| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
|
| Top |
|
 |
{luca}
Ospite
|
 Inviato: 07 Nov 2025 11:06 Oggetto: |
 |
|
Quindi riescono ad accedere ai nostri dati "attraverso il furto diretto dei dati memorizzati nei browser o nei gestori di password".
Che i browser fossero inaffidabili già lo sapevo, ma i gestori di password, a parte LastPass (che dovrebbero ribattezzare LostPass), il colabrodo che la gente insiste ad usare, mi sembra che siano molto robusti.
Qualcuno sa quali sono quelli violati, grazie? |
|
| Top |
|
|
milux
Eroe
Registrato: 22/04/08 07:09
Messaggi: 76
Residenza: verso i Balcani
|
| Inviato: 07 Nov 2025 11:53 Oggetto: |
|
|
| ho verificato che la password "2cassodeverzesofegae" non è mai stata utilizzata e quindi può essere considerata sicura. |
|
| Top |
|
|
milux
Eroe
Registrato: 22/04/08 07:09
Messaggi: 76
Residenza: verso i Balcani
|
| Inviato: 07 Nov 2025 11:59 Oggetto: |
|
|
| {luca} ha scritto: | Quindi riescono ad accedere ai nostri dati "attraverso il furto diretto dei dati memorizzati nei browser o nei gestori di password".
Che i browser fossero inaffidabili già lo sapevo, ma i gestori di password, a parte LastPass (che dovrebbero ribattezzare LostPass), il colabrodo che la gente insiste ad usare, mi sembra che siano molto robusti.
Qualcuno sa quali sono quelli violati, grazie? |
I browser trasmettono dati che possono essere intercettati se la comunicazione con il servizio, non è adeguatamente protetta. I famosi gestori di password on line mi fanno letteralmente "hahare" (in toscano). |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7632
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 07 Nov 2025 12:34 Oggetto: |
|
|
| Non è il pubblicare queste liste sterminate di passwords a costituire una minaccia, perché se ne ho cento miliardi poi devo provarle tutte nel caso pessimo per bucare un servizio. Casomai, la questione è se il servizio mi impedisce di provarne a raffica (ad es. imponendo il TFA) ed al contempo previene il rischio che un aggressore blocchi il mio account con deliberati e reiterati tentativi sbagliati. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 07 Nov 2025 17:05 Oggetto: |
|
|
@Homer prova a Google "password spraying" e poi dimmi se questi elenchi (leak massivi di password) non sono problematici.
Aggiungici che gli utenti riutilizano le password..
Comunque se esperti di sicurezza di tutto rispetto, che hanno alle spalle una solida carira lo reputano un problema, forse forse qualche domanda me la farei prima di (come hai fatto) sancire il contrario.
Io non conosco la tua professionalità (magari sei anche tu del settore cyber security ed hai delle validissime argomentazioni), però se me lo chiedi (personalmente) credo che con questo sparata tu abbia perso un altra occasione. |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11867
Residenza: Tokelau
|
| Inviato: 07 Nov 2025 18:06 Oggetto: |
|
|
@UtenteAnonimo: una password di per sé è praticamente inutile se non associata a uno specifico accesso, peggio ancora quando è in una lista di miliardi
invece una coppia di credenziali è molto più pericolosa - vuoi perché è comune il riuso delle password, vuoi perché delle credenziali che *erano* valide potrebbero a volte bastare per ottenere l'accesso a sistemi non bene controllati...  |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 07 Nov 2025 18:27 Oggetto: |
|
|
@SverX sono d'accordo che un coppia utente password ha più utilità che uno sterminato elenco di password.
Ma come scrivevo i DB di password sono utili e sono realmente utilizzate dai criminali.
Password spraying e calcolo rainbow table, sono i primi due utilizzi nefasti che mi vengono in mente.
Ciò detto non mi risulta che il sito HIBP pubblichi queste informazioni, era solo per fare notare che quanto sostenuto da @Homer mi sembrava inesatto. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7632
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 08 Nov 2025 10:21 Oggetto: |
|
|
| {UtenteAnonimo} ha scritto: | | però se me lo chiedi (personalmente) credo che con questo sparata tu abbia perso un altra occasione. |
| {UtenteAnonimo} ha scritto: | | era solo per fare notare che quanto sostenuto da @Homer mi sembrava inesatto. |
Chiama le cose col proprio nome: insulti.
