Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/le-25-password-peggiori-del-2015_60396.html

SplashData ha pubblicato la sua lista annuale delle peggiori 25 password del 2015 fra quelle più diffuse su scala globale. Prima, ancora una volta, l'intramontabile "123456"

Click sul link per visualizzare la notizia.

https://www.youtube.com/watch?v=ImX9nXc15UY

mi raccomando, scegliete password più complesse, poi le scrivete su un post-it e lo attaccate allo schermo, così non le dimenticate.

livello master hacker anonymous per la persona che anzichè 1234 ha scelto 123456 o addirittura aggiunto 78 :D

Il 95% dei Software/SO/Website non permettono di scegliere l'80% delle Password qui riportate, ed è così da almeno 2-3 anni.
Chi più, chi meno, hanno apportato giustamente delle misure preventive per il brute force:

-Almeno un numero / Almeno una lettera
-Almeno una Maiuscola
-Almeno 8 caratteri
-Almeno un simbolo 'speciale'

Quindi queste stats sono fake, j4f. [IMHO]


Ricordo questi articoli, sempre con fonte SplashData

http://www.hwupgrade.it/news/web/la-password-meno-sicura-del-2013-non-e-piu-password-ecco-da-chi-viene-battuta_50604.html

http://www.hwupgrade.it/news/web/le-25-peggiori-password-del-2014-e-qualche-consiglio-sulla-scelta_55715.html

e vorrei tanto capire, da dove e sopratutto come, riescono a tirare fuori questi dati.

e vorrei tanto capire, da dove e sopratutto come, riescono a tirare fuori questi dati.

beh, non e' uno sforzo enorme farlo.. basta seguire il link riportato, e tra le prime frasi si legge che vengono stilate in base ai vari "password leak" usciti nell'anno

Io invece provo a fare l'avvocato del diavolo. Vero che le password sono importantissime e ci mancherebbe ma sono arrivato al punto di farmi un foglio cartaceo dove ne annotto qualcuna per non rischiare di perderla di mente. Come avete detto voi, ormai i siti richiedo maiuscole, minuscole, numeri ecc.. il problema è che non c'è uniformità. c'è il sito che richiede una maiuscola, quello a cui basta un numero ecc. Capisco di impostare una password affidabile per il conto in banca ma perchè non usare password "scontate" per ad esempio iscriversi sul sito del supermercato vicino a casa per poter scaricare il catalogo premi?
Scusate l'esempio idiota e capisco che probabilmente l'utente medio utilizza 12345 anche per siti con informazioni personali però ci può stare avere sempre in mente una password "sciocca" per i siti dove non è richiesto inserire dati personali. Sbaglio?

http://images.paulspoerry.com/2012/10/spaceballs-luggage-password.jpg

https://youtu.be/foi-sINWxeg


:asd:

Se n'era già parlato in un altra discussione : se non ricordo male il calcolo combinatorio, data una password di k caratteri scelti da un set di n caratteri (es. maiuscole più minuscole), il numero di possibili disposizioni è
n^k
Ergo (estremizzando): meglio una password lunga di sole minuscole che una corta con maiuscole, minuscole e segni di interpunzione

Il 95% dei Software/SO/Website non permettono di scegliere l'80% delle Password qui riportate, ed è così da almeno 2-3 anni.
Chi più, chi meno, hanno apportato giustamente delle misure preventive per il brute force:

-Almeno un numero / Almeno una lettera
-Almeno una Maiuscola
-Almeno 8 caratteri
-Almeno un simbolo 'speciale'

Quindi queste stats sono fake, j4f. [IMHO]


Ricordo questi articoli, sempre con fonte SplashData

http://www.hwupgrade.it/news/web/la-password-meno-sicura-del-2013-non-e-piu-password-ecco-da-chi-viene-battuta_50604.html

http://www.hwupgrade.it/news/web/le-25-peggiori-password-del-2014-e-qualche-consiglio-sulla-scelta_55715.html

e vorrei tanto capire, da dove e sopratutto come, riescono a tirare fuori questi dati.

