Password complesse? Meglio le frasi, secondo l'FBI

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...fbi_87283.html

L'FBI diffonde un comunicato in cui afferma che è meglio utilizzare frasi come password, piuttosto che password corte e complesse. Una questione di facilità di memorizzazione, ma anche di maggiore difficoltà nel craccare password lunghe

Click sul link per visualizzare la notizia.

[Yramrag]

Brava redazione
correct horse battery staple

[Hiei3600]

Adesso prendo l'intero testo di questo articolo e lo uso come password

[zappy]

Quote:

Originariamente inviato da Yramrag

Brava redazione
correct horse battery staple

quel sito è stato oggetto di data breach...

[frank8085]

certo che se la gente si basa su questo consiglio siamo fot anche piu di quanto già lo siamo ora

puntualmente poi vanno a scegliere dati anagrafici o cose ricavabili semplicemente conoscendo la persona quindi ben che vada non mi serve neanche il dizionario

a peggiorare la gravità dell'articolo è questa parte:

Quote:

sicurezza all'interno delle aziende

se per i server gli admin di turno si affidassero a questo veramente possiamo quasi spararci.

forse non è una coincidenza che FBI voglia diffondere queste falsità, dopotutto sono loro che godrebbero dall'inserimento di backdoor negli algo di crittografia

[Piedone1113]

Quote:

Originariamente inviato da frank8085

certo che se la gente si basa su questo consiglio siamo fot anche piu di quanto già lo siamo ora

puntualmente poi vanno a scegliere dati anagrafici o cose ricavabili semplicemente conoscendo la persona quindi ben che vada non mi serve neanche il dizionario

a peggiorare la gravità dell'articolo è questa parte:

se per i server gli admin di turno si affidassero a questo veramente possiamo quasi spararci.

forse non è una coincidenza che FBI voglia diffondere queste falsità, dopotutto sono loro che godrebbero dall'inserimento di backdoor negli algo di crittografia

Frasi di senso compiuto come:
mi_piace_ricordare_la_mia_password
è molto più solida di ttr54tfg@vattelapesca
semplicemente perchè ha più dati.
Superata una certa lunghezza della password usare o meno caratteri speciali è ininfluente dato che per ora o scovano qualche bug nel sistema ( e quindi puoi usare qualsiasi password che è ininfluente), oppure dovranno rifarsi al brute force scansionando tutti i caratteri possibili.
Io da parte mia consiglio:
@(data importante nel formato numer-lettere-numero)(nome di un caro con iniziale maiuscola)(scadenza password num-lett-num)
Pe:
@13Novembre2020Pasquale31Aprile2020
Abbastanza lunga, presenza di caratteri speciali ( anche più di uno volendo per poter dividere i vari campi: @13Novembre020!Pasquale£31Aprile2020) , numeri, maiuscole minuscole e promemoria per cambiarla

[massi47911]

C'è da dire che moltissimi servizi ove il livello di sicurezza deve essere elevato (banche, spid ecc.) limitano la lunghezza delle password a 16 caratteri. Permettessero almeno 24 caratteri, in modo da compensare la semplicità delle parole...(ma dove sono finiti i cari, vecchi attacchi basati sul dizionario?)

Comunque keepass e passa la paura.

[Erotavlas_turbo]

I suggerimenti presenti nell'articolo sono corretti, tuttavia la scelta di una password robusta non mette al riparo da attacchi e fughe di dati di database dove le password sono salvate in chiaro senza hash.
La soluzione è di utilizzare, quando disponibile, l'autenticazione a due fattori 2FA in cui il secondo fattore non è SMS (insicuro attacco SS7), ma un autenticatore open source: andOTP (android), authenticator (iOS) e authenticator estensione (firefox, brave, chrome, etc.) link.
Infine, vista l'impossibilità di ricordare N password ad elevata entropia, meglio utilizzare un gestore di password open source come bitwarden o lockwise link.

[essegi]

a me vien da scrivere una frase che comincia per W e finisce per a ... ripetendola più volte perché è di 7 lettere...
ma forse la sceglieranno in molti...

[jepessen]

Quando devo creare delle password da ricordare a mente utilizzo principalmente due metodi.

Il primo e' quello della passphrase, ovvero prendo due/tre parole normali e le separo da caratteri speciali, prima e dopo, ad esempio

@telefono@casa@

Quando devo fare password corte, per qualsiasi motivo (tipo programmi del ca@@o che limitano la lunghezza delle password), prendo una frase di senso compiuto, oppure una rima di una canzone, e prendo la prima lettera di ogni parola, mettendo caratteri speciali prima e dopo (o quando finisce la riga nel caso delle canzoni), tipo

@qrdldc@ (quel ramo del lago di como)

Quando posso invece uso KeePass per gestire le password, che me le crea e me le gestisce tranquillamente, e devo solamente ricordare la master, che ovviamente e' robusta (e' del secondo tipo, con una frase piu' lunga).

