Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/password-l-obbligo-di-cambiarle-e-spesso-controproducente_63918.html

Le politiche di sicurezza che impongono il cambiamento delle password per periodi di tempo prefissati non sono utili a mantenere alta la guardia e, anzi, potrebbero essere dannose. E' l'opinione del Chief Technologist della Federal Trade Commission americana

Click sul link per visualizzare la notizia.

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

COME NON QUOTARE. :mad: :mad: :mad:
In realtà questo cambio di password obbligatorio genera spesso un gran casino, oltre che possibili problemi come citato.
Oltretutto uno deve costantemente tenere aggiornato il book delle password rischiando di sbagliare.

Sono criteri che andrebbero certamente rivisti:
Password più lunghe ed alfanumeriche (es. 12 caratteri minimo) e richiesta di cambio pesantemente diradata. Tipo una volta all'anno.

Sono daccordo, cambiare la password continuamente è una seccatura e basta...

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra

Concordo

piano piano la si capirà che poi alla fine l'utente medio gira continuamente le 4/5 pass tra i vari siti e bona.
se si imponesse di fare pass alfanumeriche con caratteri speciali, maiuscole, minuscole e punteggiature da più di 10 caratteri vedi che son sicure come cambiarla una volta al mese!

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.
Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra
Quotone formato famiglia, armato, agguerrito e pure abbronzato...

Sempre sostenuto che è ridicolo cambiare spesso password, spinge solo gli utenti ad usare password facili con variazioni minime ad ogni giro. Dovendo gestire in ufficio solo per uso personale qualcosa come 15 password posso assicurare che sono praticamente tutte variazioni minime della stessa e che molte sono assolutamente la stessa. E come me, tutti.
Invece di cambiare ogni 60 giorni, basterebbe impostarne una solida solida e non cambiarla quasi mai, al max una volta all'anno, la sicurezza ne guadagnerebbe.

ebay mi rifuta la password complessa(15 caratteri, lettere e numeri, punteggiatura caratt. speciali maiuscole). che so essere esatta. faccio la procedura per cambiarla. metto la stessa. ebay mi dice: la nuova password non può essere identica alla vecchia.

FUUUUUUUUUUUUUUUUUU...

è la terza volta che mi capita

Per i servizi online invece sarebbe meglio usare una password diversa per ogni sito invece che cambiarla ogni tot utilizzandone una uguale per tutti :O

Password diversa che ho visto memorizzare con uno stick incollato all'interno di un portafoglio di un collega :asd: ..tipo, prego si accomodi :D

se si parla di servizi bancari, quindi altamente critici, penso è sufficente nome utente e o-key con password dinamiche, altri servizi invece serve una password robusta, cambiarla ogni mese è una disgrazia...

Sono assolutamente d'accordo, pw pesante ma da cambiare max una volta l'anno.

Proprio le PW andrebbero eliminate... basterebbe un lettore di impronte digitali, o autenticatori traimite smartphone.
Anche io tutte le volte che accedo ad un servizio a cui non accedo da un po di tempo abitualmente mi sono dimenticato la PW e devo ricorrere al sistema di recupero.

Cambiare le password di frequente non aumenta la sicurezza inoltre molti la scrivono da qualche parte perché non è facile da ricordare in aggiunta la differenza tra lettere maiuscole e minuscole numeri caratteri speciali insomma impossibile da ricordare specialmente oggi che ogni servizio vuole la sua password
Tenete presente che le carte di credito non hanno password e forse sono le uniche a dover essere protette magari con codice inviato sul cellulare ma questa è un'altra storia

Proprio le PW andrebbero eliminate... basterebbe un lettore di impronte digitali, o autenticatori traimite smartphone.
Anche io tutte le volte che accedo ad un servizio a cui non accedo da un po di tempo abitualmente mi sono dimenticato la PW e devo ricorrere al sistema di recupero.

Ma l'autenticazione biometrica ha un grosso limite: non la puoi cambiare se viene compromessa.

Io faccio amole(psw) lungo lungo..... anche con pleselvativo(server) bucato!

