PDA

View Full Version : Ha 11 anni e vende password sicure a 2 dollari ciascuna


Redazione di Hardware Upg
26-10-2015, 15:31
Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/ha-11-anni-e-vende-password-sicure-a-2-dollari-ciascuna_59318.html

Mira Modi è una ragazzina undicenne che vende password sicure a 2 dollari ciascuna realizzata con la nota metodologia Diceware

Click sul link per visualizzare la notizia.

gd350turbo
26-10-2015, 15:56
Ma occorre pagare una persona ?

Prendete un nome, quello che volete, scrivetelo con la lettera maiuscola, aggiungete un simbolo, e poi una serie numerica a vostro piacere !

Non sarà il massimo della sicurezza, ma 10/12 caratteri così composti, non sono certo facili da decifrare !

zagor977
26-10-2015, 16:02
Ma occorre pagare una persona ?

Prendete un nome, quello che volete, scrivetelo con la lettera maiuscola, aggiungete un simbolo, e poi una serie numerica a vostro piacere !

Non sarà il massimo della sicurezza, ma 10/12 caratteri così composti, non sono certo facili da decifrare !

+1

ma tanto l'utente medio continua a usare 123456 e simili
oppure digita username e password assieme nel campo dell'username con il salvataggio automatico del browser attivato, magari su un pc aziendale molto frequentato :asd:

benderchetioffender
26-10-2015, 16:11
Ma occorre pagare una persona ?

Prendete un nome, quello che volete, scrivetelo con la lettera maiuscola, aggiungete un simbolo, e poi una serie numerica a vostro piacere !

Non sarà il massimo della sicurezza, ma 10/12 caratteri così composti, non sono certo facili da decifrare !

tipo Alfaromeo9889 secondo te sarebbe sicura?:rolleyes:

credo che gli attacchi bruteforce utilizzino gia di provare direttamente le lettere maiuscole -all'inizio- della parola in dizionario, che è gia un bel risparmio di tempo
inoltre hanno gia creato dizionari con numeri sostituiti a lettere, come 4lf4r0m30, anche li, un bel pò di tentativi in meno

meglio sarebbe mettere la maiuscola a caso ma dentro la parola e aggiungere la punteggiatura

tipo 4lfaroMeo98$89... così diventa un pò piu seria da scardinare:p

anyway, che metodo è 'sto dice?cioè prendere una serie di parole e anagrammarle a caso non credo aiuti a ricordare la password

Redrum_82
26-10-2015, 16:11
Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.

rattopazzo
26-10-2015, 16:12
Scrivere dei caratteri a caso intermezzati da numeri e volendo essere più sicuri anche qualche carattere esadecimale no eh?

zyrquel
26-10-2015, 16:23
B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe
ottimo esempio di password facilmente memorizzabile :doh:

TheMonzOne
26-10-2015, 16:26
Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.

Scrivere dei caratteri a caso intermezzati da numeri e volendo essere più sicuri anche qualche carattere esadecimale no eh?Tutti esempi di password facilmente memorizzabili :muro: :doh:
gd350turbo ha ragione sul fatto che mi pare assolutamente inutile pagare per avere una password generata con questo metodo (tralasciando il fatto che se la password te la genera la ragazzina e te la manda via posta ci vuole una bella dose di fiducia per pensare che non se le tenga scritte da qualche parte...fidarsi è bene ma....). Tanto vale prendersi il dato e farselo da soli...o meglio ancora aprire il dizionario a caso o un articolo di giornale e tirare fuori le prime 6 parole che si leggono. Bisogna comunque poi ricordarsi la frase che ne esce.
"RecensioneNuovoPerImbarazzoAnniArkham" mi è venuta fuori buttando l'occhio sulla pagina del forum rispondendo a questa discussione...nessun bruteforce la troverà mai, anche senza usare caratteri speciali o altre diavolerie...non è nemmeno tanto difficile da memorizzare: ve la vendo per 10 centesimi! Facciamo 5, dato che l'ho scritta in chiaro sull'internet :D :ciapet:

skadex
26-10-2015, 16:26
+1

ma tanto l'utente medio continua a usare 123456 e simili


Ehi è la password della mia valigia, come hai fatto?

Redrum_82
26-10-2015, 16:27
ottimo esempio di password facilmente memorizzabile :doh:

Non ti serve memorizzarla: lo fa il programma e tu devi fare solo il copia/incolla. Ti basta ricordare solo quella principale del database.

Tutti i miei account importanti hanno password simili, così se succede qualcosa basta cambiare solo quella e le altre rimangono sicure.

