Postel data breach

[Gabriele - onenet]

Incursione di quelle serie, con ogni tipo di dato personale interno, documenti
identità, parmessi per malattia, retribuzioni, password di ogni genere:
https://www.wired.it/article/postel-attacco-ransomware-medusa/

Vediamo se pagheranno il riscatto o se tutta sta roba finirà online. E occhio
alle truffe!

[ArchiPit]

Rispondo qui sotto a Gabriele - onenet

Ne parla oggi anche il corriere (mi scuso per il link lungo)

<https://www.corriere.it/tecnologia/23_agosto_17/postel-attacco-hacker-ransomware-alla-societa-del-gruppo-poste-italiane-chiesti-500-mila-dollari-per-i-dati-18a3c0d6-e036-490d-af5e-44aaa5785xlk.shtml?refresh_ce>

Non ho capito se chi ha lo spid su Poste senza essere dipendente di
postel debba temere il data breach.

Comunque io cambio la password del mio spid che è già lunga 12
caratteri
Sarà lunga abbastanza?

[Gabriele - onenet]

On 17 Aug 2023 at 16:39:02 CEST, "ArchiPit"

<Bruram48C...@LeTreDiNotteVirgilio.it> wrote:

> Rispondo qui sotto a Gabriele - onenet
>
>
>> Incursione di quelle serie, con ogni tipo di dato personale interno,
>> documenti identità, parmessi per malattia, retribuzioni, password di ogni
>> genere: https://www.wired.it/article/postel-attacco-ransomware-medusa/
>>
>> Vediamo se pagheranno il riscatto o se tutta sta roba finirà online. E occhio
>> alle truffe!
>
> Ne parla oggi anche il corriere (mi scuso per il link lungo)
>
> <https://www.corriere.it/tecnologia/23_agosto_17/postel-attacco-hacker-ransomware-alla-societa-del-gruppo-poste-italiane-chiesti-500-mila-dollari-per-i-dati-18a3c0d6-e036-490d-af5e-44aaa5785xlk.shtml?refresh_ce>
>
> Non ho capito se chi ha lo spid su Poste senza essere dipendente di
> postel debba temere il data breach.

In teoria no, per quel che si sa ora, qui è spiegato meglio:
https://www.edoardolimone.com/2023/08/16/postel-spa-data-breach/

>
> Comunque io cambio la password del mio spid che è già lunga 12
> caratteri
> Sarà lunga abbastanza?

Se sui un password manager, quindi non te la devi ricordare o scrivere
altrove, personalmente la metterei più lunga.

[sm]

Il Thu, 17 Aug 2023 16:39:02 +0200, ArchiPit ha scritto:

> Non ho capito se chi ha lo spid su Poste senza essere dipendente di
> postel debba temere il data breach.

Per quello che si sa, no.
Al momento si conosce solo quello che trapela dalle anteprime dei dati
trafugati, perché lato Poste si guardano bene di rivelare natura e entità
del data breach. Si tratterebbe di molte cartelle di documenti archiviati
alla cazzum e non di archivi database o password. Non che ne sminuisca la
gravità perché in quei documenti c'è sicuramente una grande quantità di
dati personali e anche sensibili.
Se fossero arrivati ad attaccare l'infrastruttura dello spid avrebbero
certamente fornito la prova in anteprima.

[ArchiPit]

Rispondo qui sotto a ArchiPit

Grazie a tutti
Cambio eaAllungo la password

[sm]

Il Sat, 19 Aug 2023 13:05:21 +0200, ArchiPit ha scritto:


>> Comunque io cambio la password del mio spid che è già lunga 12
>> caratteri Sarà lunga abbastanza?
>
> Grazie a tutti Cambio eaAllungo la password

Premesso che fai benissimo soprattutto a cambiarla, però 12 caratteri in
cui usi l'ASCII ha circa 90 bit di entropia, quindi già abbastanza per non
dare speranze ai malfattori. Meglio una password di 12 caratteri generata
bene che una più lunga ma generata a mano.

Inoltre se temessi che il sistema SPID sia interessato dal data breach la
password sarebbe l'ultima delle preoccupazioni. Quella si cambia. Il
problema sono tutti quei dati personali e identificativi di cui sono in
possesso e che se venissero divulgati possono fare molto, ma molto male.
Furti di identità, sostituzione di persona, truffe, phishing mirato e chi
più ne ha più ne metta.

[ArchiPit]

Rispondo qui sotto a sm

> Il Sat, 19 Aug 2023 13:05:21 +0200, ArchiPit ha scritto:
>
>
>>> Comunque io cambio la password del mio spid che è già lunga 12
>>> caratteri Sarà lunga abbastanza?
>>
>> Grazie a tutti Cambio eaAllungo la password
>
> Premesso che fai benissimo soprattutto a cambiarla, però 12 caratteri in
> cui usi l'ASCII ha circa 90 bit di entropia, quindi già abbastanza per non
> dare speranze ai malfattori. Meglio una password di 12 caratteri generata
> bene che una più lunga ma generata a mano.

Io non genero mai password a mano, uso una versione personalizzata del
generatore di keepass e dove possibile vado oltre i 16 caratteri
massimi imposti da molti siti.

Uso la tabella ascii da 32 a 127 (= 95 caratteri) e se valide uso anche
le accentate.
Con 95 (100 con le accentate) caratteri e una password di 16 l'entropia
è 105 (106 con le accentate)

Sempre troppo poca.