Per i servizi online invece sarebbe meglio usare una password diversa per ogni sito invece che cambiarla ogni tot utilizzandone una uguale per tutti :O

E' vero ma ti tiri scemo dopo un po'..
Io ho impostato una pseudo regola personale:

siti del caxxo tipo store on line: password pacco sempre quella
siti tipo amazon o ebay o paypal: password a parte, usata solo per quello
banca: password di lettere e numeri totalmente casuali tipo "hkwjmw34348"
perchè tanto devi cambiarla ogni tot, deve essere ben sicura e comunque sia non me la ricorderò mai. La tengo slavata sul file delle password criptato sul pc.

Io faccio amole(psw) lungo lungo..... anche con pleselvativo(server) bucato!

Viene amole viene!
Faciamo masagio lomantico con amica, quattlo mani tuto belo, viene! Eppiendin! :oink:

se si imponesse di fare pass alfanumeriche con caratteri speciali, maiuscole, minuscole e punteggiature da più di 10 caratteri vedi che son sicure come cambiarla una volta al mese!

No, vanno bene anche passoword tutte con minuscole, basta che non siano troppo ovvie e siano sufficientemente lunghe.
PERMETTERE l'uso di caratteri numerici, punteggiatura e speciali è una buona cosa
OBBLIGARE all'uso di quei caratteri e per forza di maiuscole e minuscole invece è pessimo perche incentiva a scriversi la password in un posto facilmente accessibile e/o ad usare password molto brevi "perchè tanto sono complicate".

Semmai tornerebbe utile un check su un dizionario di "password facili" in modo da evitare quelle più ovvie usate negli attacchi a forza bruta ( morte a "1234" :D ).

Io uso password diverse per ogni sito e login associando frasi idiote, sgrammaticate e con uso di numeri e caratteri speciali ecc. con notazione a cammello (maiuscole come separatori di parole), l'importante è che siano così stupide e personali da essere facili da ricordare anche se lunghe.

Bah, un periodo quando lavoravo in un centro in cui la sicurezza era molto importante, quando toccava cambiare password mica si poteva cambiare uno o due caratteri e farla simile alla vecchia! Ovviamente avevano diversi criteri per evitare questi problemi (mi sembra strano che altri centri in cui la sicurezza è importante non lo facciano). Poi c'erano altre password, dati vari ed un token per poter accedere.
Ovviamente era una scocciatura quando toccava cambiare quelle 4-5 password!

Viene amole viene!
Faciamo masagio lomantico con amica, quattlo mani tuto belo, viene! Eppiendin! :oink:

Plima pagale 15 dolla! :D

A parte gli scherzi, bisogna vedere in che mani consegniamo le nostre password. Noi ci sforziamo di farla complicata, lunga, diversa, ecc. e poi l'amministratore, con le nostre password, prepara un selfservice aperto 24/24H per il cracker affamato di account. Quindi a mio avviso, vanno bene le password lunghe ma DIVERSE per ogni sito.



N.B. la scena di full metal jacket https://www.youtube.com/watch?v=mH4nCQeXvQo

Cambiare la pw ogni mese non serve a niente. Te la devi appuntare perche te la scordi e aumenta il rischio.

Tanto se la trovano la usano dopo 1 minuto non dopo dopo 2 mesi.

Casomai ha senso usarne una usa e getta via mail o via sms

Chi lavora in postazioni sensibili (banche comuni , poste, )dovrebbe accedere così ai propri pc.


E non se ne sortano fuori con la storia dei programmi che provano ad inserire pw a caso...

ebay mi rifuta la password complessa(15 caratteri, lettere e numeri, punteggiatura caratt. speciali maiuscole). che so essere esatta. faccio la procedura per cambiarla. metto la stessa. ebay mi dice: la nuova password non può essere identica alla vecchia.

FUUUUUUUUUUUUUUUUUU...

è la terza volta che mi capita
Appunto, alla fine con questi sistemi insulsi finiscono per incartarsi da soli :D

senza contare che per un gestore IT aziendale come me, per ogni cambio password obbligatorio equivale ad un suicidio.
ennemila telefonate da utonti nemmeno capaci di cambiare la password.

ebay mi rifuta la password complessa(15 caratteri, lettere e numeri, punteggiatura caratt. speciali maiuscole). che so essere esatta. faccio la procedura per cambiarla. metto la stessa. ebay mi dice: la nuova password non può essere identica alla vecchia.

FUUUUUUUUUUUUUUUUUU...

