ragazzuoli,
oggi parlando con il CEO della mia azienda gli consigliavo di non utilizzare icloud per tutto perchè avendo lui informazioni molto riservate tra contatti, posta, note, etc. imho non era il massimo della sicurezza mi ha detto che secondo lui era tutto inviolabilissimo.

io ipotizzo che, così come è molto facile fare un bruteforce sulle password di facebook, sia possibile farlo anche con icloud, conoscendo l'email della persona.

cosa ne pensate?
mi ha sfidato a carpire la password del suo account itunes.

need hints.

Guarda, tralasciando la parte della sfida che è ridicola, è un argomento dove la comunità è divisa forse al 50%, quindi si ci sono possibili problemi di sicurezza, non se ne conosce l'entità. Qualcuno dice che in ogni caso i documenti su cloud sono piu sicuri che in azienda dove magari c'è il tizio con il postit con la password sul monitor. Qualcun altro dice "eh ma chissà come lavorano sul cloud", e altre cose.

In ogni caso a giudicare dalle realtà aziendali che vedo (e sono in un competence security) ti dico che non ci sono i postit sul pc, ma poco ci manca, e pippo1234 è una password usatissima in giro.

ci sono troppe variabili in ballo

scommettici 500€ e corrompi il figlio con 150

Guarda, tralasciando la parte della sfida che è ridicola, è un argomento dove la comunità è divisa forse al 50%, quindi si ci sono possibili problemi di sicurezza, non se ne conosce l'entità. Qualcuno dice che in ogni caso i documenti su cloud sono piu sicuri che in azienda dove magari c'è il tizio con il postit con la password sul monitor. Qualcun altro dice "eh ma chissà come lavorano sul cloud", e altre cose.

In ogni caso a giudicare dalle realtà aziendali che vedo (e sono in un competence security) ti dico che non ci sono i postit sul pc, ma poco ci manca, e pippo1234 è una password usatissima in giro.

la parte della sfida è qualcosa di soggettivo, non è che mi ha schiaffeggiato con un guanto.

i post-it con password pippo1234 mai visti in nessuna delle aziende in cui ho lavorato,
certo che se la tua realtà aziendale è il fruttivendolo sotto casa o lo studio di commercialista da 3 elementi questa eventualità è plausibile.

in aziende da oltre 400 elementi lo trovo difficile.

ci sono troppe variabili in ballo
ossia?


@nortis,

ahahah :D

in aziende da oltre 400 elementi lo trovo difficile.

Sopravvaluti gli italiani...

La password con la quale in una multinazionale del farmaco nella sede italiana da oltre 700 persone ti consegnavano la suite di lotus notes era "password". Quella di accesso al pc era nomeazienda123.

Ho chiesto ad un amico dell'IT lo scorso anno durante un intervento di manutenzione ordinaria su tutti i PC aziendali (c.ca 400) quanti avessero ancora quelle due password a distanza di 3 anni.

più del 90% degli utenti.

wtf >.<

la parte della sfida è qualcosa di soggettivo, non è che mi ha schiaffeggiato con un guanto.

i post-it con password pippo1234 mai visti in nessuna delle aziende in cui ho lavorato,
certo che se la tua realtà aziendale è il fruttivendolo sotto casa o lo studio di commercialista da 3 elementi questa eventualità è plausibile.

in aziende da oltre 400 elementi lo trovo difficile.

I post-it erano un esagerazione, cmq lavoro in un azienda di consulenza con un grosso ramo security, dipendenti sono ben piu di 400, e ti assicuro che la realtà è questa. E le password sono le stesse dai clienti (di cui enti regionali)

la parte della sfida è qualcosa di soggettivo, non è che mi ha schiaffeggiato con un guanto.

i post-it con password pippo1234 mai visti in nessuna delle aziende in cui ho lavorato,
certo che se la tua realtà aziendale è il fruttivendolo sotto casa o lo studio di commercialista da 3 elementi questa eventualità è plausibile.

in aziende da oltre 400 elementi lo trovo difficile.
In ospedale è realtà quotidiana post-it con psw sopra lo schermo.

Sopravvaluti gli italiani...

La password con la quale in una multinazionale del farmaco nella sede italiana da oltre 700 persone ti consegnavano la suite di lotus notes era "password". Quella di accesso al pc era nomeazienda123.

