| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
|
| Top |
|
 |
{luca}
Ospite
|
 Inviato: 07 Nov 2025 11:06 Oggetto: |
 |
|
Quindi riescono ad accedere ai nostri dati "attraverso il furto diretto dei dati memorizzati nei browser o nei gestori di password".
Che i browser fossero inaffidabili già lo sapevo, ma i gestori di password, a parte LastPass (che dovrebbero ribattezzare LostPass), il colabrodo che la gente insiste ad usare, mi sembra che siano molto robusti.
Qualcuno sa quali sono quelli violati, grazie? |
|
| Top |
|
|
milux
Eroe in grazia degli dei
Registrato: 22/04/08 07:09
Messaggi: 77
Residenza: verso i Balcani
|
| Inviato: 07 Nov 2025 11:53 Oggetto: |
|
|
| ho verificato che la password "2cassodeverzesofegae" non è mai stata utilizzata e quindi può essere considerata sicura. |
|
| Top |
|
|
milux
Eroe in grazia degli dei
Registrato: 22/04/08 07:09
Messaggi: 77
Residenza: verso i Balcani
|
| Inviato: 07 Nov 2025 11:59 Oggetto: |
|
|
| {luca} ha scritto: | Quindi riescono ad accedere ai nostri dati "attraverso il furto diretto dei dati memorizzati nei browser o nei gestori di password".
Che i browser fossero inaffidabili già lo sapevo, ma i gestori di password, a parte LastPass (che dovrebbero ribattezzare LostPass), il colabrodo che la gente insiste ad usare, mi sembra che siano molto robusti.
Qualcuno sa quali sono quelli violati, grazie? |
I browser trasmettono dati che possono essere intercettati se la comunicazione con il servizio, non è adeguatamente protetta. I famosi gestori di password on line mi fanno letteralmente "hahare" (in toscano). |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7651
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 07 Nov 2025 12:34 Oggetto: |
|
|
| Non è il pubblicare queste liste sterminate di passwords a costituire una minaccia, perché se ne ho cento miliardi poi devo provarle tutte nel caso pessimo per bucare un servizio. Casomai, la questione è se il servizio mi impedisce di provarne a raffica (ad es. imponendo il TFA) ed al contempo previene il rischio che un aggressore blocchi il mio account con deliberati e reiterati tentativi sbagliati. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 07 Nov 2025 17:05 Oggetto: |
|
|
@Homer prova a Google "password spraying" e poi dimmi se questi elenchi (leak massivi di password) non sono problematici.
Aggiungici che gli utenti riutilizano le password..
Comunque se esperti di sicurezza di tutto rispetto, che hanno alle spalle una solida carira lo reputano un problema, forse forse qualche domanda me la farei prima di (come hai fatto) sancire il contrario.
Io non conosco la tua professionalità (magari sei anche tu del settore cyber security ed hai delle validissime argomentazioni), però se me lo chiedi (personalmente) credo che con questo sparata tu abbia perso un altra occasione. |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11874
Residenza: Tokelau
|
| Inviato: 07 Nov 2025 18:06 Oggetto: |
|
|
@UtenteAnonimo: una password di per sé è praticamente inutile se non associata a uno specifico accesso, peggio ancora quando è in una lista di miliardi
invece una coppia di credenziali è molto più pericolosa - vuoi perché è comune il riuso delle password, vuoi perché delle credenziali che *erano* valide potrebbero a volte bastare per ottenere l'accesso a sistemi non bene controllati...  |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 07 Nov 2025 18:27 Oggetto: |
|
|
@SverX sono d'accordo che un coppia utente password ha più utilità che uno sterminato elenco di password.
Ma come scrivevo i DB di password sono utili e sono realmente utilizzate dai criminali.
Password spraying e calcolo rainbow table, sono i primi due utilizzi nefasti che mi vengono in mente.
Ciò detto non mi risulta che il sito HIBP pubblichi queste informazioni, era solo per fare notare che quanto sostenuto da @Homer mi sembrava inesatto. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7651
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 08 Nov 2025 10:21 Oggetto: |
|
|
| {UtenteAnonimo} ha scritto: | | però se me lo chiedi (personalmente) credo che con questo sparata tu abbia perso un altra occasione. |
| {UtenteAnonimo} ha scritto: | | era solo per fare notare che quanto sostenuto da @Homer mi sembrava inesatto. |
Chiama le cose col proprio nome: insulti.
