La scorsa settimana ho comprato un telefono, con in regalo una sim della TIM, con una promozione per andare su internet in vacanza. Nella scatola nessun foglio di istruzioni, e le informazioni su Internet erano contrastanti. Quindi ho deciso di registrarmi sul 119.it per vedere per bene come stavano le cose. Il 119.it è qualcosa che lascia la bocca aperta per come è progettato male. Ho provato invano la registrazione al sito per giorni e giorni, per poi capire che finché non si fa una telefonata a pagamento, non è possibile registrarsi al sito. Ovviamente, questo non c’è scritto da nessuna parte, l’ho letto cercando su Google, evidentemente alla Tim pensavano che tutti lo sapessero per conoscenza innata. Alla fine però, dopo aver fatto la mia prima, inutile, telefonata a pagamento, sono riuscito a registrarmi, ho scritto una bella password sicura e ho premuto invio. Errore, la password deve contenere SOLO NUMERI e lunga ESATTAMENTE 8 caratteri!
…
Ma stiamo scherzando?? Alla Tim lo sanno che cos’è il bruteforce? Quando un hacker sa che una password è lunga 8 caratteri numerici, sa già che in poche ore può compiere con successo un bel bruteforce… Forse non conoscono Brutus?
Ma non è tutto! Per “maggiore sicurezza”, sono bandite tutte le combinazioni “facili” (11111111, 22222222, ecc…). Allora, quale sarà l’unico numero di 8 cifre che una persona media si ricorderà facilmente?
Facciamo un esempio sul nostro Odoroki-san, che ha appena comprato una SIM TIM con il numero 339-1234567, va a registrarsi sul sito per sapere le condizioni della sua tariffa (cosa che comunque non è possibile…). Il nostro amico va a scegliere una password… cavoli non è possibile usare il numero di cellulare (troppo corto o troppo lungo), e allora va a finire che l’unica combinazione ricordabile è… una data!
Odoroki è nato il 15/10/1990, quindi gli risulterà naturale scegliere come password 15101990. 8 cifre, “difficile”, perfetto!
L'username poi, di default, è il numero telefonico stesso, che tutti conoscono!
Quando le cose sono progettate male, non c’è niente da fare.