è la terza volta che mi capita
Caso 1 ( grande banca italiana )
"La tua password è scaduta cambiala"
- cambio la password -
"La nuova password non soddisfa i requisiti di sicurezza"
Quali requisiti non è dato sapere ...
- cambio la password -
"La nuova password non soddisfa i requisiti di sicurezza"
- metti password di 18 caratteri con maiuscole minuscole numeri caratteri speciali e codici ascii non stampabili -
"ok password cambiata"
- dopo 5 minuti chiedi il cambio password perchè non me la ricordo più - :fagiano:

Caso 2 ( altra banca )
- inserisco la password -
"password errata"
- reinserisco la password -
"password errata"
( ripetere a piacere )
dopo 30 minuti di tentativi telefono al call center e scopro che a causa di un aggiornamento della piattaforma tutte le password contenenti caratteri speciali erano fottute, ho dovuto chiedere il reset e la rispedizione via raccomandata della nuova password :muro:


senza contare che per un gestore IT aziendale come me, per ogni cambio password obbligatorio equivale ad un suicidio.
ennemila telefonate da utonti nemmeno capaci di cambiare la password.
"ma io volevo continuare a usare la password di prima"
"Non mi ricordo che password stavo usando, l' ho memorizzata sul browser"
"mi dice che la mia password è espirata, cosa vuol dire ?"

E' vero ma ti tiri scemo dopo un po'..
Io ho impostato una pseudo regola personale:

siti del caxxo tipo store on line: password pacco sempre quella
siti tipo amazon o ebay o paypal: password a parte, usata solo per quello
banca: password di lettere e numeri totalmente casuali tipo "hkwjmw34348"
perchè tanto devi cambiarla ogni tot, deve essere ben sicura e comunque sia non me la ricorderò mai. La tengo slavata sul file delle password criptato sul pc.
Se leggi questo :
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
Ti rendi conto che una password sicura è impossibile da trovare
il 90% delle password craccate in 12 ore, tra queste roba tipo :
qeadzcwrsfxv1331
momof3g8kids
Apr!l221973
Philippians4:6-7
Qbesancon321
Pure le password create concatenando quattro parole sono deboli :stordita:
E' un macello :muro:

ecco le password utilizzate in tutte le aziende in cui gli amministratori di sistema hanno deciso di obbligare gli utenti ad un cambio password periodico:

Gennaio2016
Febbraio2016
Marzo2016
Aprile2016
...2016
...2017
...2018

e così via.

concordo in tutto e per tutto, l'obbligo di cambio password periodico costringe gli utenti ad usare password facili da ricordare e quindi facili da scovare.

Caso 1 ( grande banca italiana )
"La tua password è scaduta cambiala"
- cambio la password -
"La nuova password non soddisfa i requisiti di sicurezza"
Quali requisiti non è dato sapere ...
- cambio la password -
"La nuova password non soddisfa i requisiti di sicurezza"
- metti password di 18 caratteri con maiuscole minuscole numeri caratteri speciali e codici ascii non stampabili -
"ok password cambiata"
- dopo 5 minuti chiedi il cambio password perchè non me la ricordo più - :fagiano:

Caso 2 ( altra banca )
- inserisco la password -
"password errata"
- reinserisco la password -
"password errata"
( ripetere a piacere )
dopo 30 minuti di tentativi telefono al call center e scopro che a causa di un aggiornamento della piattaforma tutte le password contenenti caratteri speciali erano fottute, ho dovuto chiedere il reset e la rispedizione via raccomandata della nuova password :muro:



"ma io volevo continuare a usare la password di prima"
"Non mi ricordo che password stavo usando, l' ho memorizzata sul browser"
"mi dice che la mia password è espirata, cosa vuol dire ?"


Se leggi questo :
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
Ti rendi conto che una password sicura è impossibile da trovare
il 90% delle password craccate in 12 ore, tra queste roba tipo :
qeadzcwrsfxv1331
momof3g8kids
Apr!l221973
Philippians4:6-7
Qbesancon321
Pure le password create concatenando quattro parole sono deboli :stordita:
E' un macello :muro:

quello è un dictionary attack, e le passwords scovate non sono niente di randomico o difficile, se le guardi bene noterai che sono passwords conosciute o conoscibili in quanto derivate da metodi mnemonici.

se vuoi una password inattaccabile creane una totalmente random di 16 caratteri tipo: X4-s@B}zv@8JGf0-

e usi un password manager come storage dei tuoi accounts user+pwd

@Cfranco qeadzcwrsfxv1331 questa è veramente semplice, anche se ha 16 caratteri è monnezza.

