Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/ha-11-anni-e-vende-password-sicure-a-2-dollari-ciascuna_59318.html

Mira Modi è una ragazzina undicenne che vende password sicure a 2 dollari ciascuna realizzata con la nota metodologia Diceware

Click sul link per visualizzare la notizia.

Ma occorre pagare una persona ?

Prendete un nome, quello che volete, scrivetelo con la lettera maiuscola, aggiungete un simbolo, e poi una serie numerica a vostro piacere !

Non sarà il massimo della sicurezza, ma 10/12 caratteri così composti, non sono certo facili da decifrare !

Ma occorre pagare una persona ?

Prendete un nome, quello che volete, scrivetelo con la lettera maiuscola, aggiungete un simbolo, e poi una serie numerica a vostro piacere !

Non sarà il massimo della sicurezza, ma 10/12 caratteri così composti, non sono certo facili da decifrare !

+1

ma tanto l'utente medio continua a usare 123456 e simili
oppure digita username e password assieme nel campo dell'username con il salvataggio automatico del browser attivato, magari su un pc aziendale molto frequentato :asd:

Ma occorre pagare una persona ?

Prendete un nome, quello che volete, scrivetelo con la lettera maiuscola, aggiungete un simbolo, e poi una serie numerica a vostro piacere !

Non sarà il massimo della sicurezza, ma 10/12 caratteri così composti, non sono certo facili da decifrare !

tipo Alfaromeo9889 secondo te sarebbe sicura?:rolleyes:

credo che gli attacchi bruteforce utilizzino gia di provare direttamente le lettere maiuscole -all'inizio- della parola in dizionario, che è gia un bel risparmio di tempo
inoltre hanno gia creato dizionari con numeri sostituiti a lettere, come 4lf4r0m30, anche li, un bel pò di tentativi in meno

meglio sarebbe mettere la maiuscola a caso ma dentro la parola e aggiungere la punteggiatura

tipo 4lfaroMeo98$89... così diventa un pò piu seria da scardinare:p

anyway, che metodo è 'sto dice?cioè prendere una serie di parole e anagrammarle a caso non credo aiuti a ricordare la password

Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.

Scrivere dei caratteri a caso intermezzati da numeri e volendo essere più sicuri anche qualche carattere esadecimale no eh?

B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe
ottimo esempio di password facilmente memorizzabile :doh:

Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.

Scrivere dei caratteri a caso intermezzati da numeri e volendo essere più sicuri anche qualche carattere esadecimale no eh?Tutti esempi di password facilmente memorizzabili :muro: :doh:
gd350turbo ha ragione sul fatto che mi pare assolutamente inutile pagare per avere una password generata con questo metodo (tralasciando il fatto che se la password te la genera la ragazzina e te la manda via posta ci vuole una bella dose di fiducia per pensare che non se le tenga scritte da qualche parte...fidarsi è bene ma....). Tanto vale prendersi il dato e farselo da soli...o meglio ancora aprire il dizionario a caso o un articolo di giornale e tirare fuori le prime 6 parole che si leggono. Bisogna comunque poi ricordarsi la frase che ne esce.
"RecensioneNuovoPerImbarazzoAnniArkham" mi è venuta fuori buttando l'occhio sulla pagina del forum rispondendo a questa discussione...nessun bruteforce la troverà mai, anche senza usare caratteri speciali o altre diavolerie...non è nemmeno tanto difficile da memorizzare: ve la vendo per 10 centesimi! Facciamo 5, dato che l'ho scritta in chiaro sull'internet :D :ciapet:

+1

ma tanto l'utente medio continua a usare 123456 e simili


Ehi è la password della mia valigia, come hai fatto?

ottimo esempio di password facilmente memorizzabile :doh:

Non ti serve memorizzarla: lo fa il programma e tu devi fare solo il copia/incolla. Ti basta ricordare solo quella principale del database.

Tutti i miei account importanti hanno password simili, così se succede qualcosa basta cambiare solo quella e le altre rimangono sicure.

Non ti serve memorizzarla: lo fa il programma e tu devi fare solo il copia/incolla. Ti basta ricordare solo quella principale del database.

