Nella lezione di Reti del 9 Marzo abbiamo evidenziato che uno dei grossi problemi delle password consiste nel fatto che si tratta di un "segreto non tanto segreto".
Un client C dimostra la propria identità al server dimostrando che conosce un certo segreto (la password). Segreto che conosce solo C.
Il problema è che il segreto lo deve conoscere anche il server. Il server deve cioè avere una tabella con tutte le coppie username-password dei propri utenti, cioè di tutti i C.
Questo significa che se qualcuno riesce a rubare la tabella allora quel qualcuno conosce tutti i segreti e quindi riesce ad impersonare tutti gli utenti. Anche se ogni utente custodisce la propria password perfettamente. Anche se ogni utente sceglie la propria password in modo praticamente impossibile da indovinare. Gli utenti soffrono quindi un danno non per colpa loro.
Questi eventi non sono affatto rari.
http://sijmen.ruwhof.net/weblog/608-personal-data-of-dutch-telecom-providers-extremely-poorly-protected-how-i-could-access-12-million-records
http://blog.erratasec.com/2012/06/confirmed-linkedin-6mil-password-dump.html
https://nakedsecurity.sophos.com/2012/02/22/youporn-password-download/
https://nakedsecurity.sophos.com/2012/02/11/dutch-isp-kpn-hacked-credentials-and-personal-information-leaked/
http://www.theguardian.com/technology/2013/nov/07/adobe-password-leak-can-check
http://www.security-faqs.com/avast-de-hacked-and-defaced-20000-user-accounts-leaked.html
etc etc
Recentemente è sorto un sito web molto interessante. Molti hacker fanno circolare liberamente gli username e password che sono riusciti ad ottenere. Questo sito raccoglie molte di queste "divulgazioni" e permette di verificare se il proprio username è contenuto in queste raccolte. Permette anche di lasciare il proprio indirizzo email in modo da essere avvisati. Ovviamente il sito raccoglie solo username, non password.
Il sito è interessante sia per il servizio sia per i numeri coinvolti. Poco fa erano 92 siti con quasi 300 milioni di username.
https://haveibeenpwned.com/
Un client C dimostra la propria identità al server dimostrando che conosce un certo segreto (la password). Segreto che conosce solo C.
Il problema è che il segreto lo deve conoscere anche il server. Il server deve cioè avere una tabella con tutte le coppie username-password dei propri utenti, cioè di tutti i C.
Questo significa che se qualcuno riesce a rubare la tabella allora quel qualcuno conosce tutti i segreti e quindi riesce ad impersonare tutti gli utenti. Anche se ogni utente custodisce la propria password perfettamente. Anche se ogni utente sceglie la propria password in modo praticamente impossibile da indovinare. Gli utenti soffrono quindi un danno non per colpa loro.
Questi eventi non sono affatto rari.
http://sijmen.ruwhof.net/weblog/608-personal-data-of-dutch-telecom-providers-extremely-poorly-protected-how-i-could-access-12-million-records
http://blog.erratasec.com/2012/06/confirmed-linkedin-6mil-password-dump.html
https://nakedsecurity.sophos.com/2012/02/22/youporn-password-download/
https://nakedsecurity.sophos.com/2012/02/11/dutch-isp-kpn-hacked-credentials-and-personal-information-leaked/
http://www.theguardian.com/technology/2013/nov/07/adobe-password-leak-can-check
http://www.security-faqs.com/avast-de-hacked-and-defaced-20000-user-accounts-leaked.html
etc etc
Recentemente è sorto un sito web molto interessante. Molti hacker fanno circolare liberamente gli username e password che sono riusciti ad ottenere. Questo sito raccoglie molte di queste "divulgazioni" e permette di verificare se il proprio username è contenuto in queste raccolte. Permette anche di lasciare il proprio indirizzo email in modo da essere avvisati. Ovviamente il sito raccoglie solo username, non password.
Il sito è interessante sia per il servizio sia per i numeri coinvolti. Poco fa erano 92 siti con quasi 300 milioni di username.
https://haveibeenpwned.com/
Commenti