Link alla notizia: http://www.hwfiles.it/news/ecco-l-elenco-delle-25-password-meno-sicure-del-web_44359.html

Tra le 25 password meno sicure al primo posto figura saldamente password, a seguire 123456 e 12345678. Resta ancora molto da migliorare ma alcuni provider iniziano a fare del loro

Click sul link per visualizzare la notizia.

http://www.youtube.com/watch?v=kxYAzNMZ2CU

Interessante.... Non mi è mai passata neanche lontanamente in testa l'idea di utilizzarne una delle 25. :ciapet:

Il vero problema è:
- Alcuni vogliono minimo 8 caratteri
- altri non più di 8
- alcuni vogliono simboli
- altri non vogliono alcuni simboli

e una password unicamente valida non esiste.

http://www.youtube.com/watch?v=kxYAzNMZ2CU

APPERO'! :D :D :D
Stesso indentico pensiero che ho avuto io!!

123456 non è sicura?? Cavolo sono ben SEI CIFRE!!
mmmm... meglio cambiarla allora per l'accesso al mio conto in banca... :ciapet:

http://www.youtube.com/watch?v=kxYAzNMZ2CU

:asd:

http://dilbert.com/dyn/str_strip/000000000/00000000/0000000/000000/00000/1000/400/1478/1478.strip.gif

...e la privacy?! per stlare una classifica significa che hanno avuto accesso ad un numero enorme di password...e chi mi dice che non fossero assocoate anche ai rispettivi username?! sei hai avuto accesso alle password mi viene il dubbio che tu abbia avuto accesso anche ad altro...quantomeno *il dubbio*...

Re: "il codice dello scudo planetario è... 1... 2... 3... 4... 5... 6."
Casco Nero: "ma è il codice che un deficiente userebbe per la sua valigia!"
Presidente: "cavolo! è lo stesso codice della mia valigia, fatelo cambiare immediatamente"

comunque è vero, molto dipende anche dai caratteri accettati. La mia password di FB ad esempio è una passphrase di più di 20 caratteri con maiuscole, minuscole, numeri e spazi... l'app FB per l'xbox non accetta gli spazi e pretendeva di farmela cambiare (!). Ovviamente si è attaccata, ma il problema è proprio tutto lì...

ammetto di averne usata una simile... qwertyuiop. :O

....ne mancano 2:

una è la password uguale al nome utente....
la seconda è - rullo di tamburi - NESSUNA...

e parlo di utenze amministratici di dominio...

http://www.youtube.com/watch?v=OfUbTUu3GcM

E dove li mettiamo i geni che magari spendono decine di migliaia di euro (per i modelli entry level) di hardware IBM e lasciano le credenziali di accesso alle interfacce di amministrazione ai valori di default (USERID e PASSW0RD)?

Oppure lo storico caso dei "premi nobel" di Galactica che lasciavano le credenziali di default sui router e i server radius 3Com (comcomcom appunto :asd: ) e grazie alle quali mezza Italia ha navigato a sbafo (alle spalle dei poche che pagavano gli abbonamenti) negli anni in cui si diffusero i primi contratti flat per ISDN e modem analogici.

Dalla mia esperienza comunque non è tanto la complessità della password la soluzione, chiunque lavori nel mondo dell'IT se ne può rendere conto quotidianamente.
La password richiede caratteri alfanumerici con case differente? Benissimo, ecco sfornata l'ovvia Password01.
E alla scadenza? Password02
E alla scadenza? Password03
etc etc etc...

Poi ci saranno anche software per disincentivare questa pratica (Lotus Domino e Notes implementarono questo genere di cose già nei primi anni '90, insieme alla cifratura a chiavi asimmetriche, anni prima che SSL e TLS vedessero la luce...) ma la vera soluzione sta nell'utilizzare tutti gli strumenti possibili per ridurre il numero di login.
Il concetto stesso di single sign on esiste da una vita ormai, eppure le aziende sono piene zeppe di repository di utenti sganciati l'uno dall'altro, i produttori di sw snocciolano features a non finire per federare ldap ma nessuno li usa.
In tutti gli anni passati a lavorare come consulente IT avrò visto passare decine di sistemi diversi, tra token, protocolli, logiche applicative sconclusionate... il tutto bellamente ignorato se non in rarissimi casi.