Tutti i miei account importanti hanno password simili, così se succede qualcosa basta cambiare solo quella e le altre rimangono sicure.E quella del database principale è P4ssw0rd1! immagino... :rolleyes:

Ehi è la password della mia valigia, come hai fatto?

e' la stessa della "valigia col bottone rosso" del presidente...
piu' o meno tutte le valige hanno questa (o 000000).

"Questaèunapasswordchenonbeccheretemai" è N-milioni di volte più sicura come password di "L33t4ev@" ;)

Invece di impazzire scegliendo password impossibili da ricordare con char "esotici" & co, puntate sulla lugnhezza :)

PS: tornando all'articolo, IMHO non valeva neanche la pena di essere pubblicata. :stordita:

password sicure? password grafiche.
non solo, ma potresti legarle ad un'immagine secondaria denormalizzata, in modo da mantenere le gestur sempre uguali, ma cambiando normalizzazione cambia la pass (e la paura passa).

non hai possibilita' di avere grafica?
algoritmo autogestito (token umano);
cambia la codifica a seconda della data e dell'orario, facendo i conti secondo una filastrocca...

non hai un orologio con datario sotto mano e devi perforza usare la tastiera?
123456

(se devi morire, fallo con stile)

avevo letto che piuttosto che usare simboli strani o numeri è esponenzialmente più sicuro usare una frase decentemente lunga con gli spazi....
usare come password: "nel mezzo del cammin di nostra vita" ad esempio è più sicuro che usare " bhgUYBgu&%&)"

io sono molto più favorevole al metodo degli acronimi, una password come queste ad esempio è molto facili da memorizzare e difficili da decifrare risparmiando comunque i 2 euro

nmdcdnvmri1soclrves

lnaicpsesimuebim

inhvdccvunpindcifaldbdo

avevo letto che piuttosto che usare simboli strani o numeri è esponenzialmente più sicuro usare una frase decentemente lunga con gli spazi....
usare come password: "nel mezzo del cammin di nostra vita" ad esempio è più sicuro che usare " bhgUYBgu&%&)"

Il numero di combinazioni che è necessario generare in brute-force per password lunghe k in cui ogni lettera può assumere B possibili valori è pari a:

B^k

Dunque password più lunghe sono preferibili ;).

Anche se chiaramente si hanno discreti vantaggi aumentando la base di simboli, ad esempio passando da tutte lettere minuscole a combinazioni di lettere minuscole + maiuscole (raddoppia la base praticamente).

alla fine nella vita le password importanti sono quelle in cui all'account avete collegata una carta di credito, per quelle vale la pensa di pensarci su un po quando la si sceglie.

se mi entrano in hw non me ne frega molto :D

Sarà la figlia di uno degli anonymous... :)

alla fine nella vita le password importanti sono quelle in cui all'account avete collegata una carta di credito, per quelle vale la pensa di pensarci su un po quando la si sceglie.

se mi entrano in hw non me ne frega molto :D

per fortuna che l'home banking spesso è protetto da OTP

Affidare la generazione di password a persone o siti online è la cosa più stupida che si possa fare. Nessuno mi garantisce che la password generata non finisca in dizionari con il suo relativo hash.

Sinceramente uso lastpass per le password. Molto comodo ma comincio a non considerarlo più abbastanza sicuro. 14 o più caratteri alfanumerici MAIUSC minusc casuali di solito. Alcuni campi password non lo supportano, sono più semplici.:asd: devo trovare un modo per fare un backup offline, facile da usare ma che se perso non sia pericoloso. Perché la vera rogna è usarle al momento se servono fuori da propri dispositivi. Ovviamente notifica in due passaggi attivata su account google, microsoft e chi lo permette.

Notizia sterile! :doh:

Ehi è la password della mia valigia, come hai fatto?

11 anni 30 password vendute... gli consiglierei di cambiare core business :asd: potrebbe prendere spunto da quelle che si filmano mentre giocano online (con scarsi risultati di gioco ma alte visualizzazioni)

per fortuna che l'home banking spesso è protetto da OTP

Che è comunque passibile di MITM...e spesso anche di reply (i token vengono controllati anche con quelli del minuto +1 e -1).