SverX ha pienamente ragione: una password è un problema solo se la si associa a credenziali reali. Se gli utenti sono superficiali e non applicano le elementari regole di sicurezza (passwords robuste e lunghe, non reiterate ovunque, TFA se possibile) e se i fornitori di servizi non bloccano tentativi ripetuti a raffica (chi sbaglia una password un milione di volte?), non importa se il criminale di turno tenta a partire da un elenco o le genera in autonomia: alla lunga qualcuno sarà compromesso. Se gli esperti di cybersecurity sono preoccupati è perché sanno che comportamenti dozzinali come questi sono fin troppo diffusi, ma con tutto il parlare che se ne fa ormai anche su siti non specialistici, se ancora c'è gente ingenua può solo farsi un serio esame di coscienza la volta che capita a loro. Come impari che non si attraversa fuori dalle strisce, perché far tanta fatica a comprendere un gesto altrettanto sconsiderato?
Se ti comporti da troll, come tale sarai trattato. E cura l'ortografia: non ti serve un elenco preassemblato per quello, basta rileggere prima di postare. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 08 Nov 2025 12:17 Oggetto: |
|
|
@Homer prendo atto che la tua opinione è diametralmente opposta a quanto sostengono gli esperti di sicurezza informatica.
Evidentemente loro (gli esperti) non hanno capito nulla.
Non prenderlo per un insulto, perché non lo è, semplicemente sono basito e credo che tu abbia perso un altra buona occasione.
I database di password sono usati dai criminali (e quindi ovviamente anche da chi si occupa di sicurezza in modo etico e legale) perché hanno un utilità (contrariamente da quel che credi).
Non sono strumenti inutili come sostieni, perché scollegati da account e servizio.
Un paio d' esempi d'uso mi pare di averteli fatti, se non sei d'accordo mi piacerebbe sentire una contro argomentazione.
Ad esempio in che modo un DB di sole password sarebbe inutile nel preparare un attacco di tipo password spraying?
Io credo sarebbe molto utile, di conseguenza è una "minaccia".
Comunque io dubito che sei ricercatori etici pubblichino un simile DB grezzo, caso mai pubblicheranno liste di hash di quelle password, così che si possano escludere senza condividerle/conoscere. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 08 Nov 2025 12:31 Oggetto: |
|
|
@Homer perdona il doppio post ma ho letto dopo la questione relativa all'ortografia.
Trovo sia indicativo della qualità delle argomentazioni il fatto che tu debba criticare la forma, come errori di battitura, piuttosto comuni quando si scrive con lo swipe da uno smartphone (+ correttore); invece che la sostanza del mio ragionamento.
Per l'errore di ortografico poi, mi spiace mi è capitato e mi capiterà ancora di scrivere messaggi non perfetti, purtroppo ogni mezzo di comunicazione ha i suoi limiti.
Confido che il mio interlocutore non abbia dei limiti così importanti, da non poter superare qualche inesattezza nella forma e focalizzarsi sui contenuti ;) |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11874
Residenza: Tokelau
|
| Inviato: 08 Nov 2025 18:42 Oggetto: |
|
|
| {UtenteAnonimo} ha scritto: | | Ma come scrivevo i DB di password sono utili e sono realmente utilizzate dai criminali. |
su questo non ho dubbi, ma credo che la lista delle 10.000 password più frequentemente usate sia un grimaldello molto più veloce di una lista di un miliardo di password 'catturate' da qualunque fonte in qualunque momento
poi ovviamente ogni caso di studio fa una storia a sé, perché se sto cercando di scardinare un archivio crittografato posso anche tentare con l'elenco da un miliardo di password prima di passare a un attacco brute force completo, si tratta di convenienza... |
|
| Top |
|
|
zero
Dio maturo
Registrato: 22/03/08 18:34
Messaggi: 2252
|
| Inviato: 08 Nov 2025 18:51 Oggetto: |
|
|
Saro' diffidente, ma non mi sembra una buona indea "testare" email e password in un servizio web, come questo (o simile).