Dove lavoro io non è così semplice, il cambio password è obbligatorio ogni 3 mesi ma la nuova password oltre a dover rispettare i soliti canoni (lettere minuscole + maiuscole + numeri + caratteri speciali) deve anche essere abbastanza diversa dalla precedente (tipo non più di 3 caratteri uguali e nella stessa posizione della password precedente) e non contenere più di 3 caratteri uguali consecutivi...

No, vanno bene anche passoword tutte con minuscole, basta che non siano troppo ovvie e siano sufficientemente lunghe.
PERMETTERE l'uso di caratteri numerici, punteggiatura e speciali è una buona cosa
OBBLIGARE all'uso di quei caratteri e per forza di maiuscole e minuscole invece è pessimo perche incentiva a scriversi la password in un posto facilmente accessibile e/o ad usare password molto brevi "perchè tanto sono complicate".

Semmai tornerebbe utile un check su un dizionario di "password facili" in modo da evitare quelle più ovvie usate negli attacchi a forza bruta ( morte a "1234" :D ).

Io uso password diverse per ogni sito e login associando frasi idiote, sgrammaticate e con uso di numeri e caratteri speciali ecc. con notazione a cammello (maiuscole come separatori di parole), l'importante è che siano così stupide e personali da essere facili da ricordare anche se lunghe.

Ho letto una spiegazione interessante sulle password una volta che mi ha convinto.

Dipende sempre da chi devi difenderti con la password.
Se devi difenderti da altre persone umane, 5/6 caratteri sparati a caso e sei a posto a meno che te le leggono. Tipo: 4Eù*Hj. 6 caratteri.
Se devi difenderti da un brute force conta praticamente solo la lunghezza, per lui vedere una U o una S è identico, quindi mettere ABCDEF (una delle password che spesso viene usata..) o SEMPRE o GL1%a! è uguale.
Se invece scrivi sempresempresempresempresempre cioè 30 caratteri invece che 6, per farsi tutte le combinazioni, gli vuole più tempo(gli vuole solo più tempo, non è infallibile).

Il cambio pass è una rottura di scatole(ci sono anche banche che non chiedono mai di cambiarla), basta sceglierne una lunga e unica per quel servizio, oppure come diceva qualcuno per servizi tipo chat e forum anche usare la stessa, direi che non è niente di grave.

Se leggi questo :
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
Ti rendi conto che una password sicura è impossibile da trovare
il 90% delle password craccate in 12 ore, tra queste roba tipo :
qeadzcwrsfxv1331
momof3g8kids
Apr!l221973
Philippians4:6-7
Qbesancon321
Pure le password create concatenando quattro parole sono deboli :stordita:
E' un macello :muro:

:( :( :( :( :( :(
eeeeeh vabbeh sticazzi.... mi chiudo le palle nella portiera dela macchina e chiudo la giornata! :help:

@Cfranco qeadzcwrsfxv1331 questa è veramente semplice, anche se ha 16 caratteri è monnezza.

Ni
E' una password che qualcuno potrebbe ritenere molto sicura
Il fatto è che come dimostra il test, qualsiasi password che sia facile da ricordare è debole in quanto gli attacchi mimano il pensiero umano
Ad esempio qualsiasi password <maiuscole><minuscole><numero> è per definizione debolissima, si cracca in meno di un' ora :stordita:
Quindi quando rubano il file degli hash delle password e ti dicono che non c' è alcun pericolo perchè sono crittografate non credetegli perchè un hacker in mezza giornata le recupera quasi tutte

Ni
E' una password che qualcuno potrebbe ritenere molto sicura
Il fatto è che come dimostra il test, qualsiasi password che sia facile da ricordare è debole in quanto gli attacchi mimano il pensiero umano
Ad esempio qualsiasi password <maiuscole><minuscole><numero> è per definizione debolissima, si cracca in meno di un' ora :stordita:
Quindi quando rubano il file degli hash delle password e ti dicono che non c' è alcun pericolo perchè sono crittografate non credetegli perchè un hacker in mezza giornata le recupera quasi tutte

mi sfugge come capiscano le parole (se ce ne sono) o i caratteri di cui è composta la password e di quanti caratteri è una password.
così dal nulla intendo, non quando in mano qualcosa come i file degli hash.

