Link alla notizia: https://edge9.hwupgrade.it/news/security/password-complesse-meglio-le-frasi-secondo-l-fbi_87283.html

L'FBI diffonde un comunicato in cui afferma che è meglio utilizzare frasi come password, piuttosto che password corte e complesse. Una questione di facilità di memorizzazione, ma anche di maggiore difficoltà nel craccare password lunghe

Click sul link per visualizzare la notizia.

Brava redazione :asd:
correct horse battery staple (https://xkcd.com/936/)

Adesso prendo l'intero testo di questo articolo e lo uso come password :sofico:

Brava redazione :asd:
correct horse battery staple (https://xkcd.com/936/)

quel sito è stato oggetto di data breach... :p

certo che se la gente si basa su questo consiglio siamo fot anche piu di quanto già lo siamo ora:muro:

puntualmente poi vanno a scegliere dati anagrafici o cose ricavabili semplicemente conoscendo la persona quindi ben che vada non mi serve neanche il dizionario :muro:

a peggiorare la gravità dell'articolo è questa parte: sicurezza all'interno delle aziende

se per i server gli admin di turno si affidassero a questo veramente possiamo quasi spararci.

forse non è una coincidenza che FBI voglia diffondere queste falsità, dopotutto sono loro che godrebbero dall'inserimento di backdoor negli algo di crittografia

certo che se la gente si basa su questo consiglio siamo fot anche piu di quanto già lo siamo ora:muro:

puntualmente poi vanno a scegliere dati anagrafici o cose ricavabili semplicemente conoscendo la persona quindi ben che vada non mi serve neanche il dizionario :muro:

a peggiorare la gravità dell'articolo è questa parte:

se per i server gli admin di turno si affidassero a questo veramente possiamo quasi spararci.

forse non è una coincidenza che FBI voglia diffondere queste falsità, dopotutto sono loro che godrebbero dall'inserimento di backdoor negli algo di crittografia

Frasi di senso compiuto come:
mi_piace_ricordare_la_mia_password
è molto più solida di ttr54tfg@vattelapesca
semplicemente perchè ha più dati.
Superata una certa lunghezza della password usare o meno caratteri speciali è ininfluente dato che per ora o scovano qualche bug nel sistema ( e quindi puoi usare qualsiasi password che è ininfluente), oppure dovranno rifarsi al brute force scansionando tutti i caratteri possibili.
Io da parte mia consiglio:
@(data importante nel formato numer-lettere-numero)(nome di un caro con iniziale maiuscola)(scadenza password num-lett-num)
Pe:
@13Novembre2020Pasquale31Aprile2020
Abbastanza lunga, presenza di caratteri speciali ( anche più di uno volendo per poter dividere i vari campi: @13Novembre020!Pasquale£31Aprile2020) , numeri, maiuscole minuscole e promemoria per cambiarla

C'è da dire che moltissimi servizi ove il livello di sicurezza deve essere elevato (banche, spid ecc.) limitano la lunghezza delle password a 16 caratteri. Permettessero almeno 24 caratteri, in modo da compensare la semplicità delle parole...(ma dove sono finiti i cari, vecchi attacchi basati sul dizionario?)

Comunque keepass e passa la paura.

I suggerimenti presenti nell'articolo sono corretti, tuttavia la scelta di una password robusta non mette al riparo da attacchi e fughe di dati di database dove le password sono salvate in chiaro senza hash.
La soluzione è di utilizzare, quando disponibile, l'autenticazione a due fattori 2FA in cui il secondo fattore non è SMS (insicuro attacco SS7), ma un autenticatore open source: andOTP (android), authenticator (iOS) e authenticator estensione (firefox, brave, chrome, etc.) link (https://fpoi.gitlab.io/fpoi/media/files/Come%20mantenere%20la%20libert%C3%A0%20e%20la%20riservatezza%20utilizzando%20la%20tecnologia%20e%20Internet.html#toc28).
Infine, vista l'impossibilità di ricordare N password ad elevata entropia, meglio utilizzare un gestore di password open source come bitwarden o lockwise link (https://fpoi.gitlab.io/fpoi/media/files/Come%20mantenere%20la%20libert%C3%A0%20e%20la%20riservatezza%20utilizzando%20la%20tecnologia%20e%20Internet.html#toc29).

a me vien da scrivere una frase che comincia per W e finisce per a ... ripetendola più volte perché è di 7 lettere... :D
ma forse la sceglieranno in molti... :D :D

Quando devo creare delle password da ricordare a mente utilizzo principalmente due metodi.

