Link all'Articolo: http://www.hwupgrade.it/articoli/sicurezza-software/4988/password-difficili-e-da-cambiare-spesso-non-e-piu-la-soluzione-migliore_index.html

Sono sempre più i servizi, i siti e le app che ci impongono credenziali di accesso, senza parlare poi dell'ambito aziendale dove esistono regole di cambio prefissato ogni tot giorni. Ma la tecnologia, anche quella malevola, evolve. E gli umani per le macchine possono essere banalmente prevedibili.

Click sul link per visualizzare l'articolo.

http://www.repubblica.it/economia/2017/08/26/news/il_numero_di_cellulare_e_il_nuovo_obiettivo_degli_hacker_a_rischio_soldi_e_privacy-173699097/

«È boom di attacchi che prendono di mira i numeri di cellulari, sempre più spesso porta di accesso ai nostri dati: foto, account Facebook, conti correnti. L'esperto: ecco come avvengono i furti»

Io uso da anni keepass e lo trovo ottimo per gestire le password, fra generazione, autocompletamento etc

Una medaglia a chi usa "letmein" (fammi entrare) e blink182 (anche se erano solo password risalenti al 2007).

Ma tra tutti i gruppi musicali "mostri sacri" della storia proprio i "Blink" dovevano diffondersi nell'immaginario collettivo come password universale? :muro:

Capisco che magari U2 e Queen suonavano troppo semplici....ma Beatles, PinkFloyd o RollingStones ci sarebbero state alla grande! :O

ma e' chiaro! non possono pretendere di farmi ricordare 50 password complesse.

Una medaglia a chi usa "letmein" (fammi entrare) e blink182 (anche se erano solo password risalenti al 2007).

Ma tra tutti i gruppi musicali "mostri sacri" della storia proprio i "Blink" dovevano diffondersi nell'immaginario collettivo come password universale? :muro:

Capisco che magari U2 e Queen suonavano troppo semplici....ma Beatles, PinkFloyd o RollingStones ci sarebbero state alla grande! :O

Probabilmente ha a che fare con il classico requisito "almeno 8 caratteri con lettere E numeri"

Non ho mai capito come faccia la gente a fare tutta questa fatica a inventare e ricordare le password, io avrò una quarantina di account, tutti con password di almeno di 10/15 caratteri e tutte diverse. Il segreto sta nel creari delle regole di base. Non mi sono mai fidato dei portapassword e delle autenticazioni centralizzate, nulla é infallibile, sopratutto ciò che é interessante violare ;)

Attualmente ho circa 300 account con password uniche e complesse, questa pratica già più volte ha isolato il leaking di una password da parte di qualche sito web compromesso.

Usare un password manager è il miglior metodo ma nonostante sia molto ben protetto c'è sempre la possibilità che in futuro venga violato. E' una questione di fiducia. Non ho fiducia nella mia memoria ma in qualcuno dovrò pur riporla.

Ho decine e decine di password diverse e il metodo migliore per ricordarsele tutte è.... scriverle.
Ho un foglio (opportunamente camuffato da tutt'altro) dove le ho scritte tutte quante, non mi fido nemmeno della mia memoria.

Non ho mai memorizzato nessuna password "importante" sul browser, a parte quella di HWU :D e di altri siti minori.

Ho decine e decine di password diverse e il metodo migliore per ricordarsele tutte è.... scriverle.
Ho un foglio (opportunamente camuffato da tutt'altro) dove le ho scritte tutte quante, non mi fido nemmeno della mia memoria.

Non ho mai memorizzato nessuna password "importante" sul browser, a parte quella di HWU :D e di altri siti minori.
Quoto :)

Infatti i vecchi metodi sono i migliori: verba volant, scripta manent .

E' pericoloso tenerle scritte anche su un foglio di word o di excel, al limite su un documento di testo.........ma la carta è meglio :)

Ho decine e decine di password diverse e il metodo migliore per ricordarsele tutte è.... scriverle.
Ho un foglio (opportunamente camuffato da tutt'altro)

Tipo da ornitorinco? O ci scrivi "Le mie memorie" come titolo? :D :D :D

A parte gli scherzi, sono curioso, come fai a camuffare un foglio di carta con le password scritte sopra?

dopo i blink182, ho trovato la password finale: gigidalessio

Io in ogni caso le password le tendo in un foglio word con il nome di password.doc nella cartella documenti, nel pc ovviamente non ho nessuna password, altrimenti come farei a cercarla.



