perchè per dire una password come ciVIC1977TURbo, dovrebbe esser facile da craccare?

perchè per dire una password come ciVIC1977TURbo, dovrebbe esser facile da craccare?
Perchè in un file di dizionario di un milione di termini le parole civic 1977 e turbo ci sono, non solo troveranno facilmente ciVIC1977TURbo ma anche c1V1C1977TURb0

Perchè in un file di dizionario di un milione di termini le parole civic 1977 e turbo ci sono, non solo troveranno facilmente ciVIC1977TURbo ma anche c1V1C1977TURb0

E se io ti metto Hcmille9cento77T?

Perchè in un file di dizionario di un milione di termini le parole civic 1977 e turbo ci sono, non solo troveranno facilmente ciVIC1977TURbo ma anche c1V1C1977TURb0

Non so quanto siano affidabili questi siti, ma qua dice che ci vorrebbero 10 milioni di anni per crackarla... :p

https://howsecureismypassword.net/

Ma nessuna PW è veramente sicura, se non lo è il PC stesso, basta un keylogger o uno sniffer ber intercettare qualunque cosa tu scrivi.

Non so quanto siano affidabili questi siti, ma qua dice che ci vorrebbero 10 milioni di anni per crackarla... :p

https://howsecureismypassword.net/


boh quella che uso ultimamente mi dice 609 milioni di anni... forse perchè è lunga...

Perchè in un file di dizionario di un milione di termini le parole civic 1977 e turbo ci sono, non solo troveranno facilmente ciVIC1977TURbo ma anche c1V1C1977TURb0

qeadzcwrsfxv1331 questa però nei dizionari non ci sono...

cioè la differenza di "sicurezza" di una password allora da cosa dovrebbe esser data, se tanto sia che si tratti di parole compiute o non compiute ci vogliono poche ore a bucarla a quanto mi dici?

Ni
E' una password che qualcuno potrebbe ritenere molto sicura
Il fatto è che come dimostra il test, qualsiasi password che sia facile da ricordare è debole in quanto gli attacchi mimano il pensiero umano
Ad esempio qualsiasi password <maiuscole><minuscole><numero> è per definizione debolissima, si cracca in meno di un' ora :stordita:
Quindi quando rubano il file degli hash delle password e ti dicono che non c' è alcun pericolo perchè sono crittografate non credetegli perchè un hacker in mezza giornata le recupera quasi tutte

Appunto, quella password mi ricorda tanto una banale sequenza alfanumerica nei dei test di logica.

boh quella che uso ultimamente mi dice 609 milioni di anni... forse perchè è lunga...

cioè la differenza di "sicurezza" di una password allora da cosa dovrebbe esser data, se tanto sia che si tratti di parole compiute o non compiute ci vogliono poche ore a bucarla a quanto mi dici?

Non farei tanto affidamento a quel tempo e comunque allargare il set di caratteri aiuta molto. Leggi qui https://www.grc.com/haystack.htm

Questa dovrebbe essere un esempio di password semplice e sicura(per modo di dire) ++75^"murder"^]AGAINST[^"floor"^89++

boh quella che uso ultimamente mi dice 609 milioni di anni... forse perchè è lunga...
Perchè fa il conto di un attacco brute force
Certo per N(2AwW.rWuj;A2sPq"8V:&_+xy il conto va anche bene
ma se sono parole di dizionario, anche se magari c' è qualche variazione allora si trova in un lampo


qeadzcwrsfxv1331 questa però nei dizionari non ci sono...
Ci sta, ci sta ...
i pattern di tastiera a partire da qwertyuiop ci sono tutti ;)


cioè la differenza di "sicurezza" di una password allora da cosa dovrebbe esser data, se tanto sia che si tratti di parole compiute o non compiute ci vogliono poche ore a bucarla a quanto mi dici?
Se usi 6Y<AG8"B7ay(gDBc;c,`r;)2_pd\w!}*UsXx5=9G6zvtBtRAy.k&p!xj-<@9n"@E sei sicuro che nessuno la indovina :sofico: ( l' ho presa da qua : http://passwordsgenerator.net/ )

