Ecco come Apple e Google combatteranno il riutilizzo delle password

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ord_90349.html

Strumenti facili da usare che permettano a tutti di sapere se la password che stanno usando per un determinato servizio è già stata esposta online come conseguenza di incidenti informatici: è la prossima mossa dei big della tecnologia per la sicurezza degli utenti

Click sul link per visualizzare la notizia.

[Cfranco]

tutto bello e interessante ...
Quindi l' alternativa quale sarebbe ?
un centinaio di psw tutte diverse, tutte casuali, tutte belle zeppe di caratteri speciali e che ogni 2 mesi vengono cambiate con regolarità ?
E poi per ricordarsele mi faccio un foglio excel dal titolo psw.xls e me lo metto sul desktop ?
Un bel password manager che ti tiene tutte le password al sicuro e che quando ti serve non funziona oppure è offline ?
Finché non mi faranno un innesto per attaccare un bel ssd al cranio per salvarci dentro le informazioni non vedo come un essere umano possa tenersi a mente tutte le psw se non le cataloga e riutilizza, e anche lì è comunque difficile.

[kamon]

Quote:

Originariamente inviato da Cfranco

tutto bello e interessante ...
Quindi l' alternativa quale sarebbe ?
un centinaio di psw tutte diverse, tutte casuali, tutte belle zeppe di caratteri speciali e che ogni 2 mesi vengono cambiate con regolarità ?
E poi per ricordarsele mi faccio un foglio excel dal titolo psw.xls e me lo metto sul desktop ?
Un bel password manager che ti tiene tutte le password al sicuro e che quando ti serve non funziona oppure è offline ?
Finché non mi faranno un innesto per attaccare un bel ssd al cranio per salvarci dentro le informazioni non vedo come un essere umano possa tenersi a mente tutte le psw se non le cataloga e riutilizza, e anche lì è comunque difficile.

Già...
La soluzione Per evitare di usare poche password? Costringerti a diventare rain man oppure a scriverle da qualche parte e tenerle a portata, in modo che se va bene rischi di perderle tutte insieme, senza contare che trovare pass sempre diverse, continuamente a decine o centinaia di servizi, diventa facilmente un lavoro a tempo pieno...

[cronos1990]

Quote:

Originariamente inviato da Cfranco

tutto bello e interessante ...
Quindi l' alternativa quale sarebbe ?
un centinaio di psw tutte diverse, tutte casuali, tutte belle zeppe di caratteri speciali e che ogni 2 mesi vengono cambiate con regolarità ?
E poi per ricordarsele mi faccio un foglio excel dal titolo psw.xls e me lo metto sul desktop ?
Un bel password manager che ti tiene tutte le password al sicuro e che quando ti serve non funziona oppure è offline ?
Finché non mi faranno un innesto per attaccare un bel ssd al cranio per salvarci dentro le informazioni non vedo come un essere umano possa tenersi a mente tutte le psw se non le cataloga e riutilizza, e anche lì è comunque difficile.

Basta un programma come Keepass (che uso io) o analoghi. Programma scaricabile gratuitamente, utilizzabile offline. Faccio così da anni, l'unica password che mi devo ricordare è quella per accedere al database delle password.

A me non pare nulla di complicato o laborioso, l'unica cosa è avere un minimo di voglia per aggiornarlo quando si crea un nuovo account con password, qualunque sia il servizio.

Quote:

Originariamente inviato da kamon

senza contare che trovare pass sempre diverse, continuamente a decine o centinaia di servizi, diventa facilmente un lavoro a tempo pieno...

Non è vero neanche questo.

Non ti abboni a 70 servizi alla volta, ma uno ogni tanto, per cui già di per se nulla di complesso. Se proprio poi vuoi essere il più lavativo possibile, sfrutti il sistema di generazione password compreso nei programmi di gestione password e ti limiti a cambiare 2-3-4 caratteri qua e là per essere sicuro (generare la password con un algoritmo la mette a rischio di essere trovata se si scopre come funziona l'algoritmo).


Il problema delle password non è complicato nè oneroso. La verità è che si tratta di una rottura di scatole, quello è il vero motivo per cui la gente non ci vuole perdere tempo. Ma crearsi una password ogni volta diversa e avere un sistema rapido ed efficace di archiviazione delle stesse richiede ben poco tempo ed energie. E' la volontà che manca.

[kamon]

Quote:

Originariamente inviato da cronos1990

Basta un programma come Keepass (che uso io) o analoghi. Programma scaricabile gratuitamente, utilizzabile offline. Faccio così da anni, l'unica password che mi devo ricordare è quella per accedere al database delle password.