Sì certo, poi ho anche la marmotta che incarta la cioccolata!

Tipo da ornitorinco? O ci scrivi "Le mie memorie" come titolo? :D :D :D

A parte gli scherzi, sono curioso, come fai a camuffare un foglio di carta con le password scritte sopra?

Ovviamente il foglio non è incorniciato con tanto di lampada che lo illumina, è opportunamente ripiegato e nascosto in luogo sicuro.

Ok lo ammetto, è in un microfilm nascosto in un occhio di un pupazzo di peluche :stordita:

Per colpa delle password ogni volta che devo entrare sulla banca di credito cooperativo ho paura.Cambio password(accesso e dispositiva) obbligatorio ogni 90 giorni ed è vietato inserire le ultime 5. Sistema antico e comunque inutile visto che in quel caso c'è l'O-KEY...

Una medaglia a chi usa "letmein" (fammi entrare) e blink182 (anche se erano solo password risalenti al 2007).

Ma tra tutti i gruppi musicali "mostri sacri" della storia proprio i "Blink" dovevano diffondersi nell'immaginario collettivo come password universale? :muro:

Capisco che magari U2 e Queen suonavano troppo semplici....ma Beatles, PinkFloyd o RollingStones ci sarebbero state alla grande! :O

Queen > troppo corta e senza numeri
U2 > troppo corta
Blink182 > numeri, lettere, maiuscole > Perfetta :D

Non ho mai capito come faccia la gente a fare tutta questa fatica a inventare e ricordare le password, io avrò una quarantina di account, tutti con password di almeno di 10/15 caratteri e tutte diverse. Il segreto sta nel creari delle regole di base.

tipo?:confused:

fate come il mio datore di lavoro
il pin della carta di credito lo scrive direttamente dietro la stessa :asd:


Blink182 > numeri, lettere, maiuscole > Perfetta :D

eh beh certo , con attacco a dizionario la becchi all'stante
mettetela qui -> https://howsecureismypassword.net/

eh beh certo , con attacco a dizionario la becchi all'stante
mettetela qui -> https://howsecureismypassword.net/

Quantomeno fuorviante, la maggior parte delle volte l'attacco "a dizionario" è impossibile perché vieni bloccato dopo pochi tentativi, temporaneamente oppure permanentemente.

Due considerazioni:

1)La password deve essere libera, se l'utente è scemo e sceglie come password 123456 sono cavoli suoi.

2)Invece di rompere le scatole alla gente con password lunghe 200 caratteri,perché non si decidono ad implementare sistemi di crittografia a tipo 10.000 bit invece di 256, in questo modo, anche un PC molto potente impiegherà almeno un paio di secondi prima di riuscire a capire se la password è quella corretta o meno.
Se per ogni tentativo di password passasse anche solo 1-2 secondi,gli attacchi brute force sarebbe decisamente oltremodo inefficaci.

Certo questo sistema provocherebbe un maggiore carico nei grandi server che devono processare migliaia di richieste di login al minuto,ma nessuna soluzione è priva magagne.

Quantomeno fuorviante, la maggior parte delle volte l'attacco "a dizionario" è impossibile perché vieni bloccato dopo pochi tentativi, temporaneamente oppure permanentemente.

dipende dove

Due considerazioni:

1)La password deve essere libera, se l'utente è scemo e sceglie come password 123456 sono cavoli suoi.

ah pienamente d'accordo
contro la stupidità non c'è rimedio

Il rimedio più efficace contro la stupidità e far provare sulla pelle degli utenti le conseguenze dello scegliere una password debole.

Anche per questo penso che dovrebbero essere liberi di impostare la password come vogliono.

Quantomeno fuorviante, la maggior parte delle volte l'attacco "a dizionario" è impossibile perché vieni bloccato dopo pochi tentativi, temporaneamente oppure permanentemente.

se stai facendo login da qlc parte.
ma se hai in mano il file delle pass da decrittare...

