Nessuno pretende che in Italia si usi un muro di Lampade Lava per generare Entropia, ma almeno usare un algoritmo che richiede qualche milione di anni, invece di uno che richiede 4 secondi
L'app di MyCicero è diventata MooneyGo. Non mi sorprenderebbe se questo hack fosse avvenuto sui server della vecchia app lasciati attivi per qualche ragione.
Perché MD5 e SHA1 sono stati attaccati e ci sono algoritmi che permettono di trovare collisioni relativamente facile (2 input diversi con stesso output)
Perché anche le funzioni di hash che sono comunque “sicure” (SHA2 e SHA3, per esempio) sono troppo veloci. Grazie a bitcoin abbiamo hardware specializzato (GPU o FPGA) che può generare milioni di SHA2 al minuto, quindi fare un brute force non è più così fuori mano
Perché usare MD5 ti fa fallire gli audit di sicurezza in automatico.
perché MD5 è un algoritmo di hashing veloce, quindi con poca potenza computazionale posso generare tante hashes, cioè ho più possibilità di scoprire la tua password.
BCRYPT invece è fatto per essere lento, rendendo più difficile scoprire la password
Mi è arrivata stamattina e ho bestemmiato fortissimo. Usare MD5 penso sia una palese violazione del GDPR in quanto è ultra noto che non è compliant con i requisiti di "security by design".
Ci potrebbero essere le basi per una class action.
Non posso dire dove ma il CEO di una azienda medica (giuro, non un manager o un product owner: il CEO) che trattava dati estremamente sensibili mi minacciò di licenziamento se non avessi reso accettabile scegliere password del tipo italia1234. Vista la minaccia, girai la richiesta al responsabile della sicurezza chiedendogli se era d’accordo, giusto perché così sarebbe andato in galera lui, il quale mi rispose di rendere i criteri ancora più complessi di quelli che avevo “impostato” io… immagino non ci siano tante persone come me che cercano di impedire tali scempi
No, anche perché quello che hai fatto è una porcheria. Criteri di complessità delle password al massimo devi avere lunghezza e entropia. Appena cominci a dire numero simbolo maiuscola minuscola ti arriva quello col password manager che incolla una password senza simboli di 40 caratteri e gli dici no, e lui giustamente maledice te, i tuoi antenati e i tuoi discendenti.
A parte che non ho detto di aver fatto così, usavamo una libreria che valutava la complessità della password basandosi su diversi criteri. Infatti una password di sole lettere, se abbastanza lunga, viene accettata.
Non solo: invece di resettare tutte le password impattate hanno detto “tranquillo, la tua password sarà valida ancora un mese e poi la resettiamo se non la cambi”
Non posso espormi troppo ma questi stavano ai piedi di cristo ma senza sandali.
Ora stanno spendendo 200k in cybersec ma continuano a girare le password in chiaro.
Segnalo che myCicero è di proprietà di MooneyGo, infatti qualche giorno fa mi è arrivata una mail simile da loro.
Nella mia mail però segnalano che:
Per consentirLe ogni approfondimento tecnico, Le segnaliamo che l’algoritmo di protezione utilizzato è BCRYPT: Salt fisso da 128 bit «opaco», Cost Factor: 11 (2048 iterazioni), codifica Base64.
Io non ne so niente di crittografia, non so cosa cambi da MD5... lascio a voi capire hahah
ok..comunque io ho ricevuto il 22 agosto soltanto quella di mooneygo e non è nello spam. Non l’avrei mai notata perché c’è rumore nella inbox e ora l’ho dovuta pescare di proposito.
sì, l'algoritmo (MD5) utilizzato da questa azienda per cifrare i dati sensibil è stato dichiarato non sicuro tipo 15 anni fa (in parole povere è stato dimostrato che si possono trovare velocemente due input che danno lo stesso output, soprattutto con l'hardware che c'è a disposizione oggi), perciò gli utenti se la prendono in quel posto.
la pagina Wikipedia spiega bene l'algoritmo e le sue debolezze, c'è un po' di matematica dietro ma è un campo molto interessante: https://en.wikipedia.org/wiki/MD5
Cio che mi infastidisce è che dicono di aver comunicato la cosa sul loro sito; sono cascato dalle nuvole quando ho ricevuto la mail.
La mail è miglior di quella inviatami da unicredit qualche anno fa per un problema analogo: una paginata raccomandazioni sull'importanza delle credenziali per accedere ai loro servizi. Siete voi che siete stati bucati, non io.
Meglio di smarterstore.it che dopo aver inviato loro gli screenshot di haveibeenpwned hanno detto "a noi non risulta niente" e pur dopo avergli spiegato di che si trattasse e chiedendo di parlare col loro reparto IT mi hanno ghostato. Chiudessero...
73
u/ThePi7on 12d ago
be9f339215128334459eed3a7c6b40cf
Questa è la hash md5 della password del mio home banking, buona fortuna hackers non ce la farete mai! 😈