Ho chiesto ad un amico dell'IT lo scorso anno durante un intervento di manutenzione ordinaria su tutti i PC aziendali (c.ca 400) quanti avessero ancora quelle due password a distanza di 3 anni.

più del 90% degli utenti.

confermo, stessa cosa nel posto dove lavoro io. i sistemi con dati sensibili sono protetti da password ridicole che si, vengono cambiate periodicamente, ma sono sempre molto simili tra di loro.

Ve lo confermo anche io, ho lavorato per un periodo in sicurezza informatica sulle profilazioni degli account in banca e vi garantisco che la gente usa le password + idiote dell'universo proprio per aver paura di dimenticarle. Senza contare della gente che dimenticava le password, la digitava male o esauriva i tentativi a disposizione bloccando il sistema, ma non ce n'era solo 1 eh, erano un botto, ed il bello è che teoricamente doveva essere gente ad un livello + avanzato nell'uso di questi sistemi, visto che ci lavorava giornalmente (lol)

Sopravvaluti gli italiani...

La password con la quale in una multinazionale del farmaco nella sede italiana da oltre 700 persone ti consegnavano la suite di lotus notes era "password". Quella di accesso al pc era nomeazienda123.

Ho chiesto ad un amico dell'IT lo scorso anno durante un intervento di manutenzione ordinaria su tutti i PC aziendali (c.ca 400) quanti avessero ancora quelle due password a distanza di 3 anni.

più del 90% degli utenti.

ahah...pure da me e siamo in 500 :)

Beh a sto punto il problema è doppio, magari la sicurezza di icloud è perfetta ma se la password la tengono sul monitor del pc :) si fa presto a bucare!
In ogni modo credo che lo stesso problema lo avresti con qualsiasi indirizzo di posta, se uno vuole bucarti l'account non credo si metta a bucare i server di icloud, buca direttamente il pc dove lavori. Sempre che non hai lasciato la password sulla scrivania :)

ho fatto da poco una consulenza abbastanza lunga in una società di crisis management & business continuity con diverse partnership di IT security, insomma ho bazzicato un minimo nell'ambiente degli esperti che svolgono penetration test alle banche/istituti di credito per mostrare il grado di vulnerabilità delle info ad eventuali cracker competenti.

sono rimasto allibito, in quanto a sicurezza informatica siamo indietrissimo in italia (pare che nell'est europa stiano investendo tanto sul tema) e che in azienda pochissimi dati siano "davvero" sicuri. Non so come funzioni icloud e non ne ho idea, ma dubito sia peggio di così.
(Magari qualche IT di banca potrebbe approfondire un pò? la cosa m'interessa?)

è già stata detta chiami il supporto clienti e ti fai dare la password direttamente da loro? :sneer:

ragazzuoli,
oggi parlando con il CEO della mia azienda gli consigliavo di non utilizzare icloud per tutto perchè avendo lui informazioni molto riservate tra contatti, posta, note, etc. imho non era il massimo della sicurezza mi ha detto che secondo lui era tutto inviolabilissimo.

io ipotizzo che, così come è molto facile fare un bruteforce sulle password di facebook, sia possibile farlo anche con icloud, conoscendo l'email della persona.

cosa ne pensate?
mi ha sfidato a carpire la password del suo account itunes.

need hints.

Bruteforce è totalmente inutile se la password non è banale.
Quindi o ha una password del cazzo, oppure a meno di colpi di culo esagerati (tipo che fai prima a vincere un paio di volte al superenalotto) non la beccherai mai.

bhe ancora qualche anno e ci sarà abbastanza forza bruta per scardinare anche password abbastanza lunghe.
Ormai quelle da 8 caratteri sono cadute...

Ovviamente tutto questo sarà possibile con algoritmi abbastanza banali che si spera in futuro non si useranno più.

bhe ancora qualche anno e ci sarà abbastanza forza bruta per scardinare anche password abbastanza lunghe.
Ormai quelle da 8 caratteri sono cadute...

Ovviamente tutto questo sarà possibile con algoritmi abbastanza banali che si spera in futuro non si useranno più.

