Hardware Upgrade Forum - View Single Post

Spadone75 · 16-05-2014, 14:52

Ciao Marcos86,

Secondo me ci sono alcune imprecisioni nelle tue affermazioni.

Ad esempio dici che 7Zip non è affidabile nella protezione delle password rispetto a WinRar. In base a cosa ?

Ad esempio 7Zip supporta cifratura AES a 256bit mentre WinRar AES 128bit....l'enorme differenza è a favore del primo.
Inoltre mentre 7Zip è opensource, WinRar è un software commerciale in versione Trial. A parte il costo da tenere in considerazione, per numerose ragioni, il più delle volte, i software opensource dovrebbero essere reputati più sicuri di quelli commerciali.
Inoltre basta cercare su google "rimuovere password Rar" per trovare Rar Password finder e centinaia di alternative per formati rar e zip.

Secondo me però la questione non è poi tanto il numero di bit del protocollo AES supportato, quanto la gestione dei dati. Spiegherò il perchè.
Si può montare la porta blindata più spessa e resistente al mondo, ma essa sarà inutile se i cardini e le pareti circostanti sono deboli.

Con il sistema empirico di salvare i dati in file txt cifrati in un archivio compressi, l'elenco delle password sarà in chiaro su un file txt nella memoria Ram ed inoltre ben visibile a video...

Da ciò scaturiscono due debolezze palesi e non risolvibili :

1) Qualsiasi keylogger, o software che può catturare screenshot o malware che può accedere alla clipboard o anche chiunque possa accedere da remoto al PC (si pensi ad esempio a come funziona Teamviewer) potrà carpire tutte le informazioni al momento in cui esse verranno decifrate per poter essere consultate, copiate ed incollate.

2) Essendo le informazioni necessariamente mostrate a video, potrebbero essere rubate da occhi o videocamere indiscrete. Ad esempio quando si è in compagnia di qualcuno o anche in un internet point.

Dicevo poi che il numero di bit della chiave di cifratura è importante ma non necessariamente l'unico aspetto indicativo della sicurezza.

Ad esempio Axcrypt che menzionavo nel mio post precedente offre protezione AES 128bit al pari di WinRar.
Tuttavia esso è molto più sicuro per altre ragione tra cui

1) l'implementare un contatore contro attacchi bruteforce (raggiunto un certo numero di tentativi falliti, i dati verranno cancellati o resi inaccessibili)
2)
Una gestione più sicura dei dati (impossibile trascriiverli involontariamente nel file di paging)
3)
L'implementazione di uno shredder che cancella in maniera sicura i dati aperti e visibili, appena essi vengono chiusi.
4) I file criptati che vengono aperti per essere letti, appena chiusi vengono automaticamente re-criptati senza necessità di digitare nuovamente la password.

Detto questo, mi ripeto nel dire che offre molta più protezione la gestione delle password tramite stumenti come keepass o Lastpass.

A mio modesto parare Lastpass ancora più sicuro rispetto a keepass in quanto libera dal dover conservare i propri dati sensibili su un Hard Disk o una pendrive. Le password sono accessibili da qualunque macchina e qualsiasi luogo connesso, protette sempre nella stessa maniera, a prova di keyloggers e senza alcun trasporto materiale di penne usb.
Inoltre, essendoci la possibilità di creare un file con le proprie password, nulla impedisce di salvare e aggiornare tale file periodicamente, tenendolo poi in luogo sicuro.

16-05-2014, 14:52	#13
Spadone75 Junior Member Iscritto dal: Feb 2014 Messaggi: 27	Ciao Marcos86, Secondo me ci sono alcune imprecisioni nelle tue affermazioni. Ad esempio dici che 7Zip non è affidabile nella protezione delle password rispetto a WinRar. In base a cosa ? Ad esempio 7Zip supporta cifratura AES a 256bit mentre WinRar AES 128bit....l'enorme differenza è a favore del primo. Inoltre mentre 7Zip è opensource, WinRar è un software commerciale in versione Trial. A parte il costo da tenere in considerazione, per numerose ragioni, il più delle volte, i software opensource dovrebbero essere reputati più sicuri di quelli commerciali. Inoltre basta cercare su google "rimuovere password Rar" per trovare Rar Password finder e centinaia di alternative per formati rar e zip. Secondo me però la questione non è poi tanto il numero di bit del protocollo AES supportato, quanto la gestione dei dati. Spiegherò il perchè. Si può montare la porta blindata più spessa e resistente al mondo, ma essa sarà inutile se i cardini e le pareti circostanti sono deboli. Con il sistema empirico di salvare i dati in file txt cifrati in un archivio compressi, l'elenco delle password sarà in chiaro su un file txt nella memoria Ram ed inoltre ben visibile a video... Da ciò scaturiscono due debolezze palesi e non risolvibili : 1) Qualsiasi keylogger, o software che può catturare screenshot o malware che può accedere alla clipboard o anche chiunque possa accedere da remoto al PC (si pensi ad esempio a come funziona Teamviewer) potrà carpire tutte le informazioni al momento in cui esse verranno decifrate per poter essere consultate, copiate ed incollate. 2) Essendo le informazioni necessariamente mostrate a video, potrebbero essere rubate da occhi o videocamere indiscrete. Ad esempio quando si è in compagnia di qualcuno o anche in un internet point. Dicevo poi che il numero di bit della chiave di cifratura è importante ma non necessariamente l'unico aspetto indicativo della sicurezza. Ad esempio Axcrypt che menzionavo nel mio post precedente offre protezione AES 128bit al pari di WinRar. Tuttavia esso è molto più sicuro per altre ragione tra cui 1) l'implementare un contatore contro attacchi bruteforce (raggiunto un certo numero di tentativi falliti, i dati verranno cancellati o resi inaccessibili) 2) Una gestione più sicura dei dati (impossibile trascriiverli involontariamente nel file di paging) 3) L'implementazione di uno shredder che cancella in maniera sicura i dati aperti e visibili, appena essi vengono chiusi. 4) I file criptati che vengono aperti per essere letti, appena chiusi vengono automaticamente re-criptati senza necessità di digitare nuovamente la password. Detto questo, mi ripeto nel dire che offre molta più protezione la gestione delle password tramite stumenti come keepass o Lastpass. A mio modesto parare Lastpass ancora più sicuro rispetto a keepass in quanto libera dal dover conservare i propri dati sensibili su un Hard Disk o una pendrive. Le password sono accessibili da qualunque macchina e qualsiasi luogo connesso, protette sempre nella stessa maniera, a prova di keyloggers e senza alcun trasporto materiale di penne usb. Inoltre, essendoci la possibilità di creare un file con le proprie password, nulla impedisce di salvare e aggiornare tale file periodicamente, tenendolo poi in luogo sicuro.