Il rimedio più efficace contro la stupidità e far provare sulla pelle degli utenti le conseguenze dello scegliere una password debole.

Anche per questo penso che dovrebbero essere liberi di impostare la password come vogliono.
anche l'impiegato di banca che può operare modifiche al tuo conto?
anche l'operatore dell'ospedale che può modificare le info sui tuoi esami medici?
non esageriamo.

Logicamente ci si aspetta che gli impiegati del pubblico impiego o i "professionisti" che lavorano in banca siano un minimo competenti....

...poi ovviamente per certi software la password dovrebbe essere obbligatoriamente complessa. Logico che un software di una banca non può accettare 123456 come password,siamo su altri livelli li.

Logicamente ci si aspetta che gli impiegati del pubblico impiego o i "professionisti" che lavorano in banca siano un minimo competenti...

:sbonk: :rotfl:

2)Invece di rompere le scatole alla gente con password lunghe 200 caratteri,perché non si decidono ad implementare sistemi di crittografia a tipo 10.000 bit invece di 256, in questo modo, anche un PC molto potente impiegherà almeno un paio di secondi prima di riuscire a capire se la password è quella corretta o meno.
Se per ogni tentativo di password passasse anche solo 1-2 secondi,gli attacchi brute force sarebbe decisamente oltremodo inefficaci.

Stai facendo confusione, aumentare la lunghezza della chiave da 256 a 10000 bit non servirebbe assolutamente a nulla, tra l'altro una chiave di 128 bit è già più che sufficiente per ogni applicazione. Quello a cui ti stai riferendo si chiama funzione di derivazione della chiave (key derivation function, KDF), vale a dire l'algoritmo usato per trasformare la password (per es `gatto123') nella chiave per la cifratura (per es. 'f7484db29ac28c78b757ec6d2915188e'). Hai ragione nel sottolineare l'importanza di questo passaggio, e purtroppo ci sono siti che usato il semplice hash MD5 senza `sale' e che creano così una grande falla di sicurezza. Usare KDF appropriate (scrypt, Argon2, ecc) son sale di sicuro rende `craccare' le password molto, molto più difficile, ma contro scelte molto deboli come nel mio esempio non ci sono santi che tengano :)

keepass + pw diverse per ogni account + generazione casuale di pw + autocompletamento..

.. insomma, non è difficile

se stai facendo login da qlc parte.
ma se hai in mano il file delle pass da decrittare...

... devi conoscere l'algoritmo di crittografia/hashing e sperare che le password non siano "salate" (che è veramente il minimo), altrimenti il "dictionary attack" è sostanzialmente inutile.

vabbè , se il dizionario non passa via di bruteforce no

Due considerazioni:
1)La password deve essere libera, se l'utente è scemo e sceglie come password 123456 sono cavoli suoi.


Purtroppo non è così. Pensa alla password di accesso ai sistemi informatici di un ospedale: qualcuno accede a dei dati a cui non aveva titolo di accedere.

Se non è impostato alcun criterio di complessità della pw l'utente con il cui account è stato fatto l'acceso può sostenere che la pw è stata "indovinata" e l'amministratore del sistema rischia di andarci di mezzo

Se sono impostati dei criteri di complessità (lunghezza, tipo caratteri, esclusione di pw presenti su un dizionario) la colpa è esclusivamente del titolare della pw che eventualmente non l'ha conservata adeguatamente (i.e. post-it sul monitor)

vabbè , se il dizionario non passa via di bruteforce no

Sì, ma allora torniamo al punto di prima, perché se l'algoritmo è un minimo decente e le password sono pretrattate a dovere quelle tempistiche di crack non sono minimamente realistiche; senza considerare che per ottenere la lista delle password devi prima aver crackato qualcos'altro.