Il primo e' quello della passphrase, ovvero prendo due/tre parole normali e le separo da caratteri speciali, prima e dopo, ad esempio

@telefono@casa@

Quando devo fare password corte, per qualsiasi motivo (tipo programmi del ca@@o che limitano la lunghezza delle password), prendo una frase di senso compiuto, oppure una rima di una canzone, e prendo la prima lettera di ogni parola, mettendo caratteri speciali prima e dopo (o quando finisce la riga nel caso delle canzoni), tipo

@qrdldc@ (quel ramo del lago di como)

Quando posso invece uso KeePass per gestire le password, che me le crea e me le gestisce tranquillamente, e devo solamente ricordare la master, che ovviamente e' robusta (e' del secondo tipo, con una frase piu' lunga).

Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?

A me fanno sorridere i caratteri speciali. Per noi sono uno spaccacervelli da ricordare ma per un elaboratore che attacca sono numeri come altri. Meglio le frasi magari in dialetto, escono cose da 30 caratteri facili da ricordare e li buon divertimento per l'attaccante.

Conosco davvero uno che usa come password 123456 e non vuole cambiarla.

Sarebbe così difficile creare un bruteforcing basato su dizionario?
nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche

l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari

Conosco davvero uno che usa come password 123456 e non vuole cambiarla.
appunto chi la vuole cambiare? :xd

è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo

Si ma non esiste un solo dizionario al mondo . Quale usi? Poi le parole le puoi personalizzare e li non C'è dizionario al mondo che le contenga.

Ilgatttosimangialagattta

credo sia più forte della tua ma si ricorda molto facilmente

nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche

l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari


appunto chi la vuole cambiare? :xd

è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo
Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...:D
La password, per forzarla, devi indovinarla tutta intera in un colpo...
Non c'è modo di sapere se ci sono tre lettere consecutive, e solo dopo decidere di usare un dizionario...

Scusate ma perché usare software e casini vari quando google ha il servizio che non solo genera password complesse e in numero infinito, sempre diverse e se le ricorda per te?!

Più semplice di così...

Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...:D
...

Anche perché così potrei fare i bruteforce a mano:D

my 2c
Certo si possono fare i bruteforce con le parole, ma trovato il problema, trovata la soluzione

Passw0rdKeyw0rdM0tdepass

Tre lingue e le parole non sono tali.
Comunque esistono anche le non parole. Cioè sequenze di grafemi o sillabe grammaticalmente legali, ma che non hanno un significato.

Scusate ma perché usare software e casini vari quando google ha il servizio che non solo genera password complesse e in numero infinito, sempre diverse e se le ricorda per te?!

Più semplice di così...Le password generate "casualmente"... non sono casuali.
Qualunque password, ma in generale qualunque sequenza di caratteri, generate da un "computer" (che sia quello tuo di casa, i server google, il cellulare, la PS4 o il Commodore-64 di tuo nonno che ancora funziona) si basano su un algoritmo, o programma che dir si voglia.
E qualunque algoritmo è basato su delle funzioni, tendenzialmente di natura matematica, che per loro natura generano quei caratteri su quelle funzioni matematiche, quindi riconducibili ad un preciso schema logico. Di conseguenza non c'è nulla di casuale. Programmi adeguatamente studiati possono anzichè andare solo di forza bruta, estrapolare lo schema logico dietro il quale si cela quella generazione casuale, e a quel punto sarebbe come avere la chiave di decriptazione di un codice.