Lo scopo reale potrebbe essere proprio quello di rubare credenziali.
. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7651
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 08 Nov 2025 19:01 Oggetto: |
|
|
| Citazione: | | Saro' diffidente, ma non mi sembra una buona indea "testare" email e password in un servizio web, come questo (o simile). |
Non so altri, ma HIBP si limita a testare le utenze, non le credenziali complete. Hanno una lista di e-mails note come compromesse: se sei nell'elenco, ti avverte. Potrebbe essere anche un falso positivo, magari perché nel frattempo hai cambiato password o disattivato l'account, ma meglio sempre controllare, male non fa. Viceversa, se non risulti in lista non significa che non ti abbiano "bucato" comunque. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7651
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 08 Nov 2025 19:43 Oggetto: |
|
|
| milux ha scritto: | | ho verificato che la password "2cassodeverzesofegae" non è mai stata utilizzata e quindi può essere considerata sicura. |
Non più. La usa Bezos per gli sconti dipendenti del proprio black Friday. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 08 Nov 2025 19:51 Oggetto: |
|
|
@SverX come scrivevo per attacchi offline, che usino rainbow table, avere un simile dizionario sterminato è utile.
Non sei d'accordo?
@zero Concordo in pieno sulla diffidenza. Però se uno ha il sospetto che gli abbiano cuccato la password, può sempre cambiarla prima e testarla poi (per togliersi il dubbio e sapere se fosse mai stato vittima di compromissione).
@Homer:
https://haveibeenpwned.com/Passwords
Letteralmente il primo risultato di Google.. |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11874
Residenza: Tokelau
|
| Inviato: 10 Nov 2025 11:29 Oggetto: |
|
|
| @UtenteAnonimo sono d'accordo solo nel caso in cui uno conosca il valore del 'salt' a priori, altrimenti onestamente non penso servano a niente (oltre a richiedere chissà quando spazio e quanto tempo per essere generate...) |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7651
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 10 Nov 2025 11:46 Oggetto: |
|
|
| {UtenteAnonimo} ha scritto: | | Non prenderlo per un insulto, perché non lo è, semplicemente sono basito e credo che tu abbia perso un altra buona occasione. |
Continua così. Io intanto vado a discutere con gente che capisce quello che dico, perché almeno lo legge e lo comprende.
Sai una cosa? Avrei potuto replicare punto su punto alle tue obiezioni. Ma non ti meriti tanta attenzione. Mia madre diceva sempre: a parlar con gli asini, si diventa muli. |
|
| Top |
|
|
{Sergio}
Ospite
|
| Inviato: 10 Nov 2025 13:36 Oggetto: |
|
|
| Fino a quando il mondo non adottera un provvedimento universale contro certi crimini informatici utilizzando, in certi casi, anche la pena capiatle, non si avrà mai una soluzione praticabile e un minimo di sicurezza informatica. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 10 Nov 2025 14:58 Oggetto: |
 |
|
@Homer ok buona giornata allora.
Prendo atto del fatto che scrivi bene, ma le argomentazioni scarseggiano.
Sarà forse perché non ci sono e sai di aver preso un granchio?
@ServX Dal punto di vista della sicurezza informatica il Salt è considerato pubblico per quanto ne so (la security sta nel fatto che ve ne sia uno non che sia segreto).
E la sua sola presenza rende inutili le rainbow table, perché andrebbero ricalcolate per ogni utenza (la loro utilità sta proprio nel calcolarle una volta ed utilizzarle molte volte).
Il punto è che non tutti i servizi sono "sicuri".
La sicurezza informatica al 100 per cento non esiste ed i servizi dovrebbero avere un approccio multifattoriale.
Pubblicare un dato che potrebbe compromette alcuni di questi fattori, non è inutile perché tanto ci sono strategie di mitigazione.
Al contrario aumenta il rischio perché elimina alcuni elementi della security dall'equazione.
Quindi il sito che era sicuro perché salva gli hash (e non lasciava le password in chiaro) torna ad essere suscettibile ad attacchi offline, come quelli che possono essere condotti con una rainbow table.
Spero di aver chiarito il mio pensiero |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