SverX ha pienamente ragione: una password è un problema solo se la si associa a credenziali reali. Se gli utenti sono superficiali e non applicano le elementari regole di sicurezza (passwords robuste e lunghe, non reiterate ovunque, TFA se possibile) e se i fornitori di servizi non bloccano tentativi ripetuti a raffica (chi sbaglia una password un milione di volte?), non importa se il criminale di turno tenta a partire da un elenco o le genera in autonomia: alla lunga qualcuno sarà compromesso. Se gli esperti di cybersecurity sono preoccupati è perché sanno che comportamenti dozzinali come questi sono fin troppo diffusi, ma con tutto il parlare che se ne fa ormai anche su siti non specialistici, se ancora c'è gente ingenua può solo farsi un serio esame di coscienza la volta che capita a loro. Come impari che non si attraversa fuori dalle strisce, perché far tanta fatica a comprendere un gesto altrettanto sconsiderato?
Se ti comporti da troll, come tale sarai trattato. E cura l'ortografia: non ti serve un elenco preassemblato per quello, basta rileggere prima di postare. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 08 Nov 2025 12:17 Oggetto: - |
|
|
| Commento di utente non verificato, in attesa di approvazione. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 08 Nov 2025 12:31 Oggetto: - |
|
|
| Commento di utente non verificato, in attesa di approvazione. |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11867
Residenza: Tokelau
|
| Inviato: 08 Nov 2025 18:42 Oggetto: |
|
|
| {UtenteAnonimo} ha scritto: | | Ma come scrivevo i DB di password sono utili e sono realmente utilizzate dai criminali. |
su questo non ho dubbi, ma credo che la lista delle 10.000 password più frequentemente usate sia un grimaldello molto più veloce di una lista di un miliardo di password 'catturate' da qualunque fonte in qualunque momento
poi ovviamente ogni caso di studio fa una storia a sé, perché se sto cercando di scardinare un archivio crittografato posso anche tentare con l'elenco da un miliardo di password prima di passare a un attacco brute force completo, si tratta di convenienza... |
|
| Top |
|
|
zero
Dio maturo
Registrato: 22/03/08 18:34
Messaggi: 2251
|
| Inviato: 08 Nov 2025 18:51 Oggetto: |
|
|
Saro' diffidente, ma non mi sembra una buona indea "testare" email e password in un servizio web, come questo (o simile).
Lo scopo reale potrebbe essere proprio quello di rubare credenziali.
. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7632
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 08 Nov 2025 19:01 Oggetto: |
|
|
| Citazione: | | Saro' diffidente, ma non mi sembra una buona indea "testare" email e password in un servizio web, come questo (o simile). |
Non so altri, ma HIBP si limita a testare le utenze, non le credenziali complete. Hanno una lista di e-mails note come compromesse: se sei nell'elenco, ti avverte. Potrebbe essere anche un falso positivo, magari perché nel frattempo hai cambiato password o disattivato l'account, ma meglio sempre controllare, male non fa. Viceversa, se non risulti in lista non significa che non ti abbiano "bucato" comunque. |
|
| Top |
|
|
Homer S.
Dio Kwisatz Haderach
Registrato: 24/12/21 10:59
Messaggi: 7632
Residenza: Ormai ci sono solo io qui in pianta stabile, che lo chiedete a fare?
|
| Inviato: 08 Nov 2025 19:43 Oggetto: |
|
|
| milux ha scritto: | | ho verificato che la password "2cassodeverzesofegae" non è mai stata utilizzata e quindi può essere considerata sicura. |
Non più. La usa Bezos per gli sconti dipendenti del proprio black Friday. |
|
| Top |
|
|
{UtenteAnonimo}
Ospite
|
| Inviato: 08 Nov 2025 19:51 Oggetto: - |
 |
|
| Commento di utente non verificato, in attesa di approvazione. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