TheMonzOne
26-10-2015, 16:28
Non ti serve memorizzarla: lo fa il programma e tu devi fare solo il copia/incolla. Ti basta ricordare solo quella principale del database.

Tutti i miei account importanti hanno password simili, così se succede qualcosa basta cambiare solo quella e le altre rimangono sicure.E quella del database principale è P4ssw0rd1! immagino... :rolleyes:

lucusta
26-10-2015, 16:34
Ehi è la password della mia valigia, come hai fatto?

e' la stessa della "valigia col bottone rosso" del presidente...
piu' o meno tutte le valige hanno questa (o 000000).

WarSide
26-10-2015, 16:35
"Questaèunapasswordchenonbeccheretemai" è N-milioni di volte più sicura come password di "L33t4ev@" ;)

Invece di impazzire scegliendo password impossibili da ricordare con char "esotici" & co, puntate sulla lugnhezza :)

PS: tornando all'articolo, IMHO non valeva neanche la pena di essere pubblicata. :stordita:

lucusta
26-10-2015, 16:39
password sicure? password grafiche.
non solo, ma potresti legarle ad un'immagine secondaria denormalizzata, in modo da mantenere le gestur sempre uguali, ma cambiando normalizzazione cambia la pass (e la paura passa).

non hai possibilita' di avere grafica?
algoritmo autogestito (token umano);
cambia la codifica a seconda della data e dell'orario, facendo i conti secondo una filastrocca...

non hai un orologio con datario sotto mano e devi perforza usare la tastiera?
123456

(se devi morire, fallo con stile)

Londo83
26-10-2015, 16:55
avevo letto che piuttosto che usare simboli strani o numeri è esponenzialmente più sicuro usare una frase decentemente lunga con gli spazi....
usare come password: "nel mezzo del cammin di nostra vita" ad esempio è più sicuro che usare " bhgUYBgu&%&)"

!fazz
26-10-2015, 16:57
io sono molto più favorevole al metodo degli acronimi, una password come queste ad esempio è molto facili da memorizzare e difficili da decifrare risparmiando comunque i 2 euro

nmdcdnvmri1soclrves

lnaicpsesimuebim

inhvdccvunpindcifaldbdo

WarDuck
26-10-2015, 16:57
avevo letto che piuttosto che usare simboli strani o numeri è esponenzialmente più sicuro usare una frase decentemente lunga con gli spazi....
usare come password: "nel mezzo del cammin di nostra vita" ad esempio è più sicuro che usare " bhgUYBgu&%&)"

Il numero di combinazioni che è necessario generare in brute-force per password lunghe k in cui ogni lettera può assumere B possibili valori è pari a:

B^k

Dunque password più lunghe sono preferibili ;).

Anche se chiaramente si hanno discreti vantaggi aumentando la base di simboli, ad esempio passando da tutte lettere minuscole a combinazioni di lettere minuscole + maiuscole (raddoppia la base praticamente).

omar8792
26-10-2015, 16:59
alla fine nella vita le password importanti sono quelle in cui all'account avete collegata una carta di credito, per quelle vale la pensa di pensarci su un po quando la si sceglie.

se mi entrano in hw non me ne frega molto :D

derekz
26-10-2015, 17:00
Sarà la figlia di uno degli anonymous... :)

!fazz
26-10-2015, 17:00
alla fine nella vita le password importanti sono quelle in cui all'account avete collegata una carta di credito, per quelle vale la pensa di pensarci su un po quando la si sceglie.

se mi entrano in hw non me ne frega molto :D

per fortuna che l'home banking spesso è protetto da OTP

Stefy_MHR
26-10-2015, 17:16
Affidare la generazione di password a persone o siti online è la cosa più stupida che si possa fare. Nessuno mi garantisce che la password generata non finisca in dizionari con il suo relativo hash.

Vash88
26-10-2015, 17:19
Sinceramente uso lastpass per le password. Molto comodo ma comincio a non considerarlo più abbastanza sicuro. 14 o più caratteri alfanumerici MAIUSC minusc casuali di solito. Alcuni campi password non lo supportano, sono più semplici.:asd: devo trovare un modo per fare un backup offline, facile da usare ma che se perso non sia pericoloso. Perché la vera rogna è usarle al momento se servono fuori da propri dispositivi. Ovviamente notifica in due passaggi attivata su account google, microsoft e chi lo permette.

Gabro_82
26-10-2015, 17:20
Notizia sterile! :doh:

marchigiano
26-10-2015, 17:26
Ehi è la password della mia valigia, come hai fatto?