Ma se la password l'hai da almeno 3-4 anni e non l'hai cambiata di recente puoi benissimo avere 123456.
Io su alcuni siti non ho la password 123456, ma cmq ho password immesse 4-5 anni fa che non rispettano quelle regole. Di solito ho sempre messo 8 caratteri e senza stare a fare maiuscolo e minuscolo sono o tutti caratteri minuscoli o tutti caratteri maiuscoli e il numero o il carattere speciale non lo metto mai.


Ma poi non ho capito con il carattere speciale e con il numero non te la possono crackare?
Cioè se uno mette come password: "123456aA@" è più compessa rispetto chessò a: "ghjybxfgh" ?
In questo caso la seconda in molti siti non ti viene accettata mentre la prima si. Però a me sembra più complicata la seconda da ricordare, rispetto alla prima.
Io ho come password appunto una serie di lettere che non hanno alcun senso e che non hanno nessun significato. E' tipo la seconda anche se sono altre lettere la mia password.
Solo che ormai l'ho imparata a memoria e non c'ho voglia di cambiarla.

A pensare che i caratteri speciali non vengono accettati dai servizi online delle poste! :doh: Quindi bancoposta e postepay hanno password meno complesse.

Ma se la password l'hai da almeno 3-4 anni e non l'hai cambiata di recente puoi benissimo avere 123456.
Io su alcuni siti non ho la password 123456, ma cmq ho password immesse 4-5 anni fa che non rispettano quelle regole. Di solito ho sempre messo 8 caratteri e senza stare a fare maiuscolo e minuscolo sono o tutti caratteri minuscoli o tutti caratteri maiuscoli e il numero o il carattere speciale non lo metto mai.


Ma poi non ho capito con il carattere speciale e con il numero non te la possono crackare?
Cioè se uno mette come password: "123456aA@" è più compessa rispetto chessò a: "ghjybxfgh" ?
In questo caso la seconda in molti siti non ti viene accettata mentre la prima si. Però a me sembra più complicata la seconda da ricordare, rispetto alla prima.
Io ho come password appunto una serie di lettere che non hanno alcun senso e che non hanno nessun significato. E' tipo la seconda anche se sono altre lettere la mia password.
Solo che ormai l'ho imparata a memoria e non c'ho voglia di cambiarla.

Personalmente, a me, Hotmail-Libero-PayPal-eBay-Snai mi han chiesto di cambiare la password, e questo messaggio viene fuori con ricorrenza ogni 2-3mesi.
Inoltre ricordo molto bene, di un caso, eBay che, circa 2-3 anni fà, mi chiese proprio, senza dare possibilità di NONFARLO, di cambiarla, circa la sicurezza.
Molti software che gestiscono forum (vBulletin/MyBB/phpBB) fanno la stessa cosa, chi è registrato da tanto, QUASISEMPRE gli viene mostrato un messaggio con sù la richiesta del cambio password.


Per quanto riguarda la tua domanda, vedi come funzionano i software di brute force, partono da a, poi fanno aa, poi aaa, poi aaaa, poi aaaaa, e cosi via, avere un carattere speciale, vuol dire finire prima il dizionario di lettere normali, poi passare a numeri, poi fare lettere+numeri, poi fare lettore+numeri+car.speciale.
Alza di molto il tempo con cui trovi la passwd.

Io come espediente ho creato un algoritmo che si può eseguire a mente per generare una password apparentemente priva di senso e diversa per ogni servizio... in quel caso la password non è debole... e l'idea migliore è capire l'algoritmo che la genera. Però è più complesso, perchè dovresti già conoscere alcune mie password e studiarle per trovare una correlazione.

Cmq quoto chi diceva che per servizi frivoli si può usare una password debole. Tanto per fare l'esempio, qui su HWU non uso chissà che psw... perchè non ci sono dati sensibili o che potrebbero compromettere la sicurezza di altre mie password.
Per il resto se un giorno HWU mi imporrà un cambio psw, probabilmente sfrutterò il nuovo algoritmo per crearne una.

Bhe dai ne abbiamo fatta di strada.
https://www.youtube.com/watch?v=0Jx8Eay5fWQ

Io come password di tutte le mie email e di tutti i miei accounts uso 'facile' senza virgolette. Strano che essa non sia tra queste 25 peggiorni password. Comunque non ho mai avuto problemi finora mai nessuno mi ha violato.

https://xkcd.com/936/

A pensare che i caratteri speciali non vengono accettati dai servizi online delle poste! :doh: Quindi bancoposta e postepay hanno password meno complesse.