Per quanto riguarda il resto, forum social ecc... non me ne può fregare di meno.

eh , non ci andrei così leggero , almeno per quanto riguarda i social

niente da obiettare
solo che non tutti i servizi ti permettono di inserire password così lunghe

così per irrobustirle bisogna per forza di cose aumentare il charset

Non è mai stata la soluzione migliore, il solo limite che una password può imporre ad un attacco a forza bruta è la lunghezza.

acavaldonatononsiguardainbocca

è esageratamente più robusta di

tC5-%th

La prima ha il vantaggio di poterla ricordare in modo facilissimo.
La seconda non ha alcun vantaggio.
condivido. la pippa del mischiare caratteri numeri, maiusc, simboli è solo una complicazione.
tanto a forza bruta non puoi sapere se ci sono o meno 'ste robe, per cui nella forzatura le devi mettere, e a quel punto conta solo la lunghezza
11111111111111111111111111111111111111111111111111111 :D

così per irrobustirle bisogna per forza di cose aumentare il charset
teoricamente si.
ma in pratica? imho no, tanto quel che conta non è il charset che tu usi, ma quello che l'attaccante pensa che tu abbia usato.
e nel dubbio, l'attaccante userà quello completo, no?

teoricamente si.
ma in pratica? imho no, tanto quel che conta non è il charset che tu usi, ma quello che l'attaccante pensa che tu abbia usato.
e nel dubbio, l'attaccante userà quello completo, no?

si ok , ma se il campo di immissione è limitato , e la password non la complichi col charset misto diminuisci il numero di combinazione che l'attacco deve compiere per arrivare a beccarla no

fate le prove su quei siti e verificate se dico menate ...

Il punto è proprio che i servizi si sono concentrati sul complicare il charset obbligatorio, che è del tutto inutile rispetto ad attacchi brute force, invece di aumentare il minimo di caratteri consentito che invece è l'unico strumento realmente efficace.

niente da obiettare
ma se non me le allunghi io devo complicare per fora di cose la password

pass di 10 caratteri

baubaumiao si crakka in 1 ora
gt+}2k".Z" questa in 53 anni

ma di norma quando fai il brute ,parti con un set di soli numeri e caratteri
poi se non la becchi complichi

Non è mai stata la soluzione migliore, il solo limite che una password può imporre ad un attacco a forza bruta è la lunghezza.

acavaldonatononsiguardainbocca

è esageratamente più robusta di

tC5-%th

La prima ha il vantaggio di poterla ricordare in modo facilissimo.
La seconda non ha alcun vantaggio.

Non è proprio vero. La seconda password (7 caratteri casuali, lettere maiuscole/minuscole, numeri e, diciamo, 10 simboli) ha circa 43 bit di forza, certo non moltissimi. Nella situazione peggiore (chiave di cifratura=hash MD5 della password) può essere craccata in 5-10 minuti usando una singola, veloce scheda video tipo GTX 1080 e hashcat.
Nel caso dell'altra password è difficile dire quanto sia sicura. Un bravo hacker potrebbe avrebbe una lista dei modi di dire (proverbi, frasi fatte ecc.) in italiano e provare con quelli. Il numero di tali espressioni è dell'ordine di 10000, equivalenti a solo 13 bit di forza!!! Oltre ai 10000 di base la lista può poi includere varianti di vario tipo (senza articoli, con 0 invece di o, con/senza spazi ecc) ma anche facendo così l'entropia non aumenta molto. Con 1000 varianti per ogni idioma abbiamo ancora solo 23 bit di forza (=crack in ~0.3 millisecondi).
Più in generale l'hacker può usare un dizionario di parole e provare le combinazioni che hanno (più o meno) senso grammaticale (ad es.: articolo+nome+verbo), combinazioni con sostituzioni comuni, eccetera eccetera. Con una password casuale (e lungha) sei sicuro che nessuno possa indovinarla, con il proverbio devi sperare che l'hacker sia stupidotto e/o poco determinato.
Detto questo l'usare una frase d'accesso (passphrase) può essere una buona idea a patto che le parole sia scelte casualmente da un dizionario corposo, vedi il sistema diceware e il famoso fumetto di xkcd 'correct horse stable battery'. I siti che mettono un limite massimo alla lunghezza della password fanno malissimo ed è un segno che, probabilmente, chi ha scritto il sistema non sa quello che fa (un limite massimo ci può essere per evitare attacchi denial of service al sito ma deve essere molto grande, per es. 256 caratteri).

ma di norma quando fai il brute ,parti con un set di soli numeri e caratteri
poi se non la becchi complichi
cioè prima ci stai un anno, e poi se non l'hai beccata ricominci?
sicuro che la tattica usata sia quella?