11 anni 30 password vendute... gli consiglierei di cambiare core business :asd: potrebbe prendere spunto da quelle che si filmano mentre giocano online (con scarsi risultati di gioco ma alte visualizzazioni)

TRF83
26-10-2015, 17:46
per fortuna che l'home banking spesso è protetto da OTP

Che è comunque passibile di MITM...e spesso anche di reply (i token vengono controllati anche con quelli del minuto +1 e -1).

Dumah Brazorf
26-10-2015, 17:48
Invece che una parola compiuta (le prime parole che i bot usano sono prese dal dizionario!) usate un acronimo per una frase che vi viene da dire spesso (anche parolacce...) e cambiate qualche lettera con numeri o caratteri speciali.
Ad esempio: Rosso Di Sera Bel Tempo Si Spera ---> Rd$b7s$

marco_182
26-10-2015, 17:55
ottimo esempio di password facilmente memorizzabile :doh:

Suvvia usiamolo questo cervello :D
Dopo la 5° volta che effettui il login scrivendola a mano, ti accorgerai che l'avrai imparata a memoria proprio come qualsiasi altra cosa (numeri di telefono, indirizzi, ecc ecc)

Per me la tecnica migliore rimane proprio questa, ovvero scrivere su carta una password pseudo-casuale generata dal nostro cervello tipo H845Z%pMjG@3274Bn, fare il login 5/10 volte ricopiandola dal foglio e automaticamente la si avrà imparata.

Questo vale per un solo sito, ovviamente devono essere tutte diverse per garantire un certo livello di sicurezza, soprattutto un certo distaccamento con quella dell'e-mail, che al giorno d'oggi permette di cambiare TUTTE le password da tutti i siti in cui siamo registrati.

DarkmanDestroyer
26-10-2015, 18:26
non mi sento di consigliare "il servizio", però parliamoci chiaro, la ragazzina ha più sale in zucca di tanta gente più matura di lei.
ok, figlia d'arte del settore privacy, ma chiamatela stupida...
sceglie un metodo crittografico "semplice" ma al contempo abbastanza resistente per buona parte degli attacchi, e "rivende il prodotto ad una cifra irrisoria, se paragonata ai danni che fa il perdere un'account...
si, vero, basta carta e penna... ma quanti lo fanno al giorno d'oggi?
date di nascita, nomi dei figli, nomi + date, e-mail lette al contrario come password, se non direttamente la mail stessa....
in soldoni, ci lamentiamo spesso della privacy, ma poi per comodità mettiamo password che farebbero ridere sia pippo che paperino.
scordatevi la password unica per tutto, scovata quelal sareste fregati in tutto
cose dette tante volte, ma pochi ci pensano, o credono che non sarà mai il suo caso (pensiero di quei furboni dei siti di tradimenti)
dark

lucusta
26-10-2015, 20:13
avevo letto che piuttosto che usare simboli strani o numeri è esponenzialmente più sicuro usare una frase decentemente lunga con gli spazi....
usare come password: "nel mezzo del cammin di nostra vita" ad esempio è più sicuro che usare " bhgUYBgu&%&)"

ancor meglio se usi una frase con inseriti errori incoerenti (errori grammaticali e/o lessicali); tu li ricordi, ma sono extra vocabolario... se metti o no lo spazio e' indifferente (e' pur sempre un carattere ed aiuta il vocabolario).

Balthasar85
26-10-2015, 21:20
11 anni 30 password vendute... gli consiglierei di cambiare core business :asd: potrebbe prendere spunto da quelle che si filmano mentre giocano online (con scarsi risultati di gioco ma alte visualizzazioni)
Fino ad "online" non capivo quale dovesse essere il nuovo "core business" che dovesse intraprendere.
Massì, i video di minecraft tirano a quell'età, potrebbe iniziare sin d'ora a nerdare.. se non altro smetterebbe di rubare il lavoro alla madre :asd:


CIAWA

ultordeux
26-10-2015, 21:29
la mia password è imbattibile; schemochilegge

OttoVon
26-10-2015, 22:07
Suvvia usiamolo questo cervello :D
Dopo la 5° volta che effettui il login scrivendola a mano, ti accorgerai che l'avrai imparata a memoria proprio come qualsiasi altra cosa (numeri di telefono, indirizzi, ecc ecc)

Vero, ricordo a memoria una password di 26 caratteri casuali.
Anche se di veramente casuale la nostra mente ha poco, dopo un po' ne ho trovato la logica e memorizzata.


Avete mai provato le configurazioni elettroniche? Quelle si che fan paura:Prrr:

Pesmerga
26-10-2015, 22:42
Quest'anno dopo che mi hanno fregato le pass 2 volte non per mie carenza (breach di puush e linustechtips) ho deciso di switchare completamente a keepass e password completamente random.

