Link alla notizia: https://edge9.hwupgrade.it/news/security/frasi-piu-sicure-delle-password-non-e-detto-il-punto-di-f5_109566.html

La forza di una determinata password o passphrase non è proporzionale solamente alla sua lunghezza, ma dipende fortemente dalla sua entropia, cioè dalla casualità. La soluzione migliore? Generarle casualmente e affidarsi alla MFA

Click sul link per visualizzare la notizia.

questa$password#secondo&loro€sarebbe@debole?

Io non credo :D

questa$password#secondo&loro€sarebbe@debole?

Io non credo :D

Manca almeno una lettera maiscola e un numero :asd:

Mi aspetto già nuguli di "la nebbia agli irti colli" e "lorem ipsum dolor sit amet".

io uso "Password0" per tutto e nessuno mi ha ancora bucato nulla

z1b1d1bvd40sCh3rzi4m0

Questa è la migliore. :D

questa$password#secondo&loro€sarebbe@debole?

Io non credo :D

La password che hai immaginato ha questa entropia. Prima di tutto le parole che hai usato sono tra le più comuni e quindi vanno molto sotto il vocabolario delle 1000 parole più comuni.

Facciamo che le tue parole siano dentro il vocabolario delle prime 500 parole elementari. I simboli che hai usato sono quelli della tastiera normale, facciamo che siano tra i 20 simboli speciali.

Calcoliamo l'entropia basandoci su questi dati:

Le "parole generiche" sono 11 mentre il "vocabolario generico" è di 500*20=10'000 simboli, quindi l'entropia è di 1 su 10^44

ovvero 2^146

Mi pare che siamo lì lì:

«considerando la velocità con cui i computer moderni possono indovinare le password, si ritiene che sia necessaria una complessità di circa 2^128 combinazioni per essere sicuri".»

Se riduciamo il numeri di simboli dai 20 a un numero un po' più piccolo e il vocabolario da 500 a un numero un po' più piccolo la tua password è fritta.


Edit:
Dimenticavo un piccolo particolare. La frase "questa password secondo loro sarebbe debole" ha una entropia bassissima in quanto è una frase di senso compiuto ed è una delle frasi che un dizionario di frasi può avere.

Come fare un dizionario di frasi? Molto semplice: si provano tutte le combinazioni delle prime 500 parole del dizionario e si vede quante risultanze da un motore di ricerca come Google o altri, se da molti risultati allora la frase è una frase comune, se ne da pochi allora la frase è una combinazione casuale di parole. Per memorizzare le frasi più comuni con occorre memorizzare l'esatta successione di parole ma solo la posizione nel vocabolario di 500 parole, in questo modo si fa una estrema compressione e si può avere il tutto in poco spazio.

Io uso il terzo ritornello di questa canzone (http://www.lalalalalalalalalalalalalalalalalala.com/) e sono in una botte di ferro :sofico:

Secondo me una password sicura è solo una password generata casualmente, non importa se ha numeri o simboli ma deve essere generata casualmente ed avere abbastanza entropia che in questo caso coincide con numero di combinazioni dei simboli del vocabolario usato.

Per esempio:

clzracthyvgp

è generata casualmente, quindi ha una entropia di 2^74. Una password analogafatta con parole che abbia come iniziali o finali le lettere clzracthyvgp non avrebbe una entropia estremamente superiore soprattutto se è di senso compiuto.

Ma và?
Questi di F5 son dei geni eh! Chi avrebbe mai pensato che un'attacco a vocabolario un pò più intelligente che riesce a formare delle frasi prima o poi possa azzeccare la password composta da una frase? :eek:

Se però già ci mettiamo 2-4 simboli e 2-4 cifre su una frase da 4 parole in posizioni random, auguri.

Secondo me una password sicura è solo una password generata casualmente, non importa se ha numeri o simboli ma deve essere generata casualmente ed avere abbastanza entropia che in questo caso coincide con numero di combinazioni dei simboli del vocabolario usato.