Non è proprio vero. La seconda password (7 caratteri casuali, lettere maiuscole/minuscole, numeri e, diciamo, 10 simboli) ha circa 43 bit di forza, .

come li calcoli i "bit di forza"?

cioè prima ci stai un anno, e poi se non l'hai beccata ricominci?
sicuro che la tattica usata sia quella?

non sono un esperto del settore
ti parlo di un banale crack password che ad esempio puoi operare su uno zip protetto

per una password di 10 caratteri alfanumerica senza maiuscole ci stai al massimo 1 giorno se fai fare alla VGA , altro che 1 anno

Detto questo l'usare una frase d'accesso (passphrase) può essere una buona idea a patto che le parole sia scelte casualmente da un dizionario corposo, vedi il sistema diceware e il famoso fumetto di xkcd 'correct horse stable battery'.

Ogni volta che vedo quel fumetto mi rammarico di quanto si sia diffuso e soprattutto che venga preso come punto di riferimento.
L'unico motivo per cui "correct horse staple battery" possa essere considerata meglio di un numero equivalente di caratteri casuali è quello mnemonico, e se partiamo dall'imprescindibile presupposto che non si debba usare la stessa password dappertutto, bastano, ad esagerare, una decina di password per annullarne il vantaggio e per renderlo - ovviamente in relazione alla frase, vedi proprio il tuo esempio dei proverbi - anche decisamente peggiore.
Se è possibile usare un numero di caratteri arbitrario (o almento una ventina, come in questo caso) è *sempre* meglio usarne di casuali.

P.S. Fra l'altro scommetterei qualsiasi cosa che qualcuno, da qualche parte, ha usato correcthorsestaplebattery come password :asd:

Ogni volta che leggo i "trucchi" per scritti da copywriter che puntano unicamente al baitclick per guadagnare, mi incacchio sempre molto..

Il vero problema, a parte gli utenti superficiali, sono la maggioranza di siti che limitano la lunghezza delle password e ancor peggio limitano i caratteri utilizzabili.

Il sito della tim, per assurdo, accetta al max 8 numeri!!!! 12345678 :muro:

Non ho mai capito come faccia la gente a fare tutta questa fatica a inventare e ricordare le password, io avrò una quarantina di account, tutti con password di almeno di 10/15 caratteri e tutte diverse. Il segreto sta nel creari delle regole di base. Non mi sono mai fidato dei portapassword e delle autenticazioni centralizzate, nulla é infallibile, sopratutto ciò che é interessante violare ;)

Eh vabbè, mica tutti sono rain man... Io quando devo dare il mio numero di cellulare a qualcuno, mi tocca leggerlo nella rubrica :D.

per me Enpass (AES-256 + PBKDF2 / 24000) e file sincronizzato su OneDrive (si può mettere anche su Dropbox + google Drive ecc.), client Windows e estensione su Chrome e client su Nougat (supporta le impronte digitali).
Ovviamente l'accesso e sotto un'unica password ma lì non ci sono alternative. L'unica soluzione sarebbe quella anche per i pc di introdurre un hw unico per le impronte digitali con cui sbloccare il gestore di password (tutti). Per hw unico intendo che su qualunque pc l'impronta digitale si trasformi in un hash univoco utilizzabile come chiave di ingresso

come li calcoli i "bit di forza"?

Per una password casuale la forza in bit è il logaritmo in base 2 di N^L, con N=numero di caratteri possibili (26+26+10+10=72 per lettere maiuscole, miniscole, numeri e 10 simboli) e L=lunghezza della password. Per esempio, il tipico insieme di 62 possibilità (lettere e numeri, senza simboli) abbiamo:
Lunghezza Bit di forza
5 30
10 60
15 89
20 119
25 149
30 179
35 208
40 238

È bene notare che visto che la formuletta si può scrivere come ForzaInBit=L*log2(N) e che la N compare come argomento del logaritmo, se si vuole aumentare la sicurezza è meglio usare password più lunghe (=aumentare L) piuttosto che estendere di un po' l'insieme di caratteri possibili (=aumentare N). Quindi le imposizioni a usare simboli / numeri/ maiuscole e minuscole ma permettere password corte non hanno molto senso. Personalmente non uso mai simboli nelle mia password, e evito anche 0ol1 nel caso debba digitare la password (normalmente uso un gestore di password per tutto).

