Link alla notizia: http://www.hwfiles.it/news/la-sicurezza-passa-solo-da-password-complicate-microsoft-dice-di-no_33310.html

Semplicemente scambiando le regole di creazione delle password con le limitazioni di popolarità delle stesse, due ricercatori di Microsoft sono convinti di poter contenere i problemi di sicurezza

Click sul link per visualizzare la notizia.

non è una cosa tanto strana che solo la microsoft ci è arrivata..
la mia password è una parola che conosco solo io e che solo per me ha un senso compiuto, seguito da una serie di numeri che conosco solo io, proprio per essere sicuri.

non è una cosa tanto strana che solo la microsoft ci è arrivata..
la mia password è una parola che conosco solo io e che solo per me ha un senso compiuto, seguito da una serie di numeri che conosco solo io, proprio per essere sicuri.

Mi sa che non hai capito.

L'introduzione dove parla di 18 caratteri NON E' quello che ha detto microsoft.

Microsoft ha detto che le password da dizionario vanno bene, purché siano "uniche" o quasi tra tutti gli utenti (almeno di un servizio).

Sicuramente aiuta nel senso ovvio. Il rovescio della medaglia è che un hacker può condurre "test di password accettabili dal sistema" in modo da trovare quali password (non necessariamente da dizionario) esistono quasi sicuramente tra gli utenti.


Non mi pare quindi una grande idea quella di esporre - in qualche modo - le password degli altri utenti.
Potrà essere un vantaggio per l'azienda, che non si ritroverà con tanti utenti bucati, ma non per il singolo utente.

Ma già con 11-12 caratteri un attacco a dizionario diventa difficile.

Comunque quello che si consiglia da sempre è che più di una password si usi una passphrase.

Ad esempio "la gallina è blu" :asd:

Vai adesso fai un attacco a dizionario.

Te la ricordi ed è sufficientemente lunga da garantirti adeguata sicurezza.

Ma tutto ciò è vano se poi l'utente mette la password in un sito compromesso e/o di phishing.

Ma già con 11-12 caratteri un attacco a dizionario diventa difficile.

Comunque quello che si consiglia da sempre è che più di una password si usi una passphrase.

Ad esempio "la gallina è blu" :asd:

Vai adesso fai un attacco a dizionario.

Te la ricordi ed è sufficientemente lunga da garantirti adeguata sicurezza.

Ma tutto ciò è vano se poi l'utente mette la password in un sito compromesso e/o di phishing.
ma la gallina non è blu! dove ne hai viste di blu lo sai solo te :mbe:

Quindi se ora mi disconnetto, e provo a collegarmi con l'utente "WarDuk" e password "La gallina è blu" entro? :D

Sai in quanti ci avranno già provato :asd:

E' per quello che WarDuck si è disconnesso..ha dovuto cambiare la password di corsa :stordita:

il massimo della sicurezza: la passphrare "adoro il seno grosso"
:D

secondo me e inutile metterlo obbligatorio.


se uno e tarato da mettere cm pw il suo nome o casa o dio.... peggio per lui.

il massimo della sicurezza: la passphrare "adoro il seno grosso"
:D

io ho un amico che per pw usa i nomi dei calciatori del milan......

eccheglifai...

ma la gallina non è blu! dove ne hai viste di blu lo sai solo te :mbe:

Appunto a nessuno verrebbe in mente di provarlo.

Tranne a uno stupido computer che lo fa solo per bruteforce.
Ma per lui non ha maggior significato di "la gallina è blt" o di "la gallina è blv"

Wow interessante articolo marketta... :stordita:
Potrò anche sbagliarmi, ma non credo che questi blasonati "ricercatori Microsoft" siano gli unici, ne i primi che si siano posti un problema del genere.
Per fortuna che ci è stato ricordato, con tanto di link, pubblicità a MS, a Hotmail e a Technet.

Per carità, non ho nulla contro MS, è solo che ormai il numero di articoli pubblicitari di questo sito sta diventando francamente imbarazzante, tanto da farmi dubitare fortemente sulla sua attendibilità.
Spero di sbagliarmi.