Bancoposta, postepay, ma anche tutti gli altri istituti bancari seri, possono anche accettare 12345 come password di ingresso che tanto non cambierebbe una mazza di nulla.
Puoi giusto entrare nel conto della carta di credito o bancario e curiosare sulla disponibilità residua ma poi oltre non vai visto che, per fare operazioni dispositive, serve la conferma del numero di telefono.
La cosa importante è che chi effettua un pagamento, operazione con carta di credito ed altro, sia protetto in più passaggi per confermare l'operazione.
Del login a me non me ne frega una beata mazza...Tantè che il login della mia banca è rappresentato solo da numeri, senza alcun carattere accentato e altre menate.
Se qualcuno si logga al posto mio, mi arriverebbe una mail che è avvenuto l'accesso quindi uno potrebbe scegliere anche 12345 oppure mettere la password su un post-it attaccato al PC che non gli cambierebbe una mazza: si accorgerebbe anche un idiota che è stato effettuato l'accesso.

Io come carattere speciale userei la ñ, ma scriverla usando un portatile Windows senza tastierino numerico è complicato. :cry: :cry: :cry:
(su Mac: ALT N+N; su PC Windows con tastierino numerico: ALT + 164)

una sola parola, KeePass.

poi basta ricordarsi una sola MasterPassword.

Io come carattere speciale userei la ñ, ma scriverla usando un portatile Windows senza tastierino numerico è complicato. :cry: :cry: :cry:
(su Mac: ALT N+N; su PC Windows con tastierino numerico: ALT + 164)

Non puoi usare la tastiera a schermo durante l'accesso? Oppure impostare la tastiera con layout spagnolo, o sempre si possa fare, personalizzare la tastiera aggiungendo il carattere che ti serve.

Personalmente, a me, Hotmail-Libero-PayPal-eBay-Snai mi han chiesto di cambiare la password, e questo messaggio viene fuori con ricorrenza ogni 2-3mesi.
Inoltre ricordo molto bene, di un caso, eBay che, circa 2-3 anni fà, mi chiese proprio, senza dare possibilità di NONFARLO, di cambiarla, circa la sicurezza.
Molti software che gestiscono forum (vBulletin/MyBB/phpBB) fanno la stessa cosa, chi è registrato da tanto, QUASISEMPRE gli viene mostrato un messaggio con sù la richiesta del cambio password.
Bè non uso ebay per cui non so del cambio ricorrente di password.
Per esperienza personale ci sono una decina di password di vari forum che frequento e non l'ho mai cambiata.
Sono iscritto anche a facebook (anche se poi non ci entro mai) e anche quella mai cambiata.
Sono iscritto su Amazon da 3-4 anni e anche li mai cambiata.
Sto cambio password obbligatorio ogni 2-3 mesi nei siti che frequento io non mi è ancora mai capitato.

Bè non uso ebay per cui non so del cambio ricorrente di password.
Per esperienza personale ci sono una decina di password di vari forum che frequento e non l'ho mai cambiata.
Sono iscritto anche a facebook (anche se poi non ci entro mai) e anche quella mai cambiata.
Sono iscritto su Amazon da 3-4 anni e anche li mai cambiata.
Sto cambio password obbligatorio ogni 2-3 mesi nei siti che frequento io non mi è ancora mai capitato.

non tutti lo fanno, ma è un trend in crescita. Qualche anno fa non lo faceva proprio nessuno, ora quasi ovunque le password hanno una scadenza.

se non cambi mai la password rendi la vita più facile ai malintenzionati, e di solito un account violato si trasforma in un problema per le aziende, che come minimo devono risolvere il problema a causa della richiesta di assistenza del cliente. Quindi visto che il cliente da solo non si sognerebbe mai di cambiare la password ogni tanto, lo obbligano a farlo.

poi è chiaro, siti amatoriali, forum e community non professionali, non hanno alcuna assistenza e nessuna scadenza password, e quindi se ti violano l'account sono cavoli tuoi. Ma di solito questi siti non sono nel mirino del malintenzionato, che probabilmente punterà verso altre cose.