Invece che una parola compiuta (le prime parole che i bot usano sono prese dal dizionario!) usate un acronimo per una frase che vi viene da dire spesso (anche parolacce...) e cambiate qualche lettera con numeri o caratteri speciali.
Ad esempio: Rosso Di Sera Bel Tempo Si Spera ---> Rd$b7s$

ottimo esempio di password facilmente memorizzabile :doh:

Suvvia usiamolo questo cervello :D
Dopo la 5° volta che effettui il login scrivendola a mano, ti accorgerai che l'avrai imparata a memoria proprio come qualsiasi altra cosa (numeri di telefono, indirizzi, ecc ecc)

Per me la tecnica migliore rimane proprio questa, ovvero scrivere su carta una password pseudo-casuale generata dal nostro cervello tipo H845Z%pMjG@3274Bn, fare il login 5/10 volte ricopiandola dal foglio e automaticamente la si avrà imparata.

Questo vale per un solo sito, ovviamente devono essere tutte diverse per garantire un certo livello di sicurezza, soprattutto un certo distaccamento con quella dell'e-mail, che al giorno d'oggi permette di cambiare TUTTE le password da tutti i siti in cui siamo registrati.

non mi sento di consigliare "il servizio", però parliamoci chiaro, la ragazzina ha più sale in zucca di tanta gente più matura di lei.
ok, figlia d'arte del settore privacy, ma chiamatela stupida...
sceglie un metodo crittografico "semplice" ma al contempo abbastanza resistente per buona parte degli attacchi, e "rivende il prodotto ad una cifra irrisoria, se paragonata ai danni che fa il perdere un'account...
si, vero, basta carta e penna... ma quanti lo fanno al giorno d'oggi?
date di nascita, nomi dei figli, nomi + date, e-mail lette al contrario come password, se non direttamente la mail stessa....
in soldoni, ci lamentiamo spesso della privacy, ma poi per comodità mettiamo password che farebbero ridere sia pippo che paperino.
scordatevi la password unica per tutto, scovata quelal sareste fregati in tutto
cose dette tante volte, ma pochi ci pensano, o credono che non sarà mai il suo caso (pensiero di quei furboni dei siti di tradimenti)
dark

avevo letto che piuttosto che usare simboli strani o numeri è esponenzialmente più sicuro usare una frase decentemente lunga con gli spazi....
usare come password: "nel mezzo del cammin di nostra vita" ad esempio è più sicuro che usare " bhgUYBgu&%&)"

ancor meglio se usi una frase con inseriti errori incoerenti (errori grammaticali e/o lessicali); tu li ricordi, ma sono extra vocabolario... se metti o no lo spazio e' indifferente (e' pur sempre un carattere ed aiuta il vocabolario).

11 anni 30 password vendute... gli consiglierei di cambiare core business :asd: potrebbe prendere spunto da quelle che si filmano mentre giocano online (con scarsi risultati di gioco ma alte visualizzazioni)
Fino ad "online" non capivo quale dovesse essere il nuovo "core business" che dovesse intraprendere.
Massì, i video di minecraft tirano a quell'età, potrebbe iniziare sin d'ora a nerdare.. se non altro smetterebbe di rubare il lavoro alla madre :asd:


CIAWA

la mia password è imbattibile; schemochilegge

Suvvia usiamolo questo cervello :D
Dopo la 5° volta che effettui il login scrivendola a mano, ti accorgerai che l'avrai imparata a memoria proprio come qualsiasi altra cosa (numeri di telefono, indirizzi, ecc ecc)

Vero, ricordo a memoria una password di 26 caratteri casuali.
Anche se di veramente casuale la nostra mente ha poco, dopo un po' ne ho trovato la logica e memorizzata.


Avete mai provato le configurazioni elettroniche? Quelle si che fan paura:Prrr:

Quest'anno dopo che mi hanno fregato le pass 2 volte non per mie carenza (breach di puush e linustechtips) ho deciso di switchare completamente a keepass e password completamente random.

Il database criptato è su onedrive e uso apposite app e mia relativa password per sbloccare e prendere la pass che mi serve. Inoltre ho ovviamente attivato la verifica in 2 passaggi dove possibile.