Piuttosto che perdere tempo in scemenze galattiche come nomative sulla privacy, sull'accesso ai sistemi e sulle policy per le password, i governi e i "garanti" dovrebbero incentivare (o obbligare) l'uso di queste tecnologie, obbligare le aziende ad avere un solo repository degli utenti e federare tutte le applicazioni ad esso, usare sistemi di autenticazione diversa dal solito username e password, tanto per fare un paio di esempi.

Ridurre il numero di credenziali significa incentivare l'utente a usarle correttamente, significa ridurre il rischio di compromissione delle stesse, significa maggiore sicurezza con minore impatto sugli utenti.
Gli strumenti ci sono e le aziende già adesso li acquistano in quantità, è stupido non usarli per ignoranza :rolleyes:

APPERO'! :D :D :D
Stesso indentico pensiero che ho avuto io!!

123456 non è sicura?? Cavolo sono ben SEI CIFRE!!
mmmm... meglio cambiarla allora per l'accesso al mio conto in banca... :ciapet:
è una combinazione reale
http://www.youtube.com/watch?v=foi-sINWxeg

Quoto Tasslehoff....nella mia azienda ormai hanno implementato le impronte digitali per il login ai vari sistemi...devo dire che e' davvero comodo :sofico:

altre password di comune uso
gennaio1
febbraio2
oppure
gennaio.1
...
in questo modo si usano tutti e tre i set di caratteri

meglio una mista giappo koreo cinese alfabeto simboli:
郵ゐF^G국便a%sゑk&h教선をt$y조皇

p.s. avevo scritto in cinese e coreano e giapponese
ma a quanto pare questo editor di hwfiles non accetta simboli non ascii

meglio una mista giappo koreo cinese alfabeto simboli:
郵ゐF^G국便a%sゑk&h教선をt$y조皇


:eekk: :ncomment:
COME SAI LA PASSWORD DEL MIO PC!?!?!!?





:asd:

mi hai anticipato, in genere:
admin
admin
:D

E non dimentichiamoci di:

guest
guest

root
root

utente
password


A parte questo, mi è capitato taaaaaante volte di trovare molte di quelle password, sia tra persone che in ambienti di produzione.

E root come password di root no?

Mancano admin e administrator

Nelle 25 ce ne sono 2 che utilizzo, e nei vari post ne avete aggiunte altre 3 :D
E' ora di fare una ristrutturazione di tutte le password :D

manca la mia preferita: incorrect.
non mi ricordavo mai la password, e il sistema mi diceva sempre "your password is incorrect", adesso me la ricorda lui... :asd:, è una password che mi fa sentire sicuro :asd:

ad ogni modo adesso preferisco usare dei pattern geometrici sulla tastiera, perché così mi devo ricordare solo l'attacco e forma, per la mia memoria è meglio e non uso una parola di senso compiuto

Non scordiamo anche che all'aumentare della complessità di una password, aumenterà anche la probabilità di trovarla scritta su un post-it appiccicato al monitor. Invalidandone di fatto l'utilità.

Resta oltretutto impensabile che in azienda si debba avere una situazione così frammentata di accessi.

Io ho 15 login diverse, una per tool, e 15 password che scadono ad intervalli diversi (30 o 60 gg) con criteri diversi per ciascuna. Mai allineate.

NON è possibile ricordarsele tutte a memoria.

Concordo anche io che il Single Sign On sarebbe la salvezza per motli dipendenti.

comunque in linea di massima una password con iniziale maiuscola e due numeri finali soddisfa tutte le richieste di password e ne puoi usare una sola per tutto

certo se ti sgamano quella sono cazzi

ammetto di averne usata una simile... qwertyuiop. :O

Allora siamo in due!

I tried setting my hotmail password to penis.
It said my password wasn't long enough. :(

fonte:
http://www.bash.org/?136524

non dimentichiamoci le password più sicure!!