Il database criptato è su onedrive e uso apposite app e mia relativa password per sbloccare e prendere la pass che mi serve. Inoltre ho ovviamente attivato la verifica in 2 passaggi dove possibile.

Prima come pass usavo una pass alfanumerica generica tipo: h23z56m78 + parte del nome del sito in cui andava messa tipo: h23z56m78upgrade, non so se sicura ma ormai non ha pià importanza :)

marchigiano
26-10-2015, 23:33
Fino ad "online" non capivo quale dovesse essere il nuovo "core business" che dovesse intraprendere.
Massì, i video di minecraft tirano a quell'età, potrebbe iniziare sin d'ora a nerdare.. se non altro smetterebbe di rubare il lavoro alla madre :asd:


CIAWA
non è il padre? :mbe:

fraussantin
26-10-2015, 23:42
password sicura e facile da ricordare:

perchédevopagareperunaPWnotaadunaragazzinacheessastessapotrebbeusareperviolarelamiaprivacy?

MiKeLezZ
27-10-2015, 00:05
Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.bastascriveretuttoattaccato&conuncaratteredidisturbo

:)

Lian_Sps_in_ZuBeI
27-10-2015, 00:05
HuApRgDrWaAdReE questa è semplice ma bruteforce impiegara' un bel po.

premi block maiusc scrive CIAO torna indietro disattiva e metti mamma :D ogni puntino avanti con la freccetta,ci perdi un attimo ma aho sto blindate..

le vendo a 2 euro :D

SuperMariano81
27-10-2015, 07:11
occhio ad usare caratteri "italiani" (tipicamente le vocali accentate), un amico era in Germania ed è impazzito a mettere la sua pwd con una "é" :D

Mac666
27-10-2015, 07:50
https://www.xkcd.com/936/

alexdal
27-10-2015, 08:11
La maggior parte della gente usa pw facili perché non riesce a ricordarle.

e quando usa pw un poco piu' complesse le dimentica subito

non so se le mie possono superare gli attacchi informatici, ma umani non potrebbero mai capirle.

io mi aspetto che il gestore di dove metto la pw blocchi al terzo o quinto tentativo.
Basta questo.

AlexAlex
27-10-2015, 08:16
Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.

Quoto! anche perchè trovo già difficile memorizzare una pw come quelle proposte, figuriamoci doverne ricordare diverse :doh:

keepass è perfetto, è open source e disponibile per ogni sistema. Oltre alla password principale si può anche impostare qualcosa come master key per aumentare la sicurezza.

Personalmente tengo il file con il database sincronizzato con dropbox ed oltre alla pw per accedervi utilizzo come masert key un apposito file (documento di testo, immagine, canzone o quello che volete) che tengo nel dispositivo (pc, telefono e tablet) ma non in dropbox. Le pw dei singoli siti memorizzate nel database di solito le faccio generare direttamente da keepass, così evito di cadere in pw troppo simili.
La sicurezza al 100% non esiste, ma credo di avere così un buon compromesso tra sicurezza e praticità.

Sberla101
27-10-2015, 08:17
ve la do io un psw, aggratisse, "Sud0redicul0"

djfix13
27-10-2015, 09:38
userò come password:
il mio cane mangia un hotdog

voglio vedere chi la decripta...

Balthasar85
27-10-2015, 10:21
userò come password:
il mio cane mangia un hotdog
voglio vedere chi la decripta...
"il mio cane mangia un hotdog mentre l'OMS dice che morirà di cancro"
Questa si che non la decripterebbe nessuno! :asd:

Io invece di queste password mi appoggerei a sistemi terzi.
Un dispositivo grande quanto una chiavetta USB (tipo i generatori di password delle banche da portachiavi) con un sensore d'impronte per attivarlo, un display, una piccola cam ed un archivio criptato al suo interno.
A quel punto, per far comparire l'username e la password sul display della suddetta chiavetta, ogni sito nella propria pagina di log-in dovrebbe avere un codice QR da scansionare (qui sarebbe www.hwupgrade.it) con la cam. Il nostro pollicione avvierebbe il tutto e la chiavetta ci darebbe l'username e la password.
Integrare qualcosa di simile in uno smartphone? Si però dedicandogli dell'hardware e rendendo inaccessibile il tutto dallo smartphone.


CIAWA

Uakko
27-10-2015, 10:55
Per quanto mi riguarda utilizzo un metodo più semplice con una password
strutturata a 3 "strati":

[DOMINIO SITO].[PASSWORD].[2 o più numeri facili da ricordare]

Scelgo la mia password di almeno 8 caratteri,
che sarà sempre la stessa: Es. MarilynMonroe

Poi per ogni servizio, antepongo il nome del sito (quello tra www. e .it) a cui devo accedere alla password e in fondo un numero, tutti separati da 1 punto:

google.MarilynMonroe.1988
hwupgrade.MarilynMonroe.1988
gazzetta.MarilynMonroe.1988
ecc...