Gli attacchi brute force in genere sono inutili
Si tende ad usare i cosiddetti social engineering ossia le password socialmente più utilizzate ad esempio Facebook ha un patrimonio di password enorme che può vendere al miglior offerente così uno può inventarsi la password più strana ma alla fine non serve è come mettere una serratura ad una porta di cartone

Questa dovrebbe essere un esempio di password semplice e sicura(per modo di dire) ++75^"murder"^]AGAINST[^"floor"^89++


Se usi 6Y<AG8"B7ay(gDBc;c,`r;)2_pd\w!}*UsXx5=9G6zvtBtRAy.k&p!xj-<@9n"@E sei sicuro che nessuno la indovina :sofico: ( l' ho presa da qua : http://passwordsgenerator.net/ )


Scusate però a me quelli sembrano più codici inmemorizzabili dal cervello "medio" umano, che vanno per forza scritti da qualche parte per ricordarseli, correggetemi se sbaglio.

Ma a questo punto, bisogna allo stesso tempo proteggersi con password che sono impossibili da ricordare e poi proteggere anche il luogo dove si scrivono tali password...
Luogo che inoltre deve esser sempre a portata di mano se si vuole utilizzare questa password...

Mi sembra che l'unico modo di esser sicuri con una password implica escludere la propria possibilità di accesso al servizio protetto da tale password, se non la si legge da qualche parte :asd:

Scusate però a me quelli sembrano più codici inmemorizzabili dal cervello "medio" umano, che vanno per forza scritti da qualche parte per ricordarseli, correggetemi se sbaglio.

Non sbagli
Il principio è che se è possibile ricordare la password vuol dire che non è abbastanza sicura :O

Non sbagli
Il principio è che se è possibile ricordare la password vuol dire che non è abbastanza sicura :O

La mia pw:


Mia madre si chiama maria e sua cugina luisa. ( lei è del 56 e luisa del 67)


Mmscm56escl67.


Mela.ricordo e nessuno se la.fotte.



Ps ora tutti a provarla mi raccomando. :asd:

Non sbagli
Il principio è che se è possibile ricordare la password vuol dire che non è abbastanza sicura :O

quel principio l'avevo sentito varie volte anche io, ma ho sempre pensato che se non devo sapere con cosa mi "proteggo" per esser "protetto", finisco per "sproteggermi" dovendo avere un prontuario di decodifica per le password.

non so cosa sia più facile, se perdersi/farsi sottrarre un taccuino/foglio dove si annonato tutti i codici, oppure avere un password decente e finire in un "fuoco incrociato" durante un furto di dati e vedersi compromessi un account dove questa password veniva usata...

non lo so, ma almeno tra i servizi più delicati tanti implementano gli accessi in più passaggi con verifiche incrociate tra account email e autenticatori...

Bah alla fine io uso password solo per cazzeggiamenti ossia per postare sui forum, per cui anche se mi fregano una password chissenefrega.
Mal che vada non potrò più loggarmi su hwupgrade :D

Non sbagli
Il principio è che se è possibile ricordare la password vuol dire che non è abbastanza sicura :O

infatti, io per il mio account di posta principale ho una password totalmente casuale minuscole/maiuscole/numeri/caratterispeciali lunga 18 cifre che ormai conosco a memoria.

naturalmente l'account in questione non mi obbliga a cambiarla, se lo facessero dovrei trovare ogni volta passwords più semplici da ricordare.

ecco perchè concordo con l'articolo, se ti obbligano a cambiare spesso sei tendenzialmente portato ad usare passwords più semplici.

Non sbagli
Il principio è che se è possibile ricordare la password vuol dire che non è abbastanza sicura :O

No.
Il succo del discorso è che NELLA SCELTA DELLE PASSWORD
il principio "security by obscurity" funziona bene a patto di non dire a tutti la logica che si sceglie per le password.
Per questo parlavo di usare frasi "facili da ricordare" e "storpiarle" come si preferisce
(ad esempio usando slang, termini dialettali, solo le consonanti, solo le iniziali, l33tspeak, ecc.) ma senza dire a tutti che logica si usa nello scegliere le password.
L'importante è che la frase sia facile da ricordare per chi la usa, non per tutti.
Ad esempio usare per facebook una frase che ha a che fare con qualche episodio oscuro della propria infanzia riguardo libri e facce di persone o animali.