Quindi è sempre meglio premere tasti a caso sulla tastiera che affidarsi a tali sistemi. Tanto per dire (chiaramente è solo la mia esperienza, non fa statistica) quando sono passato a TIM per la fibra di casa mi hanno inviato il modem e per scelta ho deciso di usarlo anche se avrei voluto prenderne uno per conto mio... ma in quel momento non volevo spenderci soldi. Ho lasciato per pigrizia la password del Wi-Fi di default, che conteneva 26 caratteri (ben oltre i 15 consigliati) che se li leggi erano apparentemente casuali.
Beh, pur tenendo nascosto l'SSID, non dando la password a nessuno, non consentendo a nessuno di connettermi alla mia rete e imponendo un accesso tramite riconoscimento dell'indirizzo MAC, dopo qualche mese ho avuto un'intrusione.


Detto ciò: io utilizzo keepass da tempo immemore ormai, devo ricordarmi una sola password (di 18 caratteri) e le altre centinaia di password in mio possesso stanno comode li. Quando serve accedo al database dall'analoga applicazione su smartphone o dal PC di casa.

PS: Se proprio devo memorizzare le mie password da qualche parte, Google è l'ultimo dei posti nel quale andrei a farlo :D

Sono d'accordo.
Google, il gestore di password dei vari browser ecc ecc, per me sono i posti meno sicuri dove conservale.
Meglio un database, magari protetto da una key supplementare (keepass permette questo).
Però preme sottolineare che prima o dopo, la password da qualche parte dovrai inserirla. Ed è lì che, nel caso, l'hacker colpisce. Quando digiti oppure immetti i caratteri. Per questo motivo, bisognerebbe dare importanza maggiore al PC che sia privo di trojan e altro, e poi a quei servizi dove in mezzo ci sono i soldi, senza dimenticare l'account mail dove, scoperte le credenziali, poi è solo una questione di fantasia su quello che puoi fare una volta dentro.
In sostanza, secondo me non basta usare keepass se poi il tuo account di posta, l'accesso al sito web della tua CC oppure della banca, non sono coperti da un sistema a doppia verifica.Quoto e approvo.

Come sempre, il primo sistema di difesa sotto tutti i punti di vista è l'utilizzatore. Se tu per primo, utilizzatore del tuo PC/Smartphone/Quel che è, non prendi le giuste precauzioni quando lo utilizzi, facile che poi rimani fregato.
C'è gente che installa antivirus e antimalware come fossero noccioline sul PC: poi però aprono mail con link sospetti, installano programmi di dubbia provenienza, vanno su siti "poco raccomandabili". A quel punto puoi avere anche password con settordici caratteri compresi i Kanji, non servirebbe a nulla.

Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.



È teoricamente possibile, ovviamente, ma ti sei dimenticato un punto. Se fai riferimento ai caratteri, in genere ne consideri non più di 200 fra cui scegliere (certo, c'è l'Unicode, ma non credo che tu intenda inserire nella password caratteri greci, cirillici, arabi, giapponesi, cinesi… anche perché sarebbe un delirio tutte le volte scriverla). Quindi, con cinque caratteri, le combinazioni sarebbero 200^5; in un dizionario ci possono essere 10000 parole di ampia diffusione, 200000 se consideri termini desueti o tecnici. Quindi, cinque parole ti danno al minimo 10000^5 combinazioni.
Come vedi non è la stessa cosa.

Le password generate "casualmente"... non sono casuali.
Qualunque password, ma in generale qualunque sequenza di caratteri, generate da un "computer" (che sia quello tuo di casa, i server google, il cellulare, la PS4 o il Commodore-64 di tuo nonno che ancora funziona) si basano su un algoritmo, o programma che dir si voglia.
E qualunque algoritmo è basato su delle funzioni, tendenzialmente di natura matematica, che per loro natura generano quei caratteri su quelle funzioni matematiche, quindi riconducibili ad un preciso schema logico. Di conseguenza non c'è nulla di casuale. Programmi adeguatamente studiati possono anzichè andare solo di forza bruta, estrapolare lo schema logico dietro il quale si cela quella generazione casuale, e a quel punto sarebbe come avere la chiave di decriptazione di un codice.
Dimentichi che i processori moderni sono dotati tutti di generatori hardware di numeri casuali che sono basati su roba come fluttuazioni delle temperatura.