-il nome del figlio
-il none del cane o del gatto
-la data di nascita

e stai sicuro che prima o poi entri:asd:

una volta mi serviva un PDF da un sito ma c'era scirtto:
"per scaricarlo clicca qui e richiedilo via mail gratuitamente" grandissimo (arial 26 giallo su sfondo blu, na roba orribile) e sotto sotto, in piccolo quasi nascosto "area riservata".
ho cliccato e mi ha chiesto utente e password..... uff, ho pensato che dovevo mandare quella email.... ma un tentativo l'ho rischiato, ho inserito:admin | admin e..... sono entrato, come amministratore!
potevo fare tutto, scaricare, cancellare, editare :D

ho fatto quello che mi serviva (scaricato il PDF) e poi, prima di uscire ,ho lascaito una "nota" (c'era un campo note a fianco dei PDF da scaricare) con scritto "usate password più solide" :D

Alla venticinquesima posizione c'è password1, l'unica che offre un mix tra caratteri e numeri;
Peccato che al 4° ci sia abc123 e al 12° trustno1 :rolleyes:

in realtà a livello di sicurezza che una password sia più o meno complicata è molto meno influente rispetto alla lunghezza della password stessa...in sè per quanto complicata una password da 14 caratteri o meno è facilmente preda di attacchi brute force (ammesso che l'attaccante abbia accesso fisico alla macchina o riesca a fare il dump dell'hash della password): in effetti un bel "password" seguito da un padding arbitrario ragionevolmente lungo (es quindici "1" di fila) è meno vulnerabile di chessò "@_trE1k,.reTA7" ed ha il vantaggio di essere facilmente memorizzabile. Ovviamente partendo dall'assunto che ciò che si vuole proteggere dietro alla password non limiti la lunghezza della passowrd stessa entro range limitati.
Circa gli attacchi da remoto una policy che limiti la possibilità di fare tentativi unita ad una password sufficientemente lunga dovrebbe essere abbastanza per scongiurare problemi...poi è chiaro: se ci si trova di fronte a maleintenzionati veri e davvero capaci nulla è sicuro...ma almeno si dirottano le attenzioni di tutti gli altri verso bersagli più semplici (un po' come la porta blindata a casa: in sè non è nulla di invalicabile ma è un ostacolo in più sufficiente a dirottare altrove attenzioni non desiderate nel 99% dei casi)

in realtà a livello di sicurezza che una password sia più o meno complicata è molto meno influente rispetto alla lunghezza della password stessa...in sè per quanto complicata una password da 14 caratteri o meno è facilmente preda di attacchi brute force (ammesso che l'attaccante abbia accesso fisico alla macchina o riesca a fare il dump dell'hash della password): in effetti un bel "password" seguito da un padding arbitrario ragionevolmente lungo (es quindici "1" di fila) è meno vulnerabile di chessò "@_trE1k,.reTA7" ed ha il vantaggio di essere facilmente memorizzabile. Ovviamente partendo dall'assunto che ciò che si vuole proteggere dietro alla password non limiti la lunghezza della passowrd stessa entro range limitati.
Circa gli attacchi da remoto una policy che limiti la possibilità di fare tentativi unita ad una password sufficientemente lunga dovrebbe essere abbastanza per scongiurare problemi...poi è chiaro: se ci si trova di fronte a maleintenzionati veri e davvero capaci nulla è sicuro...ma almeno si dirottano le attenzioni di tutti gli altri verso bersagli più semplici (un po' come la porta blindata a casa: in sè non è nulla di invalicabile ma è un ostacolo in più sufficiente a dirottare altrove attenzioni non desiderate nel 99% dei casi)

sul bruteforce vero ma su un attacco a dizionario ecc ecc le sequenze di numeri tutte uguali sono tra le prime ad essere testate

sul bruteforce vero ma su un attacco a dizionario ecc ecc le sequenze di numeri tutte uguali sono tra le prime ad essere testate

un attacco a dizionario difficilmente prende in considerazione password di 30 caratteri..detto ciò io parlo di numeri/caratteri/simboli uguali come padding (avanti o dietro) rispetto a qualcosa che anche si possa trovare su un dizionario NON di sequenze di numeri tutte uguali. :)

il mio sogno?
Accendere un qualunque pc nel mondo, effettuare il login con utente, pass e mia impronta digitale e ritrovarmi davanti al mio desktop già loggato dentro a tutti i servizi di cui usufruisco... dite che riuscirò mai a vedere questo scenario?

il mio sogno?
Accendere un qualunque pc nel mondo, effettuare il login con utente, pass e mia impronta digitale e ritrovarmi davanti al mio desktop già loggato dentro a tutti i servizi di cui usufruisco... dite che riuscirò mai a vedere questo scenario?

