. Perchè molti siti, anche istituzionali, non usano questa tecnica ? Forse i programmatori non sanno cosa vuol dire crittografare una stringa ? Suggeritegli di dare un'occhiata all'algoritmo MD5. Insomma se si continua a lasciare la chiave sulla toppa, prima o poi arriva il ladro che entra in casa !!!! E' normale che sia così !! |
|
Top |
|
|
interceptor Semidio
Registrato: 20/01/06 08:52 Messaggi: 252
|
Inviato: 02 Feb 2014 11:27 Oggetto: |
|
|
Ma chiara mica tanto.
Società terza parte, bucato il SUO DB con mail e password per il SUO servizio.
A questo punto non si capisce il "si appogiava a yahoo mail": cioè tutti quelli che usavano quel servizio avevano una mail di yahoo? (Improbabile, no?)
Dopo l'attacco è chiaro servizio terzo -> username = xyz@yahoo.com
password= lamiapassword
Provo a vedere se lamiapassword è la stessa per xyz@yahoo.com.
Quindi perchè solo con yahho e non qualsiasi provider che l'utente abbia usato come username? |
|
Top |
|
|
{ViR} Ospite
|
Inviato: 04 Feb 2014 10:06 Oggetto: |
|
|
Sì, interceptor, ma quello che che presumo intedesse valcipo è che l'altra società (chiamiamo Yahoo A e quest'altra B) non dovrebbe memorizzare in chiaro la password dell'utente (U1) ma crittografarla.
Neppure per i propri servizi, è indispensabile che B si conservi la passord di U1 in chiaro:
quando U si registra ad B e comunica la scelta propia password ( P(U1) ), B non se la segna bensì con un algortmo (MD5 o altri) la cripta ottenendo un risultato ( R(U1) ) ricavato da essa, ma dal quale viceversa non si può risalire a P(U1) (ci sono algoritmi con questa proprietà).
Le volte successive che U1 vorrà accedere, comunicherà a B la propria password P(U1). Come potrà B sapere se è giusta, se non se l'è salvata? Applica di nuovo l'agoritmo di crittografia e calcola il risultato R(U1) , che deve essere uguale a quello salvato.
Se un terzo (C) rubasse il file con "le password" (ma in realtà sono i R(Un) dei vari utenti, non le vere e proprie password P(Un) ) non potrebbe accedere al servizio di B. Tanto meno a quello di A (Yahoo) |
|
Top |
|
|
interceptor Semidio
Registrato: 20/01/06 08:52 Messaggi: 252
|
Inviato: 04 Feb 2014 15:32 Oggetto: |
|
|
Ok, perfetto ma questa che dici è "una best practice" per mitigare gli effetti dell'intrusione nel DB.
Quello che non capisco è perchè la società B fosse legata adoppio filo con Yahoo.
Se la username è l'indirizzo mail, perchè solo di yahoo.
E se rivendevano il servizio mail di yahoo (ma suppongo con un altro dominio da cui l'appoggio) perchè sarebbe compromessa la casella di dominio yahoo. |
|
Top |
|
|
{silvio} Ospite
|
Inviato: 05 Feb 2014 12:27 Oggetto: |
|
|
ok a me e' successo tutto questo ma ora non posso piu' entrare nella mia posta...... pasword errata e domanda segreta errata hanno cambiato tutto.Aiutooooooo come faccio adesso ad avere accesso alla mia ex-mail? |
|
Top |
|
|
Zeus News Ospite
|
Inviato: 07 Feb 2014 08:30 Oggetto: |
|
|
Hacker all'attacco di Yahoo Mail: rubate username e password a migliaia di utenti |
|
Top |
|
|
MaXXX eternal tiare Dio maturo
Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 07 Feb 2014 14:35 Oggetto: |
|
|
@ Interceptor esatto la questione è questa come facevano ad avere nei loro db indirizzi mail yahoo???
forse era un partner di yahoo che mandava pubblicità mirata nei banner?? potrebbe essere un idea... la cosa non è stata chiarita...
se avessero collezionato indirizzi a caso su internet però non ci sarebbero stati solo quelli yahoo
l'unica cosa chiara è che non hanno rubato le password appunto di yhaoo ma hanno usato quelle che probabilomente potevano essere leggendo le password del servizio partner tra virgolette (ecco perchè usare una pw diversa per ogni servizio)
non è nemmeno chiaro se questo terzo servizio non abbiamo crittografato gli hash degli indirizzi e delle loro password magari lo hanno fatto ma con una protezione debole... |
|
Top |
|
|
|