Per esempio:

clzracthyvgp

è generata casualmente, quindi ha una entropia di 2^74. Una password analogafatta con parole che abbia come iniziali o finali le lettere clzracthyvgp non avrebbe una entropia estremamente superiore soprattutto se è di senso compiuto.

Infatti l'entropia di una password aumenta drasticamente se:
1) non ci sono caratteri consecutivi o sequenze ripetitive (es: aaab oppure 1aabcbc1)
2) se ci sono più sequenze numerate (es: 46Pi275x0O9)
3) Ci sono caratteri non alfanumerici (A-z 0-9) ad esempio ^?!=)$"%$&/(*][#@ç°~
4) Non ci sono caratteri che possono sostituire lettere (es: C4s@, H0m3)
5) non sono parole di un dizionario.

Per ricordarsi invece, una frase che possa condurre ad una password potrebbe essere:
Iv4Ct3H~.
Io vado A Casa tra 3 Ore circa.
Oppure:
LmMèUSGsx-R
La mia Moto è Una Suzuki Gsx-R

Su https://www.security.org/how-secure-is-my-password/ c'è il calcolo preciso.

Per ricordarsi invece, una frase che possa condurre ad una password potrebbe essere:
Iv4Ct3H~.
Io vado A Casa tra 3 Ore circa.
Oppure:
LmMèUSGsx-R
La mia Moto è Una Suzuki Gsx-R


Secondo me si deve prendere un generatore di password casuali e generare una password con solo lettere e abbastanza lunga. Fatto questo o ci si ricorda la password casuale o si costruisce una frase partendo dalla password:

per esempio partendo da:

clzracthyvgp

si costruisce una frase di senso compiuto con le iniziali. È invece sbagliato prendere una frase di senso compiuto e estrarre le lettere iniziali o finali o mediane.

L'entropia di clzracthyvg è sempre di 2^74 anche se viene usala la frase di senso compiuto di 12 parole, non cambia di molto.

Secondo me si deve prendere un generatore di password casuali e generare una password con solo lettere e abbastanza lunga. Fatto questo o ci si ricorda la password casuale o si costruisce una frase partendo dalla password:

per esempio partendo da:

clzracthyvgp

si costruisce una frase di senso compiuto con le iniziali. È invece sbagliato prendere una frase di senso compiuto e estrarre le lettere iniziali o finali o mediane.

L'entropia di clzracthyvg è sempre di 2^74 anche se viene usala la frase di senso compiuto di 12 parole, non cambia di molto.

Certo, ma trovare una frase di senso compiuto partendo da lettere o caratteri casuali, è un bordello.
Cerca di capire cosa volevo dirti in questa password :)
Sd$lL3PnF>HwU

Tutto l'articolo si basa su una grossa ambiguita', parliamo di password di cifratura o password di autenticazione ?

Per quelle di cifratura il discorso ha anche un senso con tutti i clacoli matematici annessi, poiche' ho in mano il messaggio cifrato e posso provare a crakkarlo come voglio, ma per le password di autenticazione basta una password anche di soli 5 numeri!!!
Perche' nessun sistema permettere di fare piu' di tre quattro prove consecutive prima di bloccarsi o rallentare i tentativi.

E comunque parlando di MFA e' chiaro che si intende password di autenticazione quindi, le frasi vanno benissimo, come PIN di 5/6 numeri o qualunque cosa che sia improbabile da indovinare in pochi tentativi.

Certo, ma trovare una frase di senso compiuto partendo da lettere o caratteri casuali, è un bordello.
Cerca di capire cosa volevo dirti in questa password :)
Sd$lL3PnF>HwU

Non devo capirlo io ma un sistema automatizzato di generazione delle password possibili e probabili "sgama" tutti i trucchetti. L'unico trucchetto non non sgama è il concetto di entropia.

Però mi chiedo se tra tutti quelli che scrivono su HWupgrade non c'è nessuno che ha fatto facoltà scientifiche all'università? nessuno ha fatto matematica? ingegneria? fisica? informatica? ecc, ecc?