Scusa ma invece di fare sto casino col cambio password ogni 4-5-6 mesi non possono fare una cosa più semplice?
Sbagli la password per un tot di volte di seguito e ti bloccano l'account.
Per esempio sul sito di tim.it (dove sono iscritto per controllare le bollette) hai 5 tentativi consecutivi. Se li sbagli non puoi più accedere e poi per sbloccarti l'account non so cosa devi fare.
Succede uguale per il bancomat o per il pin su una scheda sim non è che puoi provare infinite volte.
Tanto scusa metti che la cambi oggi l'hacker ha 4 mesi di tempo per trovarti la nuova password per cui a voglia a tempo che ha per trovarla :D
Cavolo serve quindi sto continuo cambio.
E poi cmq almeno per me è una rottura di scatole ogni 4 mesi memorizzarti una nuova password.
Se dovesse capitarmi smetterei di frequentare il sito che lo richiede.

Bè non uso ebay per cui non so del cambio ricorrente di password.
Per esperienza personale ci sono una decina di password di vari forum che frequento e non l'ho mai cambiata.
Sono iscritto anche a facebook (anche se poi non ci entro mai) e anche quella mai cambiata.
Sono iscritto su Amazon da 3-4 anni e anche li mai cambiata.
Sto cambio password obbligatorio ogni 2-3 mesi nei siti che frequento io non mi è ancora mai capitato.

Il cambio obbligatorio della password di Ebay fu causato dalla vulnerabilità Heartbleed (link (https://it.wikipedia.org/wiki/Heartbleed))

Scusa ma invece di fare sto casino col cambio password ogni 4-5-6 mesi non possono fare una cosa più semplice?
Sbagli la password per un tot di volte di seguito e ti bloccano l'account.
Per esempio sul sito di tim.it (dove sono iscritto per controllare le bollette) hai 5 tentativi consecutivi. Se li sbagli non puoi più accedere e poi per sbloccarti l'account non so cosa devi fare.
Succede uguale per il bancomat o per il pin su una scheda sim non è che puoi provare infinite volte.
Tanto scusa metti che la cambi oggi l'hacker ha 4 mesi di tempo per trovarti la nuova password per cui a voglia a tempo che ha per trovarla :D
Cavolo serve quindi sto continuo cambio.
E poi cmq almeno per me è una rottura di scatole ogni 4 mesi memorizzarti una nuova password.
Se dovesse capitarmi smetterei di frequentare il sito che lo richiede.

l'hacker non si basa su tentativi di BruteForce, sa che è possibile ci sia un blocco dopo pochi tentativi o perlomeno un avviso di "tentativi fraudolenti".
Faccio un esempio, per una falla di sicurezza riesce magari a bucare il server di un sito del "Club di Tennis", e a prendersi il db degli accounts degli utenti, dove ci sono emails e passwords in chiaro (figurati se il gestore del sito del club ha usato una cifratura), sa che nel 90% dei casi gli utenti usano sempre la solita password, e non la cambiano mai. Quindi va sul sito della tua casella di posta e utilizza la stessa password che tu non cambi da 5 anni. Da lì leggerà poi le emails di accounts vari a tutto ciò a cui sei iscritto e avrà la strada spianata.

...
Chi più, chi meno, hanno apportato giustamente delle misure preventive per il brute force:

-Almeno un numero / Almeno una lettera
-Almeno una Maiuscola
-Almeno 8 caratteri
-Almeno un simbolo 'speciale'

in realtà ho anche letto del fatto che questo genere di pass sono solo complicate da ricordare ma non così "sicure".

è (sarebbe) più sicura una sequenza di parole scritte tutte minuscole ma molto lunga tipo "una sequenza di parole scritte tutte minuscole ma molto lunga"

La questione del blocco dopo X tentativi, la si ha praticamente "solo" lato web,

molti molti se non tutti i cms di punta, integrano un sistema del genere,
sbagli 5 volte la password, devi attendere 5min;
sbagli altri 3 volte, devi attendere 15min;
risbagli ancora 3 volte, e sono 30min di attesa.

