Hanno identificato la mia password di posta elettronica

fallugia

Apota
Registrato
2/11/15
Messaggi
38.917
Punti reazioni
2.900
Mi è arrivata nei giorni scorsi la classica minaccia via mail. Conoscono la mia password attraverso un malware che io avrei preso frequentando un sito porno, poi hanno fatto un video tramite la mia webcam e manderanno il video ai miei contatti se non pago un riscatto in bitcoin..etc...etc.

Ora, si dà il caso che la password sia proprio quella...in realtà è la password precedente, perché poi mesi fa libero mi costrinse a cambiarla con una più complessa fatta di numeri e lettere.
La domanda mi rimane, comunque. Come hanno fatto a carpirla? L’hanno fregata a libero?
Preciso che non si tratta di password elementare del tipo data di nascita, 123456, password o robe simili. È una serie numerica casuale.
 
Mi è arrivata nei giorni scorsi la classica minaccia via mail. Conoscono la mia password attraverso un malware che io avrei preso frequentando un sito porno, poi hanno fatto un video tramite la mia webcam e manderanno il video ai miei contatti se non pago un riscatto in bitcoin..etc...etc.

Ora, si dà il caso che la password sia proprio quella...in realtà è la password precedente, perché poi mesi fa libero mi costrinse a cambiarla con una più complessa fatta di numeri e lettere.
La domanda mi rimane, comunque. Come hanno fatto a carpirla? L’hanno fregata a libero?
Preciso che non si tratta di password elementare del tipo data di nascita, 123456, password o robe simili. È una serie numerica casuale.

di recente libero ha subito un attacco e molte passw sono state rubate.Per aumentare la sciurezza collega la casella ad un cellulare ed inserisci una mail secondaria(magari di un altro gestore), lo puoi fare nelle impostazioni.
 
Mi è arrivata nei giorni scorsi la classica minaccia via mail. Conoscono la mia password attraverso un malware che io avrei preso frequentando un sito porno, poi hanno fatto un video tramite la mia webcam e manderanno il video ai miei contatti se non pago un riscatto in bitcoin..etc...etc.

Ora, si dà il caso che la password sia proprio quella...in realtà è la password precedente, perché poi mesi fa libero mi costrinse a cambiarla con una più complessa fatta di numeri e lettere.
La domanda mi rimane, comunque. Come hanno fatto a carpirla? L’hanno fregata a libero?
Preciso che non si tratta di password elementare del tipo data di nascita, 123456, password o robe simili. È una serie numerica casuale.


Probabilmente il gestore della casella è stato oggetto di un data breach e parte dei data base sono stati trafugati.

Le password associate alle mail sono in genere memorizzate in forma 'oscurata' tramite algoritmi di hash che richiedono di usare strategie di tipo brute force per 'scovare' la password.

Un attacco brute force richiede un numero di tentativi pari a n^m dove n è la base caratteri usata e m la lunghezza della password.

Usare solo numeri (in tutto 10) come base caratteri e, magari, una lunghezza di 8 caratteri, con le potenze di calcolo attuali è un rischio grave (bastano 10^8 tentativi che richiedono pochi minuti).

Gli algoritmi di hash usati per memorizzare le password su data base e siti sono efficaci se l'utente ci mette del suo: usare almeno lettere+numeri (pari a 36 caratteri complessivi se si usa l'alfabeto inglese) e una lunghezza di almeno 14 caratteri (che è il minimo generalmente consigliato ma.....anche 20 andrebbe bene :D, in quest'ultimo caso servirebbero 36^20 tentativi).

Come giustamente consigliato da @maxbank, ove possibile abilitare il 2FA.
 
Libero è stato oggetto di diversi breach nel corso del tempo...
Quindi se la password era associata ad un indirizzo libero è stata probabilmente presa da lì e probabilmente non era molto resistente (come capita a tutti di averne)
Secondo me meglio non usarla più
 
Vabbe ma sulla webcam lo sanno tutti che bisogna mettere un nastro isolante...:o
 
Mi è arrivata nei giorni scorsi la classica minaccia via mail. Conoscono la mia password attraverso un malware che io avrei preso frequentando un sito porno, poi hanno fatto un video tramite la mia webcam e manderanno il video ai miei contatti se non pago un riscatto in bitcoin..etc...etc.

Ora, si dà il caso che la password sia proprio quella...in realtà è la password precedente, perché poi mesi fa libero mi costrinse a cambiarla con una più complessa fatta di numeri e lettere.
La domanda mi rimane, comunque. Come hanno fatto a carpirla? L’hanno fregata a libero?
Preciso che non si tratta di password elementare del tipo data di nascita, 123456, password o robe simili. È una serie numerica casuale.

poi hanno fatto un video tramite la mia webcam e manderanno il video ai miei contatti se non pago un riscatto in bitcoin..etc...etc.
Scusa, ma tu cosa cavolo combini quando sei davanti al monitor ? :D
E poi hai sempre la webcam collegata ?
 