A me non pare nulla di complicato o laborioso, l'unica cosa è avere un minimo di voglia per aggiornarlo quando si crea un nuovo account con password, qualunque sia il servizio.

Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?

Quote:

Originariamente inviato da cronos1990

Non è vero neanche questo.

Non ti abboni a 70 servizi alla volta, ma uno ogni tanto, per cui già di per se nulla di complesso. Se proprio poi vuoi essere il più lavativo possibile, sfrutti il sistema di generazione password compreso nei programmi di gestione password e ti limiti a cambiare 2-3-4 caratteri qua e là per essere sicuro (generare la password con un algoritmo la mette a rischio di essere trovata se si scopre come funziona l'algoritmo).


Il problema delle password non è complicato nè oneroso. La verità è che si tratta di una rottura di scatole, quello è il vero motivo per cui la gente non ci vuole perdere tempo. Ma crearsi una password ogni volta diversa e avere un sistema rapido ed efficace di archiviazione delle stesse richiede ben poco tempo ed energie. E' la volontà che manca.

Si, io sono uno scansa fatiche ed anche un po paranoico quando si tratta di sicurezza web, lo ammetto, ma non mi fido neanche dei generatori automatici di password che per quanto ne so, come la hanno data a me, potrebbero avere un sistema per immagazzinarle da qualche parte a vantaggio di chissà chi, cambiare 3-4 caratteri soltanto mi sembra solo una maniera per confonderti ancora di più, credi che la pass sia una e non ti ricordi di averla cambiata quel tanto che basta per renderla inutilizzabile...
Poi la questione non è abbonarsi a molte cose tutte insieme, ma le cose a cui sei registrato si accumulano negli anni e se facessero tutte il discorso del cambio frequente di pass diventerebbe un casino.

[LordGine]

Io utilizzo Firefox lockwise come gestore password (comodissimo su Android) e sempre Firefox ha il servizio Firefox monitor/ che ti dice quali siti/servizi sono stati esposti ad attacchi e nel caso dovessero succedere su email che gli hai associato ti avvisa appena la notizia viene resa nota.
Lockwise (come la maggior parte di questi servizi) ti permette anche di generare password casuali e tenersele memorizzate, quindi anche il problema di inventarne di nuove non esiste più.

[atomico82]

Quote:

Originariamente inviato da kamon

Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?

se usi la versione offline, il rischio è 0. Se usi invece qualche sistema online come lastpass hai da una parte la comodità di avere tutto sincronizzato tra dispositivi, ma ovviamente ti poni a più rischi. Però secondo me meglio avere uno di questi servizi che avere la stessa password su tutti i siti. E' molto più facile che riescono ad hackerare www.ilsitodellamarmotta.it che uno di questi colossi.

[cronos1990]

Quote:

Originariamente inviato da kamon

Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?

Il programma già di per se neanche necessita di installazione, volendo lo puoi tenere su una chiavetta e non averne traccia nel registro di Windows. Il database è cifrato, per cui anche quello non è un problema. Ti quoto dal sito:

Quote:

KeePass è disponibile in due diverse versioni di sicurezza per scegliere il livello di protezione desiderato. Avrai la possibilità di scegliere tra 2 algoritmi di crittografia per:
• una sicurezza tramite crittografia AES (chiave a 256 bit)
• una sicurezza tramite crittografia TwoFish (chiave a 256 bit + blocchi a 1di 28 bit)
Questi 2 metodi di crittografia sono attualmente i migliori sul mercato per tutti gli usi di dominio pubblico e professionale. Tuttavia, lo sappiamo bene, le carenze di sicurezza provengono di frequente dai sistemi operativi anche se, fortunatamente, KeePass è multipiattaforma.

Fonte: https://keepass.it/

Di programmini del genere ce ne sono diversi, tutti piuttosto efficaci. Poi come sempre dipende da come questi programmi vengono utilizzati, il problema principale rimane sempre quello che fa l'utente.
Io per esempio faccio un uso del mio database con un rischio evitabile (ovviamente non ti sto a dire quale di preciso), ma che mi consente una fruizione del database di un certo tipo cui non posso fare a meno. Quella però è una mia scelta ben precisa, di cui sono consapevole.

[LordGine]

Quote:

Originariamente inviato da kamon

Non so come funziona ma, se qualcuno avesse la pass o magari esistesse una backdoor non sarebbe un rischio assurdo?

Ovviamente non ci salvi sopra la password bancarie, ma è comunque più sicuro ricordarsi una master key fatta bene piuttosto che sempre la stessa alla quale si cambia un numero o un carattere. Se poi malauguratamente dovessero accedervi... Amen, mi leggeranno i messaggi di facebook e vedranno gli ordini di qualche negozio online.

