La password di tim.it (registrazione utente)
Da pochi giorni sono passato dalla Tre alla TIM e, se dovessi giudicare quest’ultima dal suo form di registrazione utente, siamo messi veramente male.
Durante la fase di registrazione utente presso il loro portale, non ho potuto fare a meno di spalancare gli occhi nel vedere che obbligano l’utente a dover scegliere una password composta da soli numeri e lunga 8 cifre.
La cosa divertente è che ci tengono ad avvisare che non accettano password come “11111111” oppure “01234567”…direi un ottimo consiglio no? Ma dico io, è possibile che nel 2015 ancora non gliene frega a nessuno della questione sicurezza?!
La cosa grave è che l’utente medio, sentendosi obbligato ad inserire una password così definita, sarà portato ad utilizzare password come 11335577/12234456 o combinazioni equiparabili (facili da memorizzare e con un minimo di senso).
Da questo processo sono esclusi gli utenti avanzati che utilizzano un qualsiasi creatore/memorizzatore di password (vi consiglio vivamente KeePass): sappiamo benissimo che non appartengono al caso medio.
Fare un brute force con queste premesse risulta molto facile: lo spettro di password possibili è ridotto ed oltretutto, se si utilizzano dei vocabolari ad-hoc, si può ridurre il cracking a pochi minuti/ore (pensiamo ad esempio di dare priorità alle password più facili da memorizzare e con pattern riconoscibili).
Perdonatemi ma il rant ci sta tutto!