Prima come pass usavo una pass alfanumerica generica tipo: h23z56m78 + parte del nome del sito in cui andava messa tipo: h23z56m78upgrade, non so se sicura ma ormai non ha pià importanza :)

Fino ad "online" non capivo quale dovesse essere il nuovo "core business" che dovesse intraprendere.
Massì, i video di minecraft tirano a quell'età, potrebbe iniziare sin d'ora a nerdare.. se non altro smetterebbe di rubare il lavoro alla madre :asd:


CIAWA
non è il padre? :mbe:

password sicura e facile da ricordare:

perchédevopagareperunaPWnotaadunaragazzinacheessastessapotrebbeusareperviolarelamiaprivacy?

Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.bastascriveretuttoattaccato&conuncaratteredidisturbo

:)

HuApRgDrWaAdReE questa è semplice ma bruteforce impiegara' un bel po.

premi block maiusc scrive CIAO torna indietro disattiva e metti mamma :D ogni puntino avanti con la freccetta,ci perdi un attimo ma aho sto blindate..

le vendo a 2 euro :D

occhio ad usare caratteri "italiani" (tipicamente le vocali accentate), un amico era in Germania ed è impazzito a mettere la sua pwd con una "é" :D

https://www.xkcd.com/936/

La maggior parte della gente usa pw facili perché non riesce a ricordarle.

e quando usa pw un poco piu' complesse le dimentica subito

non so se le mie possono superare gli attacchi informatici, ma umani non potrebbero mai capirle.

io mi aspetto che il gestore di dove metto la pw blocchi al terzo o quinto tentativo.
Basta questo.

Ma usate programmi come Keepass: ve ne genera quante volete, assolutamente a random e con criteri personalizzabili (esempio: B9oEQGM2QcxjnuFiF1FRAmqlC4b90zRe) e le salva in un database criptato.

Quoto! anche perchè trovo già difficile memorizzare una pw come quelle proposte, figuriamoci doverne ricordare diverse :doh:

keepass è perfetto, è open source e disponibile per ogni sistema. Oltre alla password principale si può anche impostare qualcosa come master key per aumentare la sicurezza.

Personalmente tengo il file con il database sincronizzato con dropbox ed oltre alla pw per accedervi utilizzo come masert key un apposito file (documento di testo, immagine, canzone o quello che volete) che tengo nel dispositivo (pc, telefono e tablet) ma non in dropbox. Le pw dei singoli siti memorizzate nel database di solito le faccio generare direttamente da keepass, così evito di cadere in pw troppo simili.
La sicurezza al 100% non esiste, ma credo di avere così un buon compromesso tra sicurezza e praticità.

ve la do io un psw, aggratisse, "Sud0redicul0"

userò come password:
il mio cane mangia un hotdog

voglio vedere chi la decripta...

userò come password:
il mio cane mangia un hotdog
voglio vedere chi la decripta...
"il mio cane mangia un hotdog mentre l'OMS dice che morirà di cancro"
Questa si che non la decripterebbe nessuno! :asd:

Io invece di queste password mi appoggerei a sistemi terzi.
Un dispositivo grande quanto una chiavetta USB (tipo i generatori di password delle banche da portachiavi) con un sensore d'impronte per attivarlo, un display, una piccola cam ed un archivio criptato al suo interno.
A quel punto, per far comparire l'username e la password sul display della suddetta chiavetta, ogni sito nella propria pagina di log-in dovrebbe avere un codice QR da scansionare (qui sarebbe www.hwupgrade.it) con la cam. Il nostro pollicione avvierebbe il tutto e la chiavetta ci darebbe l'username e la password.
Integrare qualcosa di simile in uno smartphone? Si però dedicandogli dell'hardware e rendendo inaccessibile il tutto dallo smartphone.


CIAWA

Per quanto mi riguarda utilizzo un metodo più semplice con una password
strutturata a 3 "strati":

[DOMINIO SITO].[PASSWORD].[2 o più numeri facili da ricordare]

Scelgo la mia password di almeno 8 caratteri,
che sarà sempre la stessa: Es. MarilynMonroe

Poi per ogni servizio, antepongo il nome del sito (quello tra www. e .it) a cui devo accedere alla password e in fondo un numero, tutti separati da 1 punto:

google.MarilynMonroe.1988
hwupgrade.MarilynMonroe.1988
gazzetta.MarilynMonroe.1988
ecc...

