I pericoli della pirateria domestica

[vittorio.75]

chiama commessa di un negozio che con accento particolarmente ligure mi dice "ieri ho fatto la chiusura fiscale, poi è uscito uno scontrino con scritto che la memoria è al 90%, cosa devo fare?"
io "mandami la foto dello scontrino per favore".

e il testo era
D.G.F.E. disponibile 90.83%

disponibile cacchio, disponibile.



dgfe è una memoria write once read many presente sui registratori fiscali, sulla memoria vengono salvate copie digitali di tutti gli scontrini emessi e delle chiusure fiscali fatte, può riempirsi, abbiamo clienti che in 8 anni ne cambiano 5 o 6, quel cliente non ne ha mai riempito uno oltre al 20%.

[Firestorm]

il 4 ottobre 2004 ricevetti un invito per creare una casella gmail.com, in quel periodo la G stava per GIGA non per google.
con uno slancio di fantasia estrema chiamai la mia casella esattamente come l’account che uso sul forum.
negli ultimi anni mi sono ritrovato a ricevere mail che erano destinate ad un altro Vittorio che vive nel sud Italia, fatture di sky, pubblicità di mediaset premium e poco altro.
da mesi ricevo almeno 5 mail al giorno per il reset della password di booking.com, le ignoro.
un paio di settimane fa ho ricevuto una mail da DHL per il ritiro di un pacco, l’allegato aveva tutti i dati di questo Vittorio, vive a Trapani e ora ho pure il numero di cellulare.
lo chiamo, gli spiego l’inconveniente e gli giro la mail a lui destinata.
notare che il suo indirizzo è <NOME>.<COGNOME>.75 chiocciola gmail.com, solo che dimenticano sempre di scrivere il cognome e sappiamo che i punti con le caselle gmail non contano.
bene, dai, ci ho parlato, avrà capito no? avrà smesso di usare il mio indirizzo come se fosse suo no?
no!
continuano ad arrivare le mail da booking e sua moglie (<NOME>.<COGNOME>.1977 chiocciola gmail.com) mi ha pure invitato ad accedere al gruppo famiglia.
ieri sera alle 21 circa mi chiama una ragazza, mi dice che io sto usando la casella email di suo padre e che questo causa loro un sacco di casini.
le ho fatto notare che quella casella è mia dal 2004, non sono io ad usare la sua casella, sono loro che sbagliano a scrivere l'indirizzo.
questa dice che la madre si confonde sempre e mi chiede se per favore posso cambiare casella email perché per loro sarebbe più semplice.

facciamo che no.

pure a me è successo solo che sto tipo metteva la mia email per non ricevere mail che gli rompessero le balle solo che così mi arrivavano fatture , rapporti di lavori e una marea di roba.
Avreio potuto fregargli letteralmente la vita ho scoperto dove abita avrei potuto veramente fare di tutto, in un atto di gentilezza gli mando un messaggo avvisandolo questo fa finta di essere un maresciallo della finanza incazzoso al telefono, sapevo esattamente che lavoro faceva, io rpovo a spiegargli che mandare mail personali a qualcun'altro è una tantinello pericoloso.
Ci ho messo mezz'ora per fargli capire che esistevano persone con il suo stesso nome cognome e che mandare a loro mail a cazzo era quantomeno stupido.

[Firestorm]

da noi le password sono da cambiare ogni 60gg...che vuol dire che moltissima gente la scrive vicino alla postazione per ricordarla

da noi le facevano cambiare ogni 30 gg poi li abbiamo convinti a cambiarle ogni 3 mesi, in comepnso ci hanno mesos un software che fa schifo per render più noioso il login che ti obbliga a inquadare un qr code con il teleofno per entrare...e il microsfto authenticator...quindi abbiamo 3 livelli di protezione + il bitlocker, però cambiamo le password ogni 90 gg

- - - Aggiornato - - -

ma è sicuro? cioè loro hanno TUTTE le tue password nel loro vault e per vedere/modificare tu usi un loro utente/password?

lo usiamo in ufficio molto buono, ahce se è un casino pagarlo per sitte strutturare che chiedono contratti anche per comprare le puntine.
siamo risuciti ad aggirare il problema pagando a scadenza con bonifico.

[Kemper Boyd]

Anche microsoft ha scritto un documento su come la scadenza delle password sia piu' male che bene: https://learn.microsoft.com/en-us/ar...s-server-v1903

[Angels]

Io sono d' accordissimo

[GeeGeeOH]

Lo avevo già letto ai tempi, questa parte mi torna regolarmente in mente... circa ogni 90gg.

If a password is never stolen, there’s no need to expire it.
And if you have evidence that a password has been stolen, you would presumably act immediately rather than wait for expiration to fix the problem.

If it’s a given that a password is likely to be stolen, how many days is an acceptable length of time to continue to allow the thief to use that stolen password?

[Necrotemus]

Il cambio periodico ha il vantaggio di limitare l'uso della stessa password su accessi diversi e di uso quotidiano, ma introduce, soprattutto con limiti alti alla rotazione, l'aumento di richieste di reset ai vari helpdesk, perche' dopo 3 o 4 cambi la gente comincia a confondersi, o peggio comincia a segnarle su post-it, agende etc.

Un password manager aggiornato riduce la necessita' di segnare la password e quasi tutti hanno ora un generatore (pochi pero' con il passphrase), e soprattutto se il password manager e' gestito a livello aziendale (che non significa che l'admin vede le password in chiaro) si puo' fare un audit e vedere se alcune combinazioni sono presenti in archivi bucati.