Scusa, ma tu cosa cavolo combini quando sei davanti al monitor ? :D
E poi hai sempre la webcam collegata ?
Manco ce l’ho la webcam, figurati.
È la solita mail che mandano a tutti sparando nel mucchio.
L’unica cosa che hanno azzeccato è la vecchia password, peccato che l’abbia cambiata qualche mese fa perché libero non mi faceva più entrare con quella vecchia.
E poi neanche saprei come pagare il riscatto in bitcoin :D
Tra l’altro la mail del ricatto era nella sezione “spam” nella casella di posta elettronica. L’ho vista per caso.
 
Probabilmente il gestore della casella è stato oggetto di un data breach e parte dei data base sono stati trafugati.

Le password associate alle mail sono in genere memorizzate in forma 'oscurata' tramite algoritmi di hash che richiedono di usare strategie di tipo brute force per 'scovare' la password.

Un attacco brute force richiede un numero di tentativi pari a n^m dove n è la base caratteri usata e m la lunghezza della password.

Usare solo numeri (in tutto 10) come base caratteri e, magari, una lunghezza di 8 caratteri, con le potenze di calcolo attuali è un rischio grave (bastano 10^8 tentativi che richiedono pochi minuti).

Gli algoritmi di hash usati per memorizzare le password su data base e siti sono efficaci se l'utente ci mette del suo: usare almeno lettere+numeri (pari a 36 caratteri complessivi se si usa l'alfabeto inglese) e una lunghezza di almeno 14 caratteri (che è il minimo generalmente consigliato ma.....anche 20 andrebbe bene :D, in quest'ultimo caso servirebbero 36^20 tentativi).

Come giustamente consigliato da @maxbank, ove possibile abilitare il 2FA.

La mia password adesso è di 11 caratteri.
Come si fa a ricordare una password di 20? Dovrei scriverla da qualche parte (ma dove, per essere sicuri?) e ogni volta dovrei andare a rivederla.
 
La mia password adesso è di 11 caratteri.
Come si fa a ricordare una password di 20? Dovrei scriverla da qualche parte (ma dove, per essere sicuri?) e ogni volta dovrei andare a rivederla.


Ognuno ha i suoi metodi, mnemonici e non. :yes:
Personalmente, ricordo molte delle mie password che non sono mai inferiori a 20 caratteri (in genere vicine ai 32), ma di certo non tutte.

I metodi più semplici (e adatti a tutti) sono adottare un password manager (che può anche creare lui stesso una password robusta) o memorizzare le password su una pen USB criptata (o più, per gestire il rischio 'guasto').

In alternativa, è possibile adottare una frase di facile memorizzazione (es. chediavolostaidicendoWillis!), cosa che però lascia più esposti ad attacchi a dizionario (basati sulla ricerca di parole di senso compiuto).
I possibili escamotage per rendersi meno vulnerabili a questi attacchi sono: frasi in dialetto, frasi con parole non troppo diffuse e/o con parole opportunamente storpiate, frasi cui applicare la propria, personalissima, implementazione del cifrario di Cesare :D, etc..

Da evitare, quando possibile, frasi di canzoni e/o frasi celebri (sicuramente incluse nei dizionari di attacco disponibili on-line) e l'uso esclusivo dell'inglese (i dizionari di attacco più diffusi e aggiornati disponibili on-line sono, ovviamente in inglese), positivo invece l'uso di un mix di idiomi per le parole della frase purchè non siano parole banali).
 
La mia password adesso è di 11 caratteri.
Come si fa a ricordare una password di 20? Dovrei scriverla da qualche parte (ma dove, per essere sicuri?) e ogni volta dovrei andare a rivederla.