Appunto a nessuno verrebbe in mente di provarlo.

Tranne a uno stupido computer che lo fa solo per bruteforce.
Ma per lui non ha maggior significato di "la gallina è blt" o di "la gallina è blv"

imho vige la regola degli errori programmati.....

usate questa la gulline é blo!!!!

( punti esclamativi compresi)

ma la gallina non è blu! dove ne hai viste di blu lo sai solo te :mbe:

Dev'essere una Gallina Asari :D

.... ho finito Mass Effect 2 pochi giorni fa ;)

Solitamente conviene memorizzare una password senza senso e ricordarsi a memoria la frase, l'unico rischio è quello della perdita della memoria....per questo ogni tanto mi faccio un backup..:asd:

Scusate....il caldo...

Io uso questa: una master password in testa e le altre sono su firefox, backup su fs criptato (con la master ;) ).
Finché non violeranno il mio PC è decisamente sicuro.

Sicuro, eh? :asd:

Attento a quando ti colleghi: se il protocollo è normalissimo http, la tua password viene trasmessa in chiaro. ;)

Sicuro, eh? :asd:

Attento a quando ti colleghi: se il protocollo è normalissimo http, la tua password viene trasmessa in chiaro. ;)

Appunto. ;)

Appunto a nessuno verrebbe in mente di provarlo.

Tranne a uno stupido computer che lo fa solo per bruteforce.
Ma per lui non ha maggior significato di "la gallina è blt" o di "la gallina è blv"

ma scherzavo mica ero serio :D

Wow interessante articolo marketta... :stordita:
Potrò anche sbagliarmi, ma non credo che questi blasonati "ricercatori Microsoft" siano gli unici, ne i primi che si siano posti un problema del genere.
Per fortuna che ci è stato ricordato, con tanto di link, pubblicità a MS, a Hotmail e a Technet.

Per carità, non ho nulla contro MS, è solo che ormai il numero di articoli pubblicitari di questo sito sta diventando francamente imbarazzante, tanto da farmi dubitare fortemente sulla sua attendibilità.
Spero di sbagliarmi.

ooh ma che noioso..
su ogni news viene riportata la fonte con un link <a href> tanto che a meno di non guardare dove porta il link non si sa neanche a che sito porti.
quindi la pubblicità non è immediatamente visibile. non è neanche definibile pubblicità.
logico che linkino microsoft.com, il titolo dice:
La sicurezza passa solo da password complicate? Microsoft dice di no
che cosa devono linkare ansa.it? wikipedia? non lo so..

Io mi considero apposto, la mia attuale password è lunga 16 caratteri, per altro con lettere e numeri, che ricordo tutti perchè insieme hanno un senso compiuto, almeno per me

se uno ha accesso fisico alla macchina la solita password di login viene bypassata con facilità

Ma ancora meglio:
la mia Gallina Blu ha 18 anni quindi è Maggiorenne

diventa:

lmGBh18aqèM

si trova una frase divertente, facile da ricordare e si mettono solo le iniziali

Interessante...

Peccato che ci sono siti che mettono un limite massimo alla lunghezza delle password... limiti come 6 o 8... e parlo di siti di carte di credito... :rolleyes:

Per tutti i chiacchieroni che c'hanno sempre da attaccare MS, vi riporto questi due illuminanti link:

http://www.ft.com/cms/s/2/d2f3f04e-6ccf-11df-91c8-00144feab49a.html


http://windowsteamblog.com/windows/b/bloggingwindows/archive/2010/06/01/windows-and-security-setting-the-record-straight.aspx

Bisogna informarsi prima di parlare, spesso a vanvera, e confrontarsi il più possibile con gli altri: è questo il segreto della vera conoscenza e della crescita intellettuale.

PS Per la cronaca io al lavoro uso Ubuntu, a casa uso entrambi e posseggo pure un iPhone. Quindi penso di sapere di cosa parlo.

Pace e bene a tutti.