Così facendo i brute force sono praticamente impossibili da eseguire.

Chi non ha integrato un sistema del genere,
invece, adotta il famoso captcha,
es. Google che tutti abbiamo,
con Gmail, dopo X tentativi errati, devi confermare di non essere un "bot" andando ad inserire un captcha, ogni tentativo ha un captcha diverso, un sistema automatico di brute force è costretto a fermarsi dato che non può interpretare la richiesta fatta da google.

Ma, questo per lo può come dicevo, lato web.

Lato demoni/so non è così.
Quasi tutti i demoni FTPd di punta non hanno un controllo abilitato di default, e puoi fare tranquillamente un brute force, cosi come i demoni sshd, pop3, mysqld.

Chiaro, se un sysadmin è capace, in molti demoni, vedi ProFTPD, PureFTPD, Wu-FTPD, vsFTPD ci sono moduli da abilitare, tipo mod_ban per ProFTPD che andrebbero ad integrare un sistema di
dopo X tentativi ban y tempo.
Ma di default, non vi è.

Per questo è meglio avere una password contenente caratteri speciali ed inserire maiuscole e minuscole, il tempo di brute force si alza di tanto, molto.

Il discorso di zappy è valido se si parla di 'crackare' un hash.

in realtà ho anche letto del fatto che questo genere di pass sono solo complicate da ricordare ma non così "sicure".

è (sarebbe) più sicura una sequenza di parole scritte tutte minuscole ma molto lunga tipo "una sequenza di parole scritte tutte minuscole ma molto lunga"

la sicurezza, riguardo ad un BruteForce, non sta tanto nel tipo di password quanto nel set di caratteri utilizzati e la sua lunghezza.

prendiamo una password lunga 6 caratteri ad esempio:

se utilizzi solo caratteri minuscoli hai circa 308 milioni di combinazioni possibili.
se usi anche le maiuscole hai più di 19 miliardi di combinazioni possibili.
se ci aggiungi anche numeri e punteggiatura è chiaro che il numero di combinazioni sale esponenzialmente (numero simboli elevato alla lunghezza password).

tuttavia la capacità di elaborazione di CPU e GPU attualmente è in grado di macinare migliaia (se non milioni) di combinazioni al secondo (usando un singolo pc), quindi è chiaro che oggi una password di soli 6 caratteri di lunghezza è da considerarsi "insicura".

meglio password di almeno 12 caratteri alfanumerici, cioè maiuscole+minuscole+numeri+simboli punteggiatura.

una password composta da soli caratteri minuscoli diventa sicura se la sua lunghezza aumenta significativamente, nel tuo esempio una frase molto lunga può anche andar bene, hai la comodità di poterla ricordare più facilmente, però sarà molto scomoda ogni volta che dovrai digitarla manualmente. Meglio una più corta ma che utilizza un set di caratteri più esteso. Una di 12 cifre alfanumeriche ha un numero di combinazioni possibili che non riesco nemmeno a scrivere, miliardi di miliardi di miliardi di miliardi...ecc... Prova con una calcolatrice scientifica a fare una cosa tipo: 80 elevato alla 12ma. Il numero 80 l'ho messo come esempio, prendendo 52 caratteri per maiuscole+minuscole, aggiungine 10 per i numeri, più mettiamocene un'altra ventina per simboli punteggiatura e caratteri speciali.

ps. un BruteForce non si fa online, sul sito web dell'account, serve per decifrare passwords di cui hai un hash.