Come sempre in ambito sicurezza, c'e' sempre da bilanciare l'intrasigenza con le necessita' degli utenti.

[GeeGeeOH]

Il cambio periodico ha il vantaggio di limitare l'uso della stessa password su accessi diversi e di uso quotidiano

Uh?

[Firestorm]

Uh?

immagino che scadendo con date diverse o addirittura non scadendo le poassword non sono sincronizzate.

[GeeGeeOH]

Non illudiamoci che QWERTY123 e QWERTY456 siano da considerare veramente password diverse.

[Necrotemus]

Non illudiamoci che QWERTY123 e QWERTY456 siano da considerare veramente password diverse.

No, ma nei casi che ho visto ruotano il nome del figlio/nipote/cane.

Il cambio periodico ha il vantaggio di limitare l'uso della stessa password su accessi diversi e di uso quotidiano

Non sono stato chiaro, intendevo che avere un cambio periodico risolve in parte il problema dei login condivisi, i.e. Jane che usa la stessa password per 8 diversi servizi che non sono legati all'azienda.

[Firestorm]

Non illudiamoci che QWERTY123 e QWERTY456 siano da considerare veramente password diverse.

Certo ma almeno non sono tutte qwerty123 che è ancora peggio.

[GeeGeeOH]

No, non è meglio, quella differenza è irrilevante.
La password rimane sostanzialmente la stessa.

Ansi, pensare che si sia fatto un passo avanti, rende pure peggiore come cosa.

[Firestorm]

No, non è meglio, quella differenza è irrilevante.
La password rimane sostanzialmente la stessa.

Ansi, pensare che si sia fatto un passo avanti, rende pure peggiore come cosa.

Non è assolutamente un passo avanti per un tizio motivato sono praticamente la stessa password. Per un tentativo casuale di qualcuno in più di 0 potrebbe rinunciare.
Per il resto non cambia nulla

[TizN]

Anche microsoft ha scritto un documento su come la scadenza delle password sia piu' male che bene: https://learn.microsoft.com/en-us/ar...s-server-v1903

Oggigiorno una semplice password non è più considerato sicuro a prescindere da una scadenza arbitraria. Infatti nell'articolo consigliano in ogni caso l'autenticazione a più fattori.

immagino che scadendo con date diverse o addirittura non scadendo le poassword non sono sincronizzate.

Basta cambiarle tutte lo stesso giorno impostando la stessa per risparmiare fatica. True story.

[vittorio.75]

cliente con vari punti vendita sparsi per l'Italia, principalmente in stazioni ferroviarie o luoghi turistici molto affollati in vari centro città.
problema in una sede in una stazione.
1 anno fa un operatore telefonico è stato li a stendere un cavo in fibra, dopo averlo steso dice ai dipendenti "io ho steso la linea, poi verrà un altro tecnico a montare il router", non si è ancora visto nessuno.
in quel periodo il cliente non lo gestivamo noi, chi lo gestiva in quel momento gli ha montato un router 4G per dargli una connessione temporanea, cosa che conferma l'assioma "in Italia non c'è nulla di più definitivo del temporaneo".
arriviamo noi, il negozio è ancora senza linea fissa e i giga di quella connessione finiscono sempre in fretta ma non si capisce come mai, dopotutto usano solo il pos.
vado li a vedere cosa succede.
il router ha ip 172.25.25.1, il DHCP parte da 172.25.25.100 e ha una rete wi-fi aperta (di default l'avrebbe protetta, hanno levato la password), nessuno conosce la password di amministrazione del router.
vabbè ora è a posto.

[darkeden82]

No, non è meglio, quella differenza è irrilevante.
La password rimane sostanzialmente la stessa.

Ansi, pensare che si sia fatto un passo avanti, rende pure peggiore come cosa.

Basta vedere le password policy,noi non possiamo usare password con serie di caratteri uguali all'interno.
Idem i caratteri speciali non devono essere nella stessa posizione.

Quindi addio
Primavera1!
1Primavera!
E così via.


Questo per ciò che non è sotto iam seri

Inviato dal Honor Magic 5 Pro

[vittorio.75]

Basta vedere le password policy,noi non possiamo usare password con serie di caratteri uguali all'interno.
Idem i caratteri speciali non devono essere nella stessa posizione.

Quindi addio
Primavera1!
1Primavera!
E così via.


Questo per ciò che non è sotto iam seri

Inviato dal Honor Magic 5 Pro

a me infastidisce quando scade la password per lo SPID. perché qualcuno usi il mio SPID serve che abbia pure accesso al mio telefono che è protetto da impronta digitale e pin di sblocco e ho tutto quello che serve per cancellare i dati del telefono da remoto.
non solo quella password scade ma non può nemmeno essere troppo simile alla password precedente.
quindi ogni cacchio di volta scrivo Cheppalle1! poi accedo faccio cambia password e metto quella che voglio io.

[Firestorm]

Hanno beccato dei dentisti che avevano un software di fatturazione alternativo nascosto su di un supporto rimovibile...mi ricorda qualcosa letta qua dentro...:ASD:

[vittorio.75]

Hanno beccato dei dentisti che avevano un software di fatturazione alternativo nascosto su di un supporto rimovibile...mi ricorda qualcosa letta qua dentro...:ASD:

Si, mi ricorda qualcosa.

Inviato dal mio Pixel 6a utilizzando Tapatalk