Vedo che ci sono tanti ancora convinti che si vada di bruteforce per violare sistemi, e quindi serve una password extralunga exrtracomplessa, auguri :)

Quindi è sempre meglio premere tasti a caso sulla tastiera che affidarsi a tali sistemi. Tanto per dire (chiaramente è solo la mia esperienza, non fa statistica) quando sono passato a TIM per la fibra di casa mi hanno inviato il modem e per scelta ho deciso di usarlo anche se avrei voluto prenderne uno per conto mio... ma in quel momento non volevo spenderci soldi. Ho lasciato per pigrizia la password del Wi-Fi di default, che conteneva 26 caratteri (ben oltre i 15 consigliati) che se li leggi erano apparentemente casuali.
Beh, pur tenendo nascosto l'SSID, non dando la password a nessuno, non consentendo a nessuno di connettermi alla mia rete e imponendo un accesso tramite riconoscimento dell'indirizzo MAC, dopo qualche mese ho avuto un'intrusione.


La stessa password di default stava in chissà quanti altri dispositivi analoghi forniti da TIM, o pensi forse che ogni router ha una password diversa di default e il produttore attacca un adesivo diverso per ognuno? Basta conoscere l'elenco delle password di default non serve mica andare a tentativi o violare chissà come...

Ehm... no, la password del Wi-Fi di un router viene generata da un algoritmo. Semmai è di default (oltre che uguale per tutti quelli di uno stesso modello) username e password per accedere al router stesso ("admin" e "password", tanto per fare un esempio), oltre all'indirizzo IP.

O credi che sia così complicato stampare un etichetta diversa per ogni codice generato?

Ehm... no, la password del Wi-Fi di un router viene generata da un algoritmo.

E la trovi uguale scritta su etichetta attaccata su diversi esemplari dello stesso router. Fidaty di uno che ha visto...

Regola numero uno, cambiare le password appena installato un dispositivo di rete.

Ci sono però anche router che hanno sia pwd di default del wireless sia dell'account admin diverse per ogni dispositivo (e stampate diverse sull'etichetta).
Per esempio gli ultimi zyxel dati dagli ISP.

IMHO il modo migliore è di generare una password con le iniziali di una frase.

La stessa password di default stava in chissà quanti altri dispositivi analoghi forniti da TIM, o pensi forse che ogni router ha una password diversa di default e il produttore attacca un adesivo diverso per ognuno? Basta conoscere l'elenco delle password di default non serve mica andare a tentativi o violare chissà come...

Un algoritmo per la generazione di password (pe 8 bit) difficilmente genererà tutte le password teoriche.
In molti non sanno ( o fanno finta di non sapere) che l'algoritmo spesso prende in esame il macaddress dell'interfaccia di rete ( wan o wifi) rigenerandola ad ogni reset sempre identica ed uguale.
Altre volte viene generato dal seriele presente in rom.
E si, il produttore attacca un adesivo diverso per ogni router dato che sull'adesivo è presente almeno:
seriale
mac
passwifi

oltre al lotto e data di produzione
Se poi per ogni prodotto elettronico, perfino per il tostapane, ogni confezione ha la sua etichetta con seriale ( sempre diverso dagli altri) cosa ti fa dire certe balle lo sai solo tu

cosa ti fa dire certe balle lo sai solo tu

Se è una balla aver visto più router con la stessa password preimpostata, che ti devo dire, tieni le tue certezze sulle balle degli altri. Io ho le mie basate sul vissuto di persona. E continuo a ripetere che la prima cosa da fare è cambiare la password preimpostata.

Chissà quanti maschietti hanno come password la fra " amemipiacelaf..a " :asd: :asd:


Cààssàssòs

Se è una balla aver visto più router con la stessa password preimpostata, che ti devo dire, tieni le tue certezze sulle balle degli altri. Io ho le mie basate sul vissuto di persona. E continuo a ripetere che la prima cosa da fare è cambiare la password preimpostata.

No, la balla è che non esistono 2 etiche uguali, dato che differisce sempre il seriale ed il mac address, quindi si, ogni etichetta è fatta per un singolo prodotto ed applicato a quel singolo prodotto, poi un algoritmo può generare password uguali da apparenti dati immessi diversi ci sta ( se utilizzo un algoritmo a 16 bit e produco 1 milione di pezzi mediamente la stessa password sarà ripetuta 15 volte)
ma ogni etichetta è unica con il suo bel seriale ( sempre differente), e mac dell'interfaccia wan ( sempre differente, si spera).
Su quella stessa etichetta poi ci sarà una bella passfrase che sarà ripetuta tante volte per n pezzi diversi quanto più semplice è l'algoritmo di generazione della stessa.