l'hacker non si basa su tentativi di BruteForce, sa che è possibile ci sia un blocco dopo pochi tentativi o perlomeno un avviso di "tentativi fraudolenti".
Faccio un esempio, per una falla di sicurezza riesce magari a bucare il server di un sito del "Club di Tennis", e a prendersi il db degli accounts degli utenti, dove ci sono emails e passwords in chiaro (figurati se il gestore del sito del club ha usato una cifratura), sa che nel 90% dei casi gli utenti usano sempre la solita password, e non la cambiano mai. Quindi va sul sito della tua casella di posta e utilizza la stessa password che tu non cambi da 5 anni. Da lì leggerà poi le emails di accounts vari a tutto ciò a cui sei iscritto e avrà la strada spianata.
Cmq ecco uno dei motivi per cui non faccio niente di online per quanto riguarda i soldi. Ho la postepay, ma mediamente tranne poco prima di un acquisto c'è su 1 euro di credito :D
Cioè finchè mi scavallano la password di un forum o di una email vabbè chissenefrega, ma se ti scavallano la password del conto corrente mi girerebbero un po' le palle.
Infatti io ma manco per il caxxo che faccio il conto online. Per vedere i movimenti adotto ancora il vecchio metodo di andare a vedere allo sportello bancomat.
Sarò all'antica ma tutte ste cose fatte online non mi fido proprio.
Cioè alla fine sul Pc (tranne per la postepay che cmq c'è su solo 1 euro) tengo tutte password per cazzeggio.

la sicurezza, riguardo ad un BruteForce, non sta tanto nel tipo di password quanto nel set di caratteri utilizzati e la sua lunghezza.

prendiamo una password lunga 6 caratteri ad esempio:

se utilizzi solo caratteri minuscoli hai circa 308 milioni di combinazioni possibili.
se usi anche le maiuscole hai più di 19 miliardi di combinazioni possibili.
se ci aggiungi anche numeri e punteggiatura è chiaro che il numero di combinazioni sale esponenzialmente (numero simboli elevato alla lunghezza password)..
tu dai per scontato che chi cracca sappia se hai usato un set di caratteri esteso o no. se non lo sa deve usare un set esteso, per cui in pratica conta solo la lunghezza, ti pare?
mi sembra più semplice ricordare "password di merda da ricordarsi per accedere" che non "DhxUI_78-§%5"

Io come carattere speciale userei la ñ, ma scriverla usando un portatile Windows senza tastierino numerico è complicato. :cry: :cry: :cry:
(su Mac: ALT N+N; su PC Windows con tastierino numerico: ALT + 164)
Beh quello non è un carattere speciale, alla fine fa parte del'alfabeto spagnolo, quindi immagino che molti spagno abbiano quel tipo di lettere nelle proprie psw.
Personalmente, a me, Hotmail-Libero-PayPal-eBay-Snai mi han chiesto di cambiare la password, e questo messaggio viene fuori con ricorrenza ogni 2-3mesi.
Inoltre ricordo molto bene, di un caso, eBay che, circa 2-3 anni fà, mi chiese proprio, senza dare possibilità di NONFARLO, di cambiarla, circa la sicurezza.
Molti software che gestiscono forum (vBulletin/MyBB/phpBB) fanno la stessa cosa, chi è registrato da tanto, QUASISEMPRE gli viene mostrato un messaggio con sù la richiesta del cambio password.


Per quanto riguarda la tua domanda, vedi come funzionano i software di brute force, partono da a, poi fanno aa, poi aaa, poi aaaa, poi aaaaa, e cosi via, avere un carattere speciale, vuol dire finire prima il dizionario di lettere normali, poi passare a numeri, poi fare lettere+numeri, poi fare lettore+numeri+car.speciale.
Alza di molto il tempo con cui trovi la passwd.

Il cambio obbligatorio della password di Ebay fu causato dalla vulnerabilità Heartbleed (link (https://it.wikipedia.org/wiki/Heartbleed))

Esatto. eBay ha imposto il cambio password perchè il sistema è stato violato o cmq è stato a rischio prima del fix di sicurezza. Quindi successivamente al fix hanno imposto il cambio psw.

E devo dire che in effetti da eBay in poi ho cominciato a diversificare tutte le mie psw e a renderle davvero complesse. Solo che all'inizio le dimenticavo, quindi con il tempo ho elaborato quell'algoritmo di cui prima per ricordarle tutte.

cavolo ma io già mi rompo le palle ogni 4-5 anni quando mi cambiano il bancomat che ti danno un nuovo pin, figurati se devo diventare scemo per ricordarmi tutte le password e in più cambiarle ogni 6 mesi.
cmq io finchè non obbligano a cambiarle le tengo pure per 15 anni le stesse password.
questa di hwupgrade è la stessa che ho dal 1999 :D
fortunatamente i siti che frequento, ancora non obbligano a cambiarla e speriamo che rimanga così.