[YellowT]

Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?

[omerook]

A me fanno sorridere i caratteri speciali. Per noi sono uno spaccacervelli da ricordare ma per un elaboratore che attacca sono numeri come altri. Meglio le frasi magari in dialetto, escono cose da 30 caratteri facili da ricordare e li buon divertimento per l'attaccante.

[biffuz]

Conosco davvero uno che usa come password 123456 e non vuole cambiarla.

[frank8085]

Quote:

Sarebbe così difficile creare un bruteforcing basato su dizionario?

nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche

l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari

Quote:

Conosco davvero uno che usa come password 123456 e non vuole cambiarla.

appunto chi la vuole cambiare? :xd

è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo

[omerook]

Si ma non esiste un solo dizionario al mondo . Quale usi? Poi le parole le puoi personalizzare e li non C'è dizionario al mondo che le contenga.

Ilgatttosimangialagattta

credo sia più forte della tua ma si ricorda molto facilmente

[marcram]

Quote:

Originariamente inviato da frank8085

nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche

l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari


appunto chi la vuole cambiare? :xd

è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo

Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...
La password, per forzarla, devi indovinarla tutta intera in un colpo...
Non c'è modo di sapere se ci sono tre lettere consecutive, e solo dopo decidere di usare un dizionario...

[Darkon]

Scusate ma perché usare software e casini vari quando google ha il servizio che non solo genera password complesse e in numero infinito, sempre diverse e se le ricorda per te?!

Più semplice di così...

[omerook]

Quote:

Originariamente inviato da marcram

Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...
...

Anche perché così potrei fare i bruteforce a mano

[frankie]

my 2c
Certo si possono fare i bruteforce con le parole, ma trovato il problema, trovata la soluzione

Passw0rdKeyw0rdM0tdepass

Tre lingue e le parole non sono tali.
Comunque esistono anche le non parole. Cioè sequenze di grafemi o sillabe grammaticalmente legali, ma che non hanno un significato.

[cronos1990]

Quote:

Originariamente inviato da Darkon

Scusate ma perché usare software e casini vari quando google ha il servizio che non solo genera password complesse e in numero infinito, sempre diverse e se le ricorda per te?!

Più semplice di così...

Le password generate "casualmente"... non sono casuali.
Qualunque password, ma in generale qualunque sequenza di caratteri, generate da un "computer" (che sia quello tuo di casa, i server google, il cellulare, la PS4 o il Commodore-64 di tuo nonno che ancora funziona) si basano su un algoritmo, o programma che dir si voglia.
E qualunque algoritmo è basato su delle funzioni, tendenzialmente di natura matematica, che per loro natura generano quei caratteri su quelle funzioni matematiche, quindi riconducibili ad un preciso schema logico. Di conseguenza non c'è nulla di casuale. Programmi adeguatamente studiati possono anzichè andare solo di forza bruta, estrapolare lo schema logico dietro il quale si cela quella generazione casuale, e a quel punto sarebbe come avere la chiave di decriptazione di un codice.

Quindi è sempre meglio premere tasti a caso sulla tastiera che affidarsi a tali sistemi. Tanto per dire (chiaramente è solo la mia esperienza, non fa statistica) quando sono passato a TIM per la fibra di casa mi hanno inviato il modem e per scelta ho deciso di usarlo anche se avrei voluto prenderne uno per conto mio... ma in quel momento non volevo spenderci soldi. Ho lasciato per pigrizia la password del Wi-Fi di default, che conteneva 26 caratteri (ben oltre i 15 consigliati) che se li leggi erano apparentemente casuali.
Beh, pur tenendo nascosto l'SSID, non dando la password a nessuno, non consentendo a nessuno di connettermi alla mia rete e imponendo un accesso tramite riconoscimento dell'indirizzo MAC, dopo qualche mese ho avuto un'intrusione.


Detto ciò: io utilizzo keepass da tempo immemore ormai, devo ricordarmi una sola password (di 18 caratteri) e le altre centinaia di password in mio possesso stanno comode li. Quando serve accedo al database dall'analoga applicazione su smartphone o dal PC di casa.

PS: Se proprio devo memorizzare le mie password da qualche parte, Google è l'ultimo dei posti nel quale andrei a farlo