[cronos1990]

Quote:

Originariamente inviato da kamon

Si, io sono uno scansa fatiche ed anche un po paranoico quando si tratta di sicurezza web, lo ammetto, ma non mi fido neanche dei generatori automatici di password che per quanto ne so, come la hanno data a me, potrebbero avere un sistema per immagazzinarle da qualche parte a vantaggio di chissà chi, cambiare 3-4 caratteri soltanto mi sembra solo una maniera per confonderti ancora di più, credi che la pass sia una e non ti ricordi di averla cambiata quel tanto che basta per renderla inutilizzabile...
Poi la questione non è abbonarsi a molte cose tutte insieme, ma le cose a cui sei registrato si accumulano negli anni e se facessero tutte il discorso del cambio frequente di pass diventerebbe un casino.

Come dicevo, i generatori di password non sono basati su dei database pregenerati cui attingono, e che poi ti passano.
Le password che ti fornisce sono generate da precisi algoritmi matematici, cui spesso fanno riferimento a valori recuperati da varie fonti per cercare di renderle il più possibili casuali. Questo perchè, essendo un calcolo matematico a fornirle, nessuna password è veramente casuale, perchè appunto determinata da delle formule. Per questo spesso vengono generate partendo da valori "incerti": come, banalmente, la data del PC, o la temperatura della CPU rivelata dai sensori del PC (sono esempi per far capire).

Per cui, quando mi capita di generare una password con questi sistemi, mi limito a cambiare qualche valore "a mano", in genere 3-5 valori per stare sicuro.

Banalmente, è il motivo principale per cui si "crakkava" con una certa facilità le copie di Windows 95-98. Il codice a 25 cifre per registrare il prodotto dipendeva da un algoritmo, e spesso le copie piratate fornivano una lista di codici potenzialmente validi, di cui alcuni ti permettevano di attivare la copia.

[Zuz]

Un’altra piaga tremenda da combattere sono i sistemi che impongono di cambiare la password ogni tot mesi, obbligando l’utente a usare password stupide per cambiarle facilmente.

[Cfranco]

Quote:

Originariamente inviato da cronos1990

Basta un programma come Keepass (che uso io) o analoghi.

Eccerto
Perché ovviamente mi porto sempre dietro il pc con dentro il programma

Anzi mi porto la chiavetta, così quando arrivo allo sportello me la infilo nel naso e lancio il programma per recuperare la password

Non sempre hai a disposizione un pc e/o un collegamento a internet e a volte manco il telefono.
Quella è una soluzione che va bene solo in alcuni casi e in quei casi ci sono tante altre soluzioni altrettanto efficaci

[pabloski]

Quote:

Originariamente inviato da Cfranco

Eccerto
Non sempre hai a disposizione un pc e/o un collegamento a internet e a volte manco il telefono.

Ok per il pc, ma se non hai il collegamento ad internet, di che password stiamo parlando?

Non è che puoi accedere ad un servizio online, senza essere connesso ad internet.

[cronos1990]

Quote:

Originariamente inviato da Cfranco

Eccerto
Perché ovviamente mi porto sempre dietro il pc con dentro il programma

Anzi mi porto la chiavetta, così quando arrivo allo sportello me la infilo nel naso e lancio il programma per recuperare la password

Non sempre hai a disposizione un pc e/o un collegamento a internet e a volte manco il telefono.
Quella è una soluzione che va bene solo in alcuni casi e in quei casi ci sono tante altre soluzioni altrettanto efficaci

Uscita del tutto fuori luogo.

La stragrande maggioranza di quello che fai con le password, le fai col PC. Quindi quando sei "fuori" il fatto di non avere il database è irrilevante. Poi, ripeto: un programma come keepass non ha bisogno di installazione, volendo ti puoi tenere programma e database su una banale chiavetta USB e la puoi usare ovunque.
Con una chiavetta USB hai sempre tutto a portata di mano, non ti crea problemi di spazio (fisico), la puoi usare ovunque.

Se poi ti piace fare il "tecnologico", o hai bisogno di averlo a portata di mano senza usare un PC, il database è anche usabile tramite programma su smartphone. Utilizzabile offline, perchè basta aver sincronizzato il database una volta (o l'ultima volta che lo hai aggiornato).

Non c'è niente di complicato, astruso o laborioso da fare. Le soluzioni ci sono, molte sono pratiche e per nulla complicate da usare. Come detto: il problema è la pigrizia della gente.

[Cfranco]

Quote:

Originariamente inviato da cronos1990

La stragrande maggioranza di quello che fai con le password, le fai col PC.

Non sempre
E se anche c' è non è detto che sia il tuo, che tu possa installare o anche solo attaccarci una chiavetta USB ( tipo il portatile aziendale