Discussione con il mio CEO in merito a Sicurezza Icloud e annessa password

[Cicul]

ragazzuoli,
oggi parlando con il CEO della mia azienda gli consigliavo di non utilizzare icloud per tutto perchè avendo lui informazioni molto riservate tra contatti, posta, note, etc. imho non era il massimo della sicurezza mi ha detto che secondo lui era tutto inviolabilissimo.

io ipotizzo che, così come è molto facile fare un bruteforce sulle password di facebook, sia possibile farlo anche con icloud, conoscendo l'email della persona.

cosa ne pensate?
mi ha sfidato a carpire la password del suo account itunes.

need hints.

[Madeiner]

Guarda, tralasciando la parte della sfida che è ridicola, è un argomento dove la comunità è divisa forse al 50%, quindi si ci sono possibili problemi di sicurezza, non se ne conosce l'entità. Qualcuno dice che in ogni caso i documenti su cloud sono piu sicuri che in azienda dove magari c'è il tizio con il postit con la password sul monitor. Qualcun altro dice "eh ma chissà come lavorano sul cloud", e altre cose.

In ogni caso a giudicare dalle realtà aziendali che vedo (e sono in un competence security) ti dico che non ci sono i postit sul pc, ma poco ci manca, e pippo1234 è una password usatissima in giro.

[Thor]

ci sono troppe variabili in ballo

[nortis]

scommettici 500€ e corrompi il figlio con 150

[Cicul]

Guarda, tralasciando la parte della sfida che è ridicola, è un argomento dove la comunità è divisa forse al 50%, quindi si ci sono possibili problemi di sicurezza, non se ne conosce l'entità. Qualcuno dice che in ogni caso i documenti su cloud sono piu sicuri che in azienda dove magari c'è il tizio con il postit con la password sul monitor. Qualcun altro dice "eh ma chissà come lavorano sul cloud", e altre cose.

In ogni caso a giudicare dalle realtà aziendali che vedo (e sono in un competence security) ti dico che non ci sono i postit sul pc, ma poco ci manca, e pippo1234 è una password usatissima in giro.

la parte della sfida è qualcosa di soggettivo, non è che mi ha schiaffeggiato con un guanto.

i post-it con password pippo1234 mai visti in nessuna delle aziende in cui ho lavorato,
certo che se la tua realtà aziendale è il fruttivendolo sotto casa o lo studio di commercialista da 3 elementi questa eventualità è plausibile.

in aziende da oltre 400 elementi lo trovo difficile.

[Cicul]

ci sono troppe variabili in ballo

ossia?


@nortis,

ahahah

[Incoma]

in aziende da oltre 400 elementi lo trovo difficile.

Sopravvaluti gli italiani...

La password con la quale in una multinazionale del farmaco nella sede italiana da oltre 700 persone ti consegnavano la suite di lotus notes era "password". Quella di accesso al pc era nomeazienda123.

Ho chiesto ad un amico dell'IT lo scorso anno durante un intervento di manutenzione ordinaria su tutti i PC aziendali (c.ca 400) quanti avessero ancora quelle due password a distanza di 3 anni.

più del 90% degli utenti.

[Cicul]

wtf >.<

[Madeiner]

la parte della sfida è qualcosa di soggettivo, non è che mi ha schiaffeggiato con un guanto.

i post-it con password pippo1234 mai visti in nessuna delle aziende in cui ho lavorato,
certo che se la tua realtà aziendale è il fruttivendolo sotto casa o lo studio di commercialista da 3 elementi questa eventualità è plausibile.

in aziende da oltre 400 elementi lo trovo difficile.

I post-it erano un esagerazione, cmq lavoro in un azienda di consulenza con un grosso ramo security, dipendenti sono ben piu di 400, e ti assicuro che la realtà è questa. E le password sono le stesse dai clienti (di cui enti regionali)

[Brcondor]

la parte della sfida è qualcosa di soggettivo, non è che mi ha schiaffeggiato con un guanto.

i post-it con password pippo1234 mai visti in nessuna delle aziende in cui ho lavorato,
certo che se la tua realtà aziendale è il fruttivendolo sotto casa o lo studio di commercialista da 3 elementi questa eventualità è plausibile.

in aziende da oltre 400 elementi lo trovo difficile.

In ospedale è realtà quotidiana post-it con psw sopra lo schermo.

[Drako]

Sopravvaluti gli italiani...

La password con la quale in una multinazionale del farmaco nella sede italiana da oltre 700 persone ti consegnavano la suite di lotus notes era "password". Quella di accesso al pc era nomeazienda123.

Ho chiesto ad un amico dell'IT lo scorso anno durante un intervento di manutenzione ordinaria su tutti i PC aziendali (c.ca 400) quanti avessero ancora quelle due password a distanza di 3 anni.

più del 90% degli utenti.

confermo, stessa cosa nel posto dove lavoro io. i sistemi con dati sensibili sono protetti da password ridicole che si, vengono cambiate periodicamente, ma sono sempre molto simili tra di loro.

[Marphil]

Ve lo confermo anche io, ho lavorato per un periodo in sicurezza informatica sulle profilazioni degli account in banca e vi garantisco che la gente usa le password + idiote dell'universo proprio per aver paura di dimenticarle. Senza contare della gente che dimenticava le password, la digitava male o esauriva i tentativi a disposizione bloccando il sistema, ma non ce n'era solo 1 eh, erano un botto, ed il bello è che teoricamente doveva essere gente ad un livello + avanzato nell'uso di questi sistemi, visto che ci lavorava giornalmente (lol)

[Slurpix]

Sopravvaluti gli italiani...

La password con la quale in una multinazionale del farmaco nella sede italiana da oltre 700 persone ti consegnavano la suite di lotus notes era "password". Quella di accesso al pc era nomeazienda123.

Ho chiesto ad un amico dell'IT lo scorso anno durante un intervento di manutenzione ordinaria su tutti i PC aziendali (c.ca 400) quanti avessero ancora quelle due password a distanza di 3 anni.

più del 90% degli utenti.

ahah...pure da me e siamo in 500

[Hangel]

Beh a sto punto il problema è doppio, magari la sicurezza di icloud è perfetta ma se la password la tengono sul monitor del pc si fa presto a bucare!
In ogni modo credo che lo stesso problema lo avresti con qualsiasi indirizzo di posta, se uno vuole bucarti l'account non credo si metta a bucare i server di icloud, buca direttamente il pc dove lavori. Sempre che non hai lasciato la password sulla scrivania

[Zaider]

ho fatto da poco una consulenza abbastanza lunga in una società di crisis management & business continuity con diverse partnership di IT security, insomma ho bazzicato un minimo nell'ambiente degli esperti che svolgono penetration test alle banche/istituti di credito per mostrare il grado di vulnerabilità delle info ad eventuali cracker competenti.

sono rimasto allibito, in quanto a sicurezza informatica siamo indietrissimo in italia (pare che nell'est europa stiano investendo tanto sul tema) e che in azienda pochissimi dati siano "davvero" sicuri. Non so come funzioni icloud e non ne ho idea, ma dubito sia peggio di così.
(Magari qualche IT di banca potrebbe approfondire un pò? la cosa m'interessa?)