:gha:
Parlo di RSA & co, non di cagate random. Puoi anche avere un supercomputer, ti ci vorrebbero in ogni caso migliaia di anni per trovare la password.

edit:
anche perchè attento, su un sistema implementato come si deve non è che puoi provare infinite combinazioni sperando di beccare quella giusta. Di solito hai X tentativi, dopodichè và in blocco.
Ciò rende virtualmente impossibile qualsiasi attacco, almeno su questo versante.

nei datacenter ci sono blocchi di almeno 10 minuti (e dopo tot sono permanenti) dopo 10 tentativi sbagliati... in sostanza o usi password nome123 oppure è alquanto improbabile "sgamare" una passowrd in questi ambiti.

quoto ercos, chiama il supporto se sei bravo a parlare, ci metti 3 nanosecondi

bhe di solito si dumpano i db, e cmq anche rsa è stata bucata tant'è che tutte le banche si stavano cominciando a cacare sotto. :sneer:

Non sono dati sensibili ma semplicemente accesso a griglie su ordini presso i fornitori o accesso ai prezzi dei prodotti...il post it é sotto la tastiera e la pw non e nome azienda1234 ma pochissimo ci manca

bhe ancora qualche anno e ci sarà abbastanza forza bruta per scardinare anche password abbastanza lunghe.
Ormai quelle da 8 caratteri sono cadute...

Ovviamente tutto questo sarà possibile con algoritmi abbastanza banali che si spera in futuro non si useranno più.ma perchè dite ste cose, ma spiegatemelo, perchèèèè. E leggetevi non dico un libro, ma una pagina di wiki sulla crittografia.

Detto ciò i servizi cloud sono meno sicuri in quanto moltiplichi la possibilità di perdere un device con l'accesso salvato sopra, non per altro. Oltre al fatto che fino a poco tempo fa era ridicolo farsi resettare la pass al telefono: http://www.ilpost.it/2012/08/22/honan-wired-perdere-dati-online/

bhe di solito si dumpano i db, e cmq anche rsa è stata bucata tant'è che tutte le banche si stavano cominciando a cacare sotto. :sneer:

Fonte?
Per bucare RSA vuol dire che esiste una macchina di turing deterministica in grado di trovare la chiave in tempo polinomiale. Tradotto in termini profani, un algoritmo (che non gira su computer quantistici :sneer:) in grado di trovare la chiave corretta in un tempo umano rispetto alla dimensione dell'input.
Ma questo è, per quanto ne sappiamo ad oggi, impossibile. Perchè per bucare RSA devi essere in grado di calcolare il logaritmo discreto, e non si può fare visto che ci sono infinite (letteralmente infinite) possibilità. L'unico modo è conoscere il modulo, ma come dire, è come svaligiare fort knox senza guardie senza allarmi e con tutte le porte aperte.

In altri termini trovare un algoritmo polinomiale in grado di bucare RSA vorrebbe praticamente dire che P = NP. Cioè verrebbe risolto uno dei dilemmi massimi dell'informatica, un problema che non è stato risolto da 50 anni a sta parte.

Poi ci sono tanti modi per bucare RSA in determinate, particolari condizioni dove l'implementazione è stata fatta alla cazzo di cane. Ma se il sistema crittografico è implementato correttamente non è attaccabile.

Ergo son molto curioso di vedere sto articolo, perchè se fosse vero sarebbe, come detto, una svolta epocale per l'informatica (e per il mondo).

http://lmgtfy.com/?q=rsa+bucato

http://lmgtfy.com/?q=rsa+bucato

Mi spieghi come cazzo fai a fare un reply supponente come questo, peraltro che riporta solo merdate, dopo che ti è stato spiegato per filo e per segno come funziona?
Riesci a capire che bucare RSA e vedere trafugate delle informazioni riguardo al securID siano due cose che non c'azzeccano davvero un cazzo?

http://lmgtfy.com/?q=rsa+bucatoma li hai letti i link? Hanno violato parzialmente alcuni chip FISICI sui quali era salvata la chiave privata. Nel senso, sse nel tuo device la chiave di RSA è salvata a livello hardware nel chip che piace a loro, questi smontandoti il device potrebbero recuperare parte della chiave privata.
Meno film e più matematica ragazzi, il "tutto è crackabile" "non esiste la cifratura perfettah" è una cazzata che più volte vi abbiamo cercato di far capire. E dove non arriva la matematica, arriva l'ingegneria. Come ha detto anche axet un algoritmo meno sicuro unito ad un meccanismo di tentativi massimi/ad un IPS/ad un meccanismo di cambio chiavi dopo un tot tempo risolve il problema.

Non volevo farvi scaldare