Per tutti i chiacchieroni che c'hanno sempre da attaccare MS, vi riporto questi due illuminanti link:

http://www.ft.com/cms/s/2/d2f3f04e-6ccf-11df-91c8-00144feab49a.html


http://windowsteamblog.com/windows/b/bloggingwindows/archive/2010/06/01/windows-and-security-setting-the-record-straight.aspx

Bisogna informarsi prima di parlare, spesso a vanvera, e confrontarsi il più possibile con gli altri: è questo il segreto della vera conoscenza e della crescita intellettuale.

PS Per la cronaca io al lavoro uso Ubuntu, a casa uso entrambi e posseggo pure un iPhone. Quindi penso di sapere di cosa parlo.

Pace e bene a tutti.

pps non mi pare il caso di fare os-war, ammonizione

@!fazz

Guarda che hai completamente frainteso.

Io ho cercato di dare un contributo onesto alla questione. Tutto qui.

Le os-wars sono altre...

Guarda che hai completamente frainteso.

Guarda che i tuoi link sono faziosi!

E oltre ad essere faziosi, sono completamente non inerenti all'argomento.

In effetti mi sono incartato... Rileggendo volevo postare un'altro contributo sull'argomento, che faceva riferimento a questi due link (che però mi sono accorto di aver perso, mettendo solo i link stessi): chiedo venia.

Comunque la mia rimaneva solo una risposta a quelli che, mal informati su alcuni argomenti, attaccano senza informarsi; anch'io, pertanto, sono un difensore della sano confronto virtuale o meno.
Quindi se il mio intervento è sembrato "irritante" chiedo scusa perchè non voleva esserlo; purtroppo il "tono" di un intervento scritto, spesso è difficile renderlo per intero.
Saluti.

.

Ricerca alquanto limitativa, che non tiene conto di attacchi più sofisticati ( e di come sono stati ottenuti i set di password su cui si basa il loro lavoro ;) ). Tra l'altro se non letta attentamente fa passare un messaggio sbagliato...

La passphrase non è più sicura di una password, in genere per sua stessa natura (linguaggio naturale) risulta vulnerabile a varianti di attacchi basati sulla grammatica probabilistica libera da contesto.

l'mportante e che non adottino quel chapta e come cavolo si chiama anche per l'accesso ai server per evitare i cpu spara pw.

sono una vera palla al piede.

piu volentieri un sistema di certificati tipo i chip delle carte di credito.( ovviamente digitali)

del tipo :il server ti invia un codice e il ns pc, in base ad una chiave unica rilasciata in fase di registrazione, gli risponde di conseguenza.

abbinato ad una pw normale.

e magari alla fustigazione in piazza per gli hacker

keepass ftw http://img838.imageshack.us/img838/4061/emotawesome.gif
E per l'apertura del db, file di chiave su chiavetta usb con quadruplo backup (Non sul pc, ma in un cassetto :O).

Certo, se poi devo accedere da mobile, è un po' un casino :asd:

keepass ftw http://img838.imageshack.us/img838/4061/emotawesome.gif
E per l'apertura del db, file di chiave su chiavetta usb con quadruplo backup (Non sul pc, ma in un cassetto :O).

Certo, se poi devo accedere da mobile, è un po' un casino :asd:Il top della sicurezza?

Una password per ogni sito in cui si chiedono dati di accesso, con la possibilità di utilizzare stessi login "più semplici" nei casi in cui non ci siano dati compromettenti (es. il forum del sole24ore o il login di filefront usato per scaricare le patch dei giochi).

Password più sofistica in caso di siti con accesso a dati sensibili, che sia del tipo passphrase + carattere speciale.
"la gallina è blu" è un buon inizio, ma "la gallina è blu$" è meglio (dove $ è un carattere speciale che potete scegliere voi).
Meglio di cose astruse tipo "ahidn29jdp!" cui molti sentono il bisogno di ricorrere?
Sì perchè sono 11 vs 17 caratteri, e che sia di senso pseudo-compiuto non importa, non ci sono dizionari in grado di combinare parole e caratteri speciali messi a casaccio - entrambe andranno scardinate tramite bruteforce, e lì conta solo lunghezza e set di caratteri usato.
Per una più facile memorizzazione si può usare la tematica del sito, ad esempio per il sole24ore si può usare "la finanza è una brutta bestia$". Questo limita il dover ricorrere ad un archivio poiché si è dimenticati dei dati di accesso (tanto più frequente tanti più siti visitiamo...).