Semplice ed efficace.

aleforumista
27-10-2015, 11:40
ma quelle belle password tipo wlagnocca69 oppure 666thenumberofthebeast non ce piacciono più?

danieleg.dg
27-10-2015, 16:20
E poi ti trovi i siti/forum che memorizzano la password in chiaro e ciao ciao password complessa :D
Comunque trovo assurdo dover generare una password per ogni singolo sito/forum che richiede un login, a parte quelli con dati sensibili per il resto non credo che ne valga molto la pena.

Mars4ever
27-10-2015, 21:44
Poi per ogni servizio, antepongo il nome del sito (quello tra www. e .it) a cui devo accedere alla password e in fondo un numero, tutti separati da 1 punto:

google.MarilynMonroe.1988
hwupgrade.MarilynMonroe.1988
gazzetta.MarilynMonroe.1988
ecc...

Semplice ed efficace.Posso dire che a me pare un'idea del menga?:D Ti sembra sicuro mettere il dominio del sito nella password? Questo metodo equivale a usare la stessa chiave ovunque, perché se un malintenzionato ne scoprisse una, non ci vuole un genio per dedurre che anche per le altre utenze fai la stessa cosa e cambia solo la prima parte, non ti pare?

Vi dico io qual è il metodo migliore per creare tante pw diverse, complesse come stringa ma facili da ricordare, anzi ricostruire.
Basta inventare un criterio per generare una sequenza di caratteri sulla base di alcune semplici istanze.

Esempio: data una canzone, si possono mettere le iniziali del cantante, l'anno e le iniziali dell'album, o il nome se è una parola sola, il numero della traccia e le iniziali del titolo o la singola parola.

Quindi per Smooth Criminal verrebbe fuori: MJ1987bad10sc
Per Dark Horse di Katy Perry: KP2013prism06dh

A questo punto voi non dovete ricordare password complicate, ma soltanto l'algoritmo e che canzone associate per ogni sito, che è molto semplice (gmail=smooth criminal, facebook=dark horse eccetera)! Ma password così lunghe e senza significato per un estraneo sono praticamente impossibili da indovinare, anche per un computer in milioni di anni! E se vi dimenticate l'anno di un album o il numero della canzone, sono informazioni pubblicamente disponibili e che potete reperire in qualsiasi momento, e nessuno penserà che state "cercando" una vostra password se vi vede guardare la discografia di Michael Jackson su wikipedia, e se anche un malintenzionato scoprisse una vostra password, è virtualmente impossibile dedurre le altre.

Mars4ever
27-10-2015, 22:07
E poi ti trovi i siti/forum che memorizzano la password in chiaro e ciao ciao password complessa :D Questo è esattamente un buon motivo per cui usare il mio metodo: così anche se l'admin del forum potesse leggere le pw degli utenti, non riuscirebbe a capire quelle degli indirizzi e-mail con cui si sono registrati.
Comunque trovo assurdo dover generare una password per ogni singolo sito/forum che richiede un login, a parte quelli con dati sensibili per il resto non credo che ne valga molto la pena.Infatti puoi usare la stessa più volte per utenze poco delicate come i forum, l'importante è che siano uniche e diverse il più possibile tra loro quelle degli account più sensibili come google, facebook, amazon, paypal.

E soprattutto è FONDAMENTALE proteggere al massimo l'e-mail perché è la porta d'accesso per tutto il resto! Io con l'account gmail mi sono registrato nei tre siti successivi, quindi se uno mi entrasse lì, sarei virtualmente morto perché anche se le altre pw sono diverse gli basterebbe dire ad amazon di averla dimenticata, e ne manderebbe una nuova su gmail stesso! :eek:
Ecco perché è importante la sicurezza in due passaggi col telefono, diventa come l'home banking con la chiavetta.

steverm63
31-10-2015, 08:35
purtroppo questo (ed altro, come far crescere un sito web con passione e dedizione per poi aggiungere delle pubblicità) in Italia non si potrebbe fare in quanto essendo un'attività "continuativa" bisognerebbe aprire una partita iva, pagare un commercialista, sborsare tanti soldini per l'iscrizione all'Inps oltre a pagare ovviamente le tasse per i pochi spiccioli ricavati... il famoso tetto dei 5000 euro, privo di obblighi, si applica solo alle attività non continuative.