> Inoltre se temessi che il sistema SPID sia interessato dal data breach la
> password sarebbe l'ultima delle preoccupazioni. Quella si cambia. Il
> problema sono tutti quei dati personali e identificativi di cui sono in
> possesso e che se venissero divulgati possono fare molto, ma molto male.
> Furti di identità, sostituzione di persona, truffe, phishing mirato e chi
> più ne ha più ne metta.

E' anche la mia opinione e nel mio post del 17Ago chiedevo per capire
se erano stati trafugati i dati degli spid di tutti quelli che usano
Poste e non solo di quelli dei dipendenti di Postel.

Pare di no.

[sm]

Il Sat, 19 Aug 2023 20:17:35 +0200, ArchiPit ha scritto:


> Con 95 (100 con le accentate) caratteri e una password di 16 l'entropia
> è 105 (106 con le accentate)
>
> Sempre troppo poca.

Su che base lo affermi?
Per un moderno PC il tempo stimato è circa 600 milioni di miliardi di
anni, cioè 50 milioni di volte l'età dell'universo. Troppo poco?

Va bene è una prudenza che non costa nulla, ma bisogna comunque dare un
senso razionale a quello che si dice.

[ArchiPit]

Rispondo qui sotto a sm

> Il Sat, 19 Aug 2023 20:17:35 +0200, ArchiPit ha scritto:
>
>
>> Con 95 (100 con le accentate) caratteri e una password di 16 l'entropia
>> è 105 (106 con le accentate)
>>
>> Sempre troppo poca.
>
> Su che base lo affermi?
> Per un moderno PC il tempo stimato è circa 600 milioni di miliardi di
> anni, cioè 50 milioni di volte l'età dell'universo. Troppo poco?

Credo che siano dati non aggiornati

https://www.puntoinformaticofree.it/password/creazione/entropia_password.html

[sm]

LOL.

"una password per essere sicura dovrebbe essere di almeno 42 caratteri"

E perché non 72, o 147 o 233? Tanto come dicevo è una prudenza che non
costa nulla, se uno non si prende la briga di spiegare dati alla mano il
perché di quel numero.

E no, straparlare (a vanvera) dei computer quantistici non è "essere
aggiornati". Come è facile immaginare la caratteristica del quantum
computing non è quella di introdurre mera potenza di calcolo (per quella
c'è sempre il problema fisico che bisogna scalare) ma di introdurre nuovi
algoritmi che, attualmente ancora a livello teorico, andranno a rompere la
crittografia RSA. Significa che potrebbero venire usati efficientemente
per il brute force? NO! Sarebbe come voler usare un aereo supersonico per
andare da Londra a New York ma facendolo andare per mare.

[ArchiPit]

Ma dai, quello è il primo link di una serie, non l'avevo nemmeno letto
tutto.

Non credo proprio a server farm dedicate a craccare le mie password.

Io penso solo che una pw lunga faccia faticare di più di una corta
qualunque craccatore, e mi basta.

[sm]

Il Sun, 20 Aug 2023 14:09:31 +0200, ArchiPit ha scritto:


> Ma dai, quello è il primo link di una serie, non l'avevo nemmeno letto
> tutto.

allora forse non è stato il massimo usarlo come risposta...

> Io penso solo che una pw lunga faccia faticare di più di una corta
> qualunque craccatore, e mi basta.

Questo è lapalissiano. Ma il tema è conoscere la complessità minima che
garantisce un ragionevole livello di sicurezza e quella oltre la quale non
ha più senso andare. Perché per ogni password che scegli ce ne saranno
sempre di più lunghe e ad un certo punto ti dovrai decidere non trovi?

[ArchiPit]

Rispondo qui sotto a sm

> Il Sun, 20 Aug 2023 14:09:31 +0200, ArchiPit ha scritto:
>
>
>> Ma dai, quello è il primo link di una serie, non l'avevo nemmeno letto
>> tutto.
>
> allora forse non è stato il massimo usarlo come risposta...
>
>> Io penso solo che una pw lunga faccia faticare di più di una corta
>> qualunque craccatore, e mi basta.
>
> Questo è lapalissiano. Ma il tema è conoscere la complessità minima che
> garantisce un ragionevole livello di sicurezza e quella oltre la quale non
> ha più senso andare.

Perfettamente corretto, ma si tratta di definire il ragionevole livello
di sicurezza...
10 anni fa potevano bastare password di 10 caratteri

[sm]

Il Sun, 20 Aug 2023 18:08:15 +0200, ArchiPit ha scritto:


>>> Io penso solo che una pw lunga faccia faticare di più di una corta
>>> qualunque craccatore, e mi basta.
>>
>> Questo è lapalissiano. Ma il tema è conoscere la complessità minima che
>> garantisce un ragionevole livello di sicurezza e quella oltre la quale
>> non ha più senso andare.
>
> Perfettamente corretto, ma si tratta di definire il ragionevole livello
> di sicurezza...

Appunto, è quello che si fa quando viene stimato il tempo teorico per
forzare una password con una data entropia sulla base delle potenze di
calcolo attuali.

Il che riporta alla domanda: perché considerare "ancora troppo poco" una
password che si stima possa essere craccata in un tempo superiore all'età
dell'universo?

Non è una critica, più che altro un esperimento sociale :-) Scherzi a
parte capisco questo atteggiamento che riconduce ad un ben noto bias
cognitivo detto "euristica della disponibilità".

https://menteinnovativa.com/i-bias-cognitivi-sulle-probabilita/

(fine della divagazione psicologica :-) )