Perché il concetto di matematico di entropia lo si insegna nel triennio. Tutti diplomati (e forse alle superiori si insegna l'entropia)?

GutHub GitHub

Non devo capirlo io ma un sistema automatizzato di generazione delle password possibili e probabili "sgama" tutti i trucchetti. L'unico trucchetto non non sgama è il concetto di entropia.

Però mi chiedo se tra tutti quelli che scrivono su HWupgrade non c'è nessuno che ha fatto facoltà scientifiche all'università? nessuno ha fatto matematica? ingegneria? fisica? informatica? ecc, ecc?

Perché il concetto di matematico di entropia lo si insegna nel triennio. Tutti diplomati (e forse alle superiori si insegna l'entropia)?

In realtà è la stessa cosa, perché i caratteri messi a caso, possono sempre dire qualcosa, come nulla.
Dovresti avere una mole di dati riferito a noi due, in questo forum e seguire questo thread per capire qual'è la mia passowrd. Altrimenti la solzuione B ed è la più fattibile, è bruteforce.

Comunque:
Stiamo discutendo $ulL3 Password nel Forum di(>) HwUpgrade

Io non sono andato all'università, ma ho studiato parecchio (e lo sto ancora facendo su molti ambiti informatici)
Sì ho studiato l'entropia alle superiori ;)

Guajochistammopazziandocoapummarolaingoppa

Mi scuso con i napoletani per eventuali errori ma se ci sono la password è anche più sicura :D

....buon attacco a vocabolario D

....buon attacco a vogabolario D

Google, parola cercata esatta: "vogabolario"

Circa 340 risultati (0,37 secondi)

Edit: parola corretta alle 15:01: "vocabolario"

Google per vocabolario da:

Circa 40.100.000 risultati (0,53 secondi)

Google, parola cercata esatta: "vogabolario"

Circa 340 risultati (0,37 secondi)

Edit: parola corretta alle 15:01: "vocabolario"

Google per vocabolario da:

Circa 40.100.000 risultati (0,53 secondi)


Ho corretto prima di te professore tje! :D

...ci hai perso pure un minuto su google?
Dai retta a me cercati un hobby:D

nessuno ha ancora detto che "io non ho nulla da nascondere"? :D

cmq, pass entropica generata casualmente, poi voglio vedere come uno se la ricorda se deve usarla senza il passmanager...
la scrive sul post-it e se la tiene nel portafoglio col bancomat...:rolleyes:

Su https://www.security.org/how-secure-is-my-password/ c'è il calcolo preciso.



per quel sito la password minchiagrande2Volte? necessita di

1 hundred quintillion years

quindi penso che la userò in tutti i siti dove mi registrerò :D

per quel sito la password minchiagrande2Volte? necessita di

1 hundred quintillion years

quindi penso che la userò in tutti i siti dove mi registrerò :D

Ho provato le prime due parole del dizionario: abacoabbraccio
che in un attacco dizionario della lingua italiana sono tra le primissime provate e quindi in microsecondi vengono exploitate.

Il sito in questione mi dice:

It would take a computer about

51 years

Diciamo che non è affidabile come detto ironicamente da Unax che quoto.

Articolo e commenti mi sembrano sostanzialmente fuori strada.

Oggigiorno i programmatori degni di tale nome generano e verificano le password tramite algoritmi con salt e diverse iterazioni (es. PBKDF2).

Se l'attaccante ha violato il database con le password (caso in cui ha probabilmente già accesso anche ai vostri dati) ed ha a disposizione le hash, o se vuole craccare un file criptato, la sua velocità è rallentata dall'algoritmo di migliaia o addirittura milioni di volte.

Se l'attaccante non ha violato il database ed agisce online, la velocità è limitata dall'interfaccia del sito tramite CAPTCHA, banda, account lockout, IP lockout e/o password throttling.

Fermo restando che le password random tramite password manager sono meglio, contunuate pure a usare le passphrase aggiungendo qualche variazione non banale.