No, la balla è che non esistono 2 etiche uguali


Continua pure a focalizzarti sulle etichette, buona serata :)

Continua pure a focalizzarti sulle etichette, buona serata :)

1:
Ogni produttore sul suo bel router applica due etichette ( una sullo scatolo ed una sul router proprio) singolarmente contrariamente a quanto da te affermato.

2:
Non esistono password di default, ma un algoritmo unico di generazione che superata un certo numero deve per forza di cose ripetere una stessa passfrase, questi algoritmi sono tanto più semplici quanto più economico è il prodotto. Quindi non esistono password di default, ma un numero limitato di password possibili ( come per le chiavi delle serrature delle porte)

3:
Il modo più usato per risalire alla password di un router è conoscere l'algoritmo di generazione e generarla partendo dal mac del wifi ( in molti modem tim, ma non solo, l'algoritmo usa il mac dell'interfaccia wifi) e non provi nemmeno ad usare tutti i possibili codici difatti se vai a controllare i log del router non troverai nessun messaggio di autenticazion failed ( cosa che troveresti se utilizzi n passfrase diverse e procedi per tentativi)

Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?

sbagli.
i caratteri sono una ventina, le parole quante? decine di migliaia?

Quindi, con cinque caratteri, le combinazioni sarebbero 200^5; in un dizionario ci possono essere 10000 parole di ampia diffusione, 200000 se consideri termini desueti o tecnici. Quindi, cinque parole ti danno al minimo 10000^5 combinazioni.

Pero', mentre una password composta da parole DEVE essere composta da poche parole, 3-5 parole, altrimenti sfori la lunghezza ammessa, la password casuale invece ha molti caratteri.
Esempio: se il campo password consente una lunghezza di 20 puoi:

- usare 20 caratteri casuali (minuscole, maiuscole, numeri), ovvero 62^20. Le combinazioni possibili sono un numero di 35 cifre.

- usare 5 parole casuali: ovvero 10000^5. Le combinazioni sono un numero di 20 cifre

Quindi e' piu' robusta la prima

Pero', mentre una password composta da parole DEVE essere composta da poche parole, 3-5 parole, altrimenti sfori la lunghezza ammessa, la password casuale invece ha molti caratteri.
Esempio: se il campo password consente una lunghezza di 20 puoi:

- usare 20 caratteri casuali (minuscole, maiuscole, numeri), ovvero 62^20. Le combinazioni possibili sono un numero di 35 cifre.

- usare 5 parole casuali: ovvero 10000^5. Le combinazioni sono un numero di 20 cifre

Quindi e' piu' robusta la prima
salvo il fatto che nessuno ricorda 20 caratteri casuali quindi mette ABCDEFGHIJKLMNOPQRSTUVWXYZ la cui complessità è 1^1:p

Si può con relativa facilità creare una password complessa e facile da ricordare.

Basta usare una metodologia, un libro ed un indizio sufficientemente vago che una persona qualsiasi non coglierebbe ma che tu sappia cosa significhi.

Ad esempio un indizio potrebbe essere XVI-20

XVI venti si riferisce al sedicesimo canto della divina commedia, riga 20.
Si può usare quella frase come password, con l'aggiunta di caratteri extra al posto degli spazi, ad esempio i caratteri stessi dell'indizio "X V I - 2 0" si possono mettere negli spazi della frase, ed ecco come con un semplice indizio si ottiene una password complessa ma facile da reperire e da ricordare:

" L'anticoXverso;Ve,Iquando-a2noi0furXgiunti, "

...XVI venti si riferisce al sedicesimo canto della divina commedia, riga 20.
"fatti non foste a ricordar password complesse ma ad usar pippo e paperino" :D