Paradossalmente quello che più mina la sicurezza sono i siti stessi: login in http chiaro (si recuperano username e psw con due click), siti che limitano la lunghezza delle password a 8-10 caratteri, o che richiedono PER FORZA una domanda segreta (il che è una grossa falla: inutile usare passphrase da 17 caratteri come password se poi la risposta a questa domanda è una parola stupida come "Andrea" piuttosto che "Roma")... e in questi ultimi due casi forse è anche voluto dai gestori per ottemperare a scopi "di malafede" (come il volersi tenere una porticina socchiusa per l'accesso).

Come ricordarsi tutto? File 7zippato con AES-256 e un foglietto stampato con tutto in chiaro da mettere dietro a un quadro come backup... Purtroppo una falla da qualche parte ci deve essere!

Paradossalmente quello che più mina la sicurezza sono i siti stessi: login in http chiaro (si recuperano username e psw con due click), siti che limitano la lunghezza delle password a 8-10 caratteri, o che richiedono PER FORZA una domanda segreta (il che è una grossa falla: inutile usare passphrase da 17 caratteri come password se poi la risposta a questa domanda è una parola stupida come "Andrea" piuttosto che "Roma")... e in questi ultimi due casi forse è anche voluto dai gestori per ottemperare a scopi "di malafede" (come il volersi tenere una porticina socchiusa per l'accesso).

Quotone...

Le "domande di sicurezza" sono la più grossa caxxata che sia mai stata inventata imho; senza considerare la banalità di queste domande sulla maggioranza dei siti :rolleyes:
In ogni caso, cmq, a me frega fino ad un certo punto, dato che come risposta metto comunque un mix di numeri, lettere e caratteri speciali :asd:

Per quanto riguarda keepass, so bene che ci sono le versioni mobile, ma resta sempre il problema dell'apertura del db, e qui la sicurezza si che è importante; avevo pensato ad una memory card contenente il file di chiave, inserendola all'occorrenza, ma non mi pare il massimo della comodità....

Quotone...
Non credo nella malafede.
Quale porticina? Le password le hanno semplicemente criptate e possono entrare anche senza password.

Al sito interessa di tenersi l'utente.


Le "domande di sicurezza" sono la più grossa caxxata che sia mai stata inventata imho; senza considerare la banalità di queste domande sulla maggioranza dei siti :rolleyes:
In ogni caso, cmq, a me frega fino ad un certo punto, dato che come risposta metto comunque un mix di numeri, lettere e caratteri speciali :asd:

Idem.
E quando mi scordo la password so cazzi! :sofico:


Per quanto riguarda keepass, so bene che ci sono le versioni mobile, ma resta sempre il problema dell'apertura del db, e qui la sicurezza si che è importante; avevo pensato ad una memory card contenente il file di chiave, inserendola all'occorrenza, ma non mi pare il massimo della comodità....
Meno male che uso linux. Un solo tool e mi arrangio per dispositivi fissi o mobile, con la riga di comando.

Non credo nella malafede.
Quale porticina? Le password le hanno semplicemente criptate e possono entrare anche senza password.

Al sito interessa di tenersi l'utente.


Idem.

ho quotato male, io mi riferivo alla parte sulle domande di sicurezza....

E quando mi scordo la password so cazzi! :sofico:

Ma lol :asd:
Ovviamente le risposte non corrispondono alle pw stesse :D

Meno male che uso linux. Un solo tool e mi arrangio per dispositivi fissi o mobile, con la riga di comando.

Che tool sarebbe?

cryptsetup

Lo puoi usare insieme a losetup per creare file criptati in qualsiasi filesystem.

Mi sono sempre affidato alle classiche stringhe abcd 1234 :D