WIndows 8 :fagiano:

Sono salvo per un pelo...la mia è abcd1234 ops...l'ho detta XD

Mi accodo a qualche altro utente, è impossibile avere password sempre sicure, io ne ho una alfanumerica con simboli, però molte volte mi trovo con siti che non la accettano!

Questo mi fa parecchio incacchiare, a volte ti scontri con richieste assurde e poi non mi accetti i simboli, ma diamine!!

Io utilizzo molto spesso password banali e molte di quelle in lista per comodità, asdasdasd la uso molto o 123qwe, roba semplice che mi fà accedere velocemente. Ma non uso queste password per luoghi importanti; il problema invece è che molta gente le usa per cose importanti o dove sono scritti dati personali o peggio. Anche se entrano qui su hwupgrade con la mia password 123456 nn è che mi fanno del male o scoprono qualcosa :)

io spesso uso dei nomi con numeri al posto delle lettere, m0l70 l4m3r :sofico:

il mio sogno?
Accendere un qualunque pc nel mondo, effettuare il login con utente, pass e mia impronta digitale e ritrovarmi davanti al mio desktop già loggato dentro a tutti i servizi di cui usufruisco... dite che riuscirò mai a vedere questo scenario?Un po' ingenuo come sogno ma condiviso da molti.
Ahimè le politiche e i messaggi trasmessi dai media e dai servizi "di grido" hanno spinto molti utenti a pensare che esistano soluzioni semplici a problemi complessi come quello che esponi.

E' lo scenario tipico del cloud "oves et boves" in stile suite Google o Apple iCloud, salvo poi ritrovarsi tra pianto e stridore di denti quando qualcosa non va e si perde tutto, scenario del resto già visto proprio con iCloud.

Personalmente da addetto al settore io non dico che sia impossibile semplificarsi la vita usando gli strumenti che ho già citato prima, però tutto questo ha un costo e purtroppo le aziende e le organizzazioni non fanno una piega quando si tratta di comprare licenze, ma quando c'è da sviluppare e sfruttare bene queste tecnologie lasciano perdere e si perdono generando un triplo danno:
1) non sfruttando le tecnologie acquistate
2) complicando la vita ai propri utenti
3) generando vulnerabilità
:rolleyes:

il mio sogno?
Accendere un qualunque pc nel mondo, effettuare il login con utente, pass e mia impronta digitale e ritrovarmi davanti al mio desktop già loggato dentro a tutti i servizi di cui usufruisco... dite che riuscirò mai a vedere questo scenario?

Chrome OS?

Alla fine credo che la cosa migliore sia inventarsi una matrice, un metodo con cui generare le proprie password. Questo permette di avere più password ma soprattutto di non doversele necessariamente ricordare se sappiamo come ricostruirle ogni volta.
I metodi sono più o meno infiniti, basta un po' di fantasia...

Ovvio che poi per pura praticità per cose banali si tende ad usare password banali...certo che se usi 12345 per la banca meriti che ti rubino i soldi (infatti le banche come sistema anti utonto hanno sempre pass loro...)

Ma c'e' veramente gente che usa password simili?

...


http://imgs.xkcd.com/comics/password_strength.png

per esempio per le password dei db mysql che usiamo a lavoro si

Vabbe' ma dipende, anche qui sulle nostre stazioni dove abbiamo un db delle provette abbiamo come password il nome della nostra azienda e idem nei pc. Ma e' giusto per averne una e sono pc di test. Chissenefrega della password in questo caso.

Ma intendo per altre cose tipo email personali, account di qualche cosa di piu' serio di un forum (tanto anche se ti entrano nel forum...).

Fantastici gli AP digicom:
Il nome della rete è: DigicomXYZ
La password: Digicom_XYZ

ma meglio i dlink che rimangono open :asd:

oppure la password zampe di gatto: xzsatgybnpo0-.è+124-*9+

ma in alcuni casi le pw sono inutili, in un università i login sono scritti sul pc dei rispettivi uffici, giusto perchè ci devono essere.