Semplice ed efficace.

ma quelle belle password tipo wlagnocca69 oppure 666thenumberofthebeast non ce piacciono più?

E poi ti trovi i siti/forum che memorizzano la password in chiaro e ciao ciao password complessa :D
Comunque trovo assurdo dover generare una password per ogni singolo sito/forum che richiede un login, a parte quelli con dati sensibili per il resto non credo che ne valga molto la pena.

Poi per ogni servizio, antepongo il nome del sito (quello tra www. e .it) a cui devo accedere alla password e in fondo un numero, tutti separati da 1 punto:

google.MarilynMonroe.1988
hwupgrade.MarilynMonroe.1988
gazzetta.MarilynMonroe.1988
ecc...

Semplice ed efficace.Posso dire che a me pare un'idea del menga?:D Ti sembra sicuro mettere il dominio del sito nella password? Questo metodo equivale a usare la stessa chiave ovunque, perché se un malintenzionato ne scoprisse una, non ci vuole un genio per dedurre che anche per le altre utenze fai la stessa cosa e cambia solo la prima parte, non ti pare?

Vi dico io qual è il metodo migliore per creare tante pw diverse, complesse come stringa ma facili da ricordare, anzi ricostruire.
Basta inventare un criterio per generare una sequenza di caratteri sulla base di alcune semplici istanze.

Esempio: data una canzone, si possono mettere le iniziali del cantante, l'anno e le iniziali dell'album, o il nome se è una parola sola, il numero della traccia e le iniziali del titolo o la singola parola.

Quindi per Smooth Criminal verrebbe fuori: MJ1987bad10sc
Per Dark Horse di Katy Perry: KP2013prism06dh

A questo punto voi non dovete ricordare password complicate, ma soltanto l'algoritmo e che canzone associate per ogni sito, che è molto semplice (gmail=smooth criminal, facebook=dark horse eccetera)! Ma password così lunghe e senza significato per un estraneo sono praticamente impossibili da indovinare, anche per un computer in milioni di anni! E se vi dimenticate l'anno di un album o il numero della canzone, sono informazioni pubblicamente disponibili e che potete reperire in qualsiasi momento, e nessuno penserà che state "cercando" una vostra password se vi vede guardare la discografia di Michael Jackson su wikipedia, e se anche un malintenzionato scoprisse una vostra password, è virtualmente impossibile dedurre le altre.

E poi ti trovi i siti/forum che memorizzano la password in chiaro e ciao ciao password complessa :D Questo è esattamente un buon motivo per cui usare il mio metodo: così anche se l'admin del forum potesse leggere le pw degli utenti, non riuscirebbe a capire quelle degli indirizzi e-mail con cui si sono registrati.
Comunque trovo assurdo dover generare una password per ogni singolo sito/forum che richiede un login, a parte quelli con dati sensibili per il resto non credo che ne valga molto la pena.Infatti puoi usare la stessa più volte per utenze poco delicate come i forum, l'importante è che siano uniche e diverse il più possibile tra loro quelle degli account più sensibili come google, facebook, amazon, paypal.

E soprattutto è FONDAMENTALE proteggere al massimo l'e-mail perché è la porta d'accesso per tutto il resto! Io con l'account gmail mi sono registrato nei tre siti successivi, quindi se uno mi entrasse lì, sarei virtualmente morto perché anche se le altre pw sono diverse gli basterebbe dire ad amazon di averla dimenticata, e ne manderebbe una nuova su gmail stesso! :eek:
Ecco perché è importante la sicurezza in due passaggi col telefono, diventa come l'home banking con la chiavetta.

purtroppo questo (ed altro, come far crescere un sito web con passione e dedizione per poi aggiungere delle pubblicità) in Italia non si potrebbe fare in quanto essendo un'attività "continuativa" bisognerebbe aprire una partita iva, pagare un commercialista, sborsare tanti soldini per l'iscrizione all'Inps oltre a pagare ovviamente le tasse per i pochi spiccioli ricavati... il famoso tetto dei 5000 euro, privo di obblighi, si applica solo alle attività non continuative.