E invece è un consiglio valido. E mi stupisco anche che la gente si metta lì a pensare a password complesse quando una semplice frase simile a questa: "Prediligo mangiare 75Grammi di Pasta al Sugo", secondo Karpersky password check, è praticamente rock solid.
:mano:
sempre che il sistema l'accetti, spesso scassano le balle con "max 8 caratteri con almeno 1 maiuscola, un numero, un carattere sumero, un geroglifo egizio"... Da cambiare 1 volta al mese... :muro:
Normale che poi uno usi "Abcdefg1"

pierino aveva previsto tutto, esempio di password facile da ricordare basato su una frase

+melo-+vengo--melo--vengo-

secondo il test di kasperky tale password è sicura e verrà craccata in più di 10000 secoli


:D :D :D :D

La password migliore? Semplice: per ogni servizio, quando la devo creare apro il mio database di keepass e nel campo "Password" sbatto 4-5 volte il palmo della mano sulla tastiera :asd:
Normale che poi uno usi "Abcdefg1"Manca il carattere sumero e il geroglifico egizio :O


:asd:

...Manca il carattere sumero e il geroglifico egizio :O
Non ho sottomano la tastiera col sumero antico...:D
Ti accontenti dell'egizio? :sofico:
https://it.toluna.com/dpolls_images/2014/03/04/0b00f70e-4dc8-4710-b8ab-2c74dc48506a_x365.jpg

Pero', mentre una password composta da parole DEVE essere composta da poche parole, 3-5 parole, altrimenti sfori la lunghezza ammessa, la password casuale invece ha molti caratteri.
Esempio: se il campo password consente una lunghezza di 20 puoi:

- usare 20 caratteri casuali (minuscole, maiuscole, numeri), ovvero 62^20. Le combinazioni possibili sono un numero di 35 cifre.

- usare 5 parole casuali: ovvero 10000^5. Le combinazioni sono un numero di 20 cifre

Quindi e' piu' robusta la prima

Se un sito limita la password a 20 caratteri diventa subito sospetto: vuol dire che probabilmente non usa un algoritmo di hash ma mantiene la password originale magari in chiaro (e in un database dove non usa varchar()). Se proprio devi usarlo, va fatto con estrema attenzione.
Lo so anch'io che esistono siti del genere, ma sbagliano loro: a quel punto mi faccio generare una password da KeePass o analogo e uso il copia e incolla.
Salvo un sito dove non accetta l'incollaggio della password.

:mano:
sempre che il sistema l'accetti, spesso scassano le balle con "max 8 caratteri con almeno 1 maiuscola, un numero, un carattere sumero, un geroglifo egizio"... Da cambiare 1 volta al mese... :muro:
Normale che poi uno usi "Abcdefg1"

Appunto. Siti con queste caratteristiche sono pericolosi.

Le password generate "casualmente"... non sono casuali.
Qualunque password, ma in generale qualunque sequenza di caratteri, generate da un "computer" (che sia quello tuo di casa, i server google, il cellulare, la PS4 o il Commodore-64 di tuo nonno che ancora funziona) si basano su un algoritmo, o programma che dir si voglia.
E qualunque algoritmo è basato su delle funzioni, tendenzialmente di natura matematica, che per loro natura generano quei caratteri su quelle funzioni matematiche, quindi riconducibili ad un preciso schema logico. Di conseguenza non c'è nulla di casuale. Programmi adeguatamente studiati possono anzichè andare solo di forza bruta, estrapolare lo schema logico dietro il quale si cela quella generazione casuale, e a quel punto sarebbe come avere la chiave di decriptazione di un codice.

Quindi è sempre meglio premere tasti a caso sulla tastiera che affidarsi a tali sistemi. Tanto per dire (chiaramente è solo la mia esperienza, non fa statistica) quando sono passato a TIM per la fibra di casa mi hanno inviato il modem e per scelta ho deciso di usarlo anche se avrei voluto prenderne uno per conto mio... ma in quel momento non volevo spenderci soldi. Ho lasciato per pigrizia la password del Wi-Fi di default, che conteneva 26 caratteri (ben oltre i 15 consigliati) che se li leggi erano apparentemente casuali.
Beh, pur tenendo nascosto l'SSID, non dando la password a nessuno, non consentendo a nessuno di connettermi alla mia rete e imponendo un accesso tramite riconoscimento dell'indirizzo MAC, dopo qualche mese ho avuto un'intrusione.