Ogni volta che vedo quel fumetto mi rammarico di quanto si sia diffuso e soprattutto che venga preso come punto di riferimento.
L'unico motivo per cui "correct horse staple battery" possa essere considerata meglio di un numero equivalente di caratteri casuali è quello mnemonico, e se partiamo dall'imprescindibile presupposto che non si debba usare la stessa password dappertutto, bastano, ad esagerare, una decina di password per annullarne il vantaggio e per renderlo - ovviamente in relazione alla frase, vedi proprio il tuo esempio dei proverbi - anche decisamente peggiore.
Se è possibile usare un numero di caratteri arbitrario (o almento una ventina, come in questo caso) è *sempre* meglio usarne di casuali.

P.S. Fra l'altro scommetterei qualsiasi cosa che qualcuno, da qualche parte, ha usato correcthorsestaplebattery come password :asd:

Beh, il metodo della frase d'accesso ha senso ma le parole devono venire da un dizionario ampio e devono essere scelte casualmente (per es. da un generatore di numeri casuali o lancio di dadi). Per esempio il dizionario italiano di diceware ha 7776 parole (tutte piuttosto corte, massimo 6 caratteri) quindi ogni parola nella frase aggiunge quasi 13 bit di forza:
Numero di parole Bit di forza
2 26
3 39
4 52
5 65
6 78
7 90
8 103
9 116
10 129

"correct horse staple battery" ha solo quattro parole, quindi avrebbe 52 bit di forza nel nostro caso, non molti, circa lo stesso di una password casuale di 9 caratteri. In ogni caso, meglio della stragrande maggioranza degli utenti. Per avere un'ottima protezione servono almeno 5 o, meglio, 6 parole. In ogni caso come dici tu rimano poi il problema del riutilizzo delle password ecc.
Infatti come altri hanno detto la soluzione vera è usare un programma di gestione delle password, creare una sola master password superforte per aprire il database (che può essere anche una frase di accesso) e voilà, problema risolto. O quasi. Io uso Keepass (sincronizzato su dropbox) e mi trovo benissimo.


Il sito della tim, per assurdo, accetta al max 8 numeri!!!! 12345678 :muro:

Eh sì, me n'ero accorto anch'io. Fra l'altro alcuni siti (non mi sorprenderei se anche TIM) mandano la password per email nel caso di dimenticanza. È questo un segno che non hanno neanche una minima idea di sicurezza informatica e che tutti i dati inseriti in quel sito (incluse password) si devono considerare accessibili da chiunque.

Sembra quasi che noi tutti si lavori alla CIA.Hanno veramente rotto con questa mania delle passwords.

...passiamo quindi all'articolo sui vari gestori di psw?
Mi sembra che adesso anche Google si stia muovendo...
Io compongo le pwd usando il nome del sito e aggiungendo 6/8 caratteri alfanumerici che riutilizzo, poi chrome memorizza tutto tranne banche ecc
Nel mio caso, usando Android e Windows, oltre ai citati Enpass e Keepass, ci sono valide alternative open source? quali mi consigliate? Grazie

...passiamo quindi all'articolo sui vari gestori di psw?
Mi sembra che adesso anche Google si stia muovendo...
Io compongo le pwd usando il nome del sito e aggiungendo 6/8 caratteri alfanumerici che riutilizzo, poi chrome memorizza tutto tranne banche ecc
Nel mio caso, usando Android e Windows, oltre ai citati Enpass e Keepass, ci sono valide alternative open source? quali mi consigliate? Grazie
Ciao,se vuoi un consiglio ti suggerisco di provare come gestore password un programma che si chiama EssentialPIM.
Lo reputo comodissimo e completissimo già nella versione free; in realtà è un personal organizer con all'interno anche la sezione "password"; le passwords permette di importarle anche da Keepass; come programma per me è fenomenale,non riesco più a farne a meno...provalo e non te ne pentirai.