LPT: non usate la lingua inglese, meglio l'italiano o addirittura il dialetto
:mano:

per quel sito la password minchiagrande2Volte? necessita di

1 hundred quintillion years

quindi penso che la userò in tutti i siti dove mi registrerò :D
che cos'è un quintilione di anni?:mbe: :stordita:

ps: cambia almeno l'username... :p

:mano:


che cos'è un quintilione di anni?:mbe: :stordita:

ps: cambia almeno l'username... :p

Immagino tu lo sappia però è un sistema americano di misura e che quindi è ricaduto su di noi. Somiglia ai piedi e ai pollici da quanto strano è.

million 10^6
billion 10^9
trillion 10^12
quadrillion 10^15 (o come si chiama)
quintillion 10^18 (o come si chiama)

da cui la fantasiosa traduzione in italiano che suppongo non esista.

un quintilione nella numerazione decimale, misura corrispondente a mille quadrilioni. :D

N3lM3zz0D3lC4mm1nD!N05tr@V1t4

Un tempo lessi di una ricerca che dimostrava è una frase senza senso lunga.
Immaginate una poesiola di otto parole che però voi modificate rendendola insensata ma facile da ricordare
Una simile a quella che uso io (la mia non ce la metto perché il rischio che vada a finire nei dizionari degli hacker è grosso) sul sito mi da' 17 decilioni di anni.

non ho mai capito tutta questa preoccupazione per la sicurezza delle password. Da anni che uso internet, utilizzo il mio nome come password praticamente per tutto: email personale, email di lavoro, login di siti web, socials, forum, ecc...e non mi è mai successo nulla. Mai nessuna violazione né attacco. Mi sembrano eccessive tutte queste paure e preoccopazioni che ci mettono addosso :confused:

Immagino tu lo sappia però è un sistema americano di misura e che quindi è ricaduto su di noi. Somiglia ai piedi e ai pollici da quanto strano è.

million 10^6
billion 10^9
trillion 10^12
quadrillion 10^15 (o come si chiama)
quintillion 10^18 (o come si chiama)

da cui la fantasiosa traduzione in italiano che suppongo non esista.

un quintilione nella numerazione decimale, misura corrispondente a mille quadrilioni. :D
mi sembrano i fantastiliardi di Zio Paperone :D

La password che hai immaginato ha questa entropia. Prima di tutto le parole che hai usato sono tra le più comuni e quindi vanno molto sotto il vocabolario delle 1000 parole più comuni.

Facciamo che le tue parole siano dentro il vocabolario delle prime 500 parole elementari. I simboli che hai usato sono quelli della tastiera normale, facciamo che siano tra i 20 simboli speciali.

Calcoliamo l'entropia basandoci su questi dati:

Le "parole generiche" sono 11 mentre il "vocabolario generico" è di 500*20=10'000 simboli, quindi l'entropia è di 1 su 10^44

ovvero 2^146

Mi pare che siamo lì lì:

«considerando la velocità con cui i computer moderni possono indovinare le password, si ritiene che sia necessaria una complessità di circa 2^128 combinazioni per essere sicuri".»

Se riduciamo il numeri di simboli dai 20 a un numero un po' più piccolo e il vocabolario da 500 a un numero un po' più piccolo la tua password è fritta.


Secondo me la stai facendo un po troppo "facile", e non tieni per nulla in considerazione l hash generato da quella password.

il dizionario puó anche comprendere tutte le parole di questo mondo, ma questa$password#... genera UN hash, già solo che metto questa#password$ ne genera un altro totalmente diverso, e cosi via

Quindi anche andando per "frasi", le devi provare comunque tutte fino a trovare l esatto hash corrispondente

Edit
Ah, ovviamente noi stiamo ragionando su una password che già conosciamo
Ma se ti dicessi che la mia password è: 223db24da3abcd8176c1d8334c56115e4dd4442d tu lo sai se dentro ci sono numeri, maiuscole, caratteri speciali, se è una frase di senso compiuto...??