Detto ciò: io utilizzo keepass da tempo immemore ormai, devo ricordarmi una sola password (di 18 caratteri) e le altre centinaia di password in mio possesso stanno comode li. Quando serve accedo al database dall'analoga applicazione su smartphone o dal PC di casa.

PS: Se proprio devo memorizzare le mie password da qualche parte, Google è l'ultimo dei posti nel quale andrei a farlo :D

Tutto giusto per l'amor del cielo ma se ragioniamo in tal senso dovremmo tenere conto anche dell'opportunità:

Ha senso per un cracker qualsiasi mettersi a cercare un modo per analizzare un algoritmo complesso, sperare di riuscire a indovinarlo o capirlo che dir si voglia e poi tentare la scommessa che io abbia usato proprio quello e non altro per... entrare in una casella dove pressappoco si legge lo spam e poco più?

Secondo me ormai un cracker che cerca quante più caselle possibili non perde tempo in procedure così complesse ma punta ai grandi numeri e quindi a password relativamente semplici e vulnerabili che tanto ne trova a dozzine. Altro discorso è semmai su mail aziendali dove magari vieni preso di mira proprio te e quindi c'è un interesse particolare che può valere la pena l'investimento di tempo e risorse.

In ogni caso di account di gente comune violati per un attacco diretto in presenza di una password anche solo vagamente decente se ne sentono veramente pochi... il problema è che il più delle volte la gente usa password ridicole.

Tutto giusto per l'amor del cielo ma se ragioniamo in tal senso dovremmo tenere conto anche dell'opportunità:

Ha senso per un cracker qualsiasi ...

un cracker punta direttamente al server ed ad accedere direttamente all’archiviazione delle mail, fregandosene di passare dall'autenticazione del servizio pop/imap...
1 pass, migliaia di caselle, milioni di mail. In una botta sola.

Cribbio, non puoi quotare un messaggio che ho scritto un anno fa, non mi ricordo neanche io che ho scritto :asd:


Comunque, il problema della gente comune è che agisce a caso e con leggerezza.
E basterebbe poco: un minimo di attenzione quando arrivano delle email, custodire con un minimo di criterio le proprie password, evitare certi siti, fare attenzione quando si viene contattati tramite uno dei tanti sistemi di comunicazione.

Poi è chiaro le le password semplici sono un deterrente a sfavore dell'utente. E lo è perchè basta poco per risolvere il problema.

Come ho scritto, io per me uso un programma come keepass, dove al suo interno ci sono tutte le registrazioni con relative password. Un database per solo mio uso personale, dal quale accedo dal PC o sullo Smartphone e che mi consente di dovermi tenere a mente una sola password.

Le password non le memorizzo su nessun tipo di servizio (escluse quelle di alcuni forum, tipo HU), e se devo consultarne una da Keepass non faccio operazioni tipo copia/incolla ma riscrivo "a mano" la password. Poi c'è da dire che col sistema della doppia autentificazione per diversi servizi il problema è ancora più remoto di un hackeraggio (e avrebbe forse impedito che mi hackerassero qualche tempo fa il mio vecchio account paypal).
Poi per maggior sicurezza uso tre mail distinte: una per account minori o store online che visito una volta ogni due anni, quella di base che fornisco ai miei contatti e una terza che non do a nessuno ed uso esclusivamente per servizi più importanti (lo SPID e i servizi della Pubblica Amministrazione, bollette della TIM e dei servizi di casa, il mio servizio di host con relativo sito, le carte di credito, paypal, le buste paga).


Poi la certezza assoluta della sicurezza non ce l'hai in ogni caso.

Scusate ma perché usare software e casini vari quando google ha il servizio che non solo genera password complesse e in numero infinito, sempre diverse e se le ricorda per te?!

Più semplice di così...

così quando ti entrano nell'account google ti fregano anche le password di tutti gli altri.
Più semplice di così...:D

Conosco davvero uno che usa come password 123456 e non vuole cambiarla.
digli magari che arrivi almeno fino a 12 (123456789101112) così è tranquillo per un po' ;)