puoi tranquillamente elaborare una frasetta che certamente conosci: un proverbio, un motto, anche un qualcosa che pensi spesso tra te e te. una volta che hai la frasetta (anche di 30-40 caratteri, potresti ad esempio , tra una parola e un'altra , usare uno o più separatori che certamente abbiano uno schema per te ,chiaro e noto...la tua password sarà inattaccabile e non dovrai scrivertela, ma solo , facilmente, a questo punto, ricordarla

esempio: la frase "il mio cuore è sopra l'oceano" è facilissima (almeno per me) da ricordare. se poi aggiungi uno o più separatori in schema a te noto: "il-mio.cuore-è.sopra-l'oceano" ..chiaro lo schema ,no?...questa password è inattaccabile(ora e sempre), eppure è semplicissima da ricordare


ps comunque non c'è nulla di male a scrversi una passwor lunga e non ricordabile su un quaderno e tenendo il quaderno a portata di mano. certo , si presuppone che la casa sia ragionevolmente non raggiungibile da chiunque (e tieni conto che se anche qualcuno raggiunge la PW scritta , non necessariamente è in grado di associarla all'account)
 
puoi tranquillamente elaborare una frasetta che certamente conosci: un proverbio, un motto, anche un qualcosa che pensi spesso tra te e te. una volta che hai la frasetta (anche di 30-40 caratteri, potresti ad esempio , tra una parola e un'altra , usare uno o più separatori che certamente abbiano uno schema per te ,chiaro e noto...la tua password sarà inattaccabile e non dovrai scrivertela, ma solo , facilmente, a questo punto, ricordarla

esempio: la frase "il mio cuore è sopra l'oceano" è facilissima (almeno per me) da ricordare. se poi aggiungi uno o più separatori in schema a te noto: "il-mio.cuore-è.sopra-l'oceano" ..chiaro lo schema ,no?...questa password è inattaccabile(ora e sempre), eppure è semplicissima da ricordare
Sì d'accordo, finché è una lo puoi fare. :)
Con il proliferare dei servizi online, fai conto che io soltanto per la gestione delle finanze (banche / carte di credito) ho oltre 20 account con relativa password; aggiungi le varie utility (AdE, INPS, SPID, PEC, assicurazioni, gestori luce/gas/telefono) e passiamo le 50 password abbondantemente, solo per le cose importanti (poi ci sono le password dei vari forum/social/ecc, come il FOL ad esempio, e sono altre decine).
Ricordare tutto a memoria sarebbe impossibile, nell'era digitale per me è fondamentale il password manager.
 
yep, decisamente la soluzione più comoda (mantenendo la sicurezza)OK!


ps io a volte "esagero" nel consigliare certe soluzioni perchè ho una memoria feroce
 
Grazie a tutti dei consigli. Ne farò uso.
 
puoi tranquillamente elaborare una frasetta che certamente conosci: un proverbio, un motto, anche un qualcosa che pensi spesso tra te e te. una volta che hai la frasetta (anche di 30-40 caratteri, potresti ad esempio , tra una parola e un'altra , usare uno o più separatori che certamente abbiano uno schema per te ,chiaro e noto...la tua password sarà inattaccabile e non dovrai scrivertela, ma solo , facilmente, a questo punto, ricordarla

esempio: la frase "il mio cuore è sopra l'oceano" è facilissima (almeno per me) da ricordare. se poi aggiungi uno o più separatori in schema a te noto: "il-mio.cuore-è.sopra-l'oceano" ..chiaro lo schema ,no?...questa password è inattaccabile(ora e sempre), eppure è semplicissima da ricordare


ps comunque non c'è nulla di male a scrversi una passwor lunga e non ricordabile su un quaderno e tenendo il quaderno a portata di mano. certo , si presuppone che la casa sia ragionevolmente non raggiungibile da chiunque (e tieni conto che se anche qualcuno raggiunge la PW scritta , non necessariamente è in grado di associarla all'account)

Purtroppo non passerebbe gran parte delle password che devo impostare
Perché indipendentemente dalla robustezza della password vogliono anche i numeri
O maiuscole
O carattere speciale
O troppo lunga
O niente accentate
O perché mi chiamo Soprabito e sopra non lo posso usare nella password (scherzo, mi chiamo Soprano)
O perché usata nelle ultime 10
O combinazione a caso delle precedenti, tutte vere.
Insomma, il password manager, a mio avviso, serve.
Io uso il gestore password del browser per quelle "inutili" e keepass2 per quelle dei servizi che arrivano al portafoglio.
 
Purtroppo non passerebbe gran parte delle password che devo impostare
Perché indipendentemente dalla robustezza della password vogliono anche i numeri

si possono aggiungere uno o più numeri a quello schema (ad esempio al posto dei separatori) e mantenere la semplicità di ricordo

O maiuscole si può esordire in tutte le parole con una maiuscola
O carattere speciale stesso discorso
O troppo lunga allora c'è da protestare con il servizio e da dubitare della sicurezza dello stesso (minacciare di deferirli per il GDPR ;))
O niente accentate , si usano lettere non accentate, non c'è problema
O perché mi chiamo Soprabito e sopra non lo posso usare nella password (scherzo, mi chiamo Soprano)
O perché usata nelle ultime 10 da non dire nemmeno per scherzo:)
O combinazione a caso delle precedenti, tutte vere.
Insomma, il password manager, a mio avviso, serve.
Io uso il gestore password del browser per quelle "inutili" e keepass2 per quelle dei servizi che arrivano al portafoglio.

i password manager sono i benvenuti, ma si può fare anche a meno sotto precise condizioni (una è certamente la memoria congli schemi utilizzati)


"Il1Mio2Cuore3E4Sopra5Loceano."
 
IO faccio così: "Questafraseèlamiapswrd" uguale per tutti siti.

Pio aggiungo 1 davanti ed 1 dietro in modo che diventa"1Questafraseèlamiapsrd1" e quando il sito chiede il cambio pswrd cambio i numeri iniziali e finali in sequenza 2 - 2, 3- 3 ecc
 
IO faccio così: "Questafraseèlamiapswrd" uguale per tutti siti.

Tenere la stessa password per tutti i siti, indipendentemente da quanto robusta e complessa sia, mi pare una pessima strategia. Basta che uno solo di questi venga bucato e sei perduto.
 
In merito alle password, il difficile di avere uno schema pratico è che diversi siti ti costringono ad inserire diversi tipi di password, di fatto impedendoti di usare uno schema o algoritmo che dir si voglia.
C'è il sito che vuole massimo 10 caratteri, quello che non fa distinzioni tra maiuscole e minuscole, quello che non accetta caratteri speciali, quello che ne vuole almeno due, altri che non accettano il punto, altri la virgola, altri che devi cambiare la password dopo un po' di tempo...così a registrarsi qui e lì lo schema si perde. Inoltre il grosso delle credenziali uno lo usa una volta ogni tanto, quindi a distanza di tempo lo schema usato si può dimenticare.
Da qualche tempo quindi ho deciso di usare un password manager e non avrei potuto fare una scelta migliore. Su questo password manager non è registrata alcuna password che da accesso diretto a soldi o dati personali di rilievo (quindi no banche, no paypal, no login della carta di credito, no mail principale) ma ci sono tutte quelle password che uno usa di tanto in tanto che finalmente sono tutte sicure e tutte diverse tra loro generate random dal password manager. Per ora credo di aver fatto la scelta giusta, poi si vedrà. :D

Caspita, non mi ero accorto che SteMOT aveva fatto un discorso simile, che ovviamente condivido. :)
 
In merito alle password, il difficile di avere uno schema pratico è che diversi siti ti costringono ad inserire diversi tipi di password, di fatto impedendoti di usare uno schema o algoritmo che dir si voglia.
C'è il sito che vuole massimo 10 caratteri, quello che non fa distinzioni tra maiuscole e minuscole, quello che non accetta caratteri speciali, quello che ne vuole almeno due, altri che non accettano il punto, altri la virgola, altri che devi cambiare la password dopo un po' di tempo...così a registrarsi qui e lì lo schema si perde. Inoltre il grosso delle credenziali uno lo usa una volta ogni tanto, quindi a distanza di tempo lo schema usato si può dimenticare.
Da qualche tempo quindi ho deciso di usare un password manager e non avrei potuto fare una scelta migliore. Su questo password manager non è registrata alcuna password che da accesso diretto a soldi o dati personali di rilievo (quindi no banche, no paypal, no login della carta di credito, no mail principale) ma ci sono tutte quelle password che uno usa di tanto in tanto che finalmente sono tutte sicure e tutte diverse tra loro generate random dal password manager. Per ora credo di aver fatto la scelta giusta, poi si vedrà. :D

Esattamente quello che intendevo, impossibile avere 50 password robuste da tenere a mente, che magari ti fanno cambiare obbligatoriamente dopo 3 mesi, non accettando le precedenti.
Ma la mia scelta è differente, nel password manager (su file sincronizzato in cloud) tengo solo quelle con accesso al portafoglio, le alte nel browser. (Con accesso al portafoglio intendo anche quelle che potrebbero farci arrivare, mail principale, mail di recupero, account Google...)
 
i password manager sono i benvenuti, ma si può fare anche a meno sotto precise condizioni (una è certamente la memoria congli schemi utilizzati)


"Il1Mio2Cuore3E4Sopra5Loceano."

Il problema non è trovare una password, ma trovarne tante.
Che non ti facciano cambiare e che vadano bene al sito di volta in volta.
Inoltre ogni volta che un accidenti di registrazione ti manda la password in chiaro dicendo "complimenti per la registrazione, il tuo username è abaco e la tua password zuzzurellone" la password è bruciata per tutti i siti.

Io, a meno di non usare la stessa per molti o non usare password bruciate, a tenerle a mente non posso farcela. Il mio browser ne avrà 200 di password registrate!
 
Indietro