Cosa ho imparato da una password salvata in chiaro

Created by Daniele Scasciafratte

https://twitter.com/Mte90Net/status/950031980246306818
https://twitter.com/Mte90Net/status/950031980246306818

Pubblicando il problema online, in gruppi di discussione, sono nati diversi spunti:

  • Solite lamentele dei siti fatti male
  • Non è l’unico sito fatto male con altre segnalazioni documentate o no

Odio le lamentele non costruttive

Ma proprio tanto

Odio quando nessuno documenta

Ma proprio tanto

Come risolvere i due problemi?

https://www.reddit.com/r/ItalyInformatica/comments/7osubj/il_sito_di_sprea_editori_salva_le_password_dei/

Utilizzando il crowdfounding per sfruttare il malumore in modo costruttivo e documentativo

Ma poi mi è stato fatto notare un altro problema...

https://www.reddit.com/r/ItalyInformatica/comments/7pw1q8/siti_italiani_che_salvano_la_tua_password_in/dskia7a/

Questo accesso pubblico ha fatto riflettere, ad esempio...

https://www.reddit.com/r/ItalyInformatica/comments/7pw1q8/siti_italiani_che_salvano_la_tua_password_in/dskf9dz/
https://www.reddit.com/r/ItalyInformatica/comments/7pw1q8/siti_italiani_che_salvano_la_tua_password_in/

La vera domanda

https://www.reddit.com/r/ItalyInformatica/comments/7pw1q8/siti_italiani_che_salvano_la_tua_password_in/

Conclusioni

Errori comuni

  • Password salvate in chiaro
  • Inviate in chiaro all'iscrizione
    • Nessun avviso di cambiare la password

Partecipazione

  • Qualcuno si è messo a verificare i siti in elenco
  • Qualcuno ha aggiornato lo stato di alcuni siti
  • Qualcuno ha migliorato le mie regole iniziali
  • Qualcuno ha aggiunto dei materiali di riferimento riguardo il comportamento sbagliato nella gestione di queste password
  • 2-3 persone mi hanno contattato per chiedere di partecipare al progetto, pensando che si trattasse di raccogliere e poi hackerare i siti in questione

Cosa ho imparato

  • Lasciare la possibilità di raccogliere in modo anonimo
  • Promuovere nei gruppi dove c'é interesse
  • Lasciare spazio alla discussione
  • Spiegare chiaramente le finalità
  • Pensare al progetto in evoluzione con varie fasi di revisione
https://daniele.tech/2018/01/siti-italiani-salvano-le-password-inviano-chiaro/
http://www.businessinsider.com/hawaii-emergency-agency-password-discovered-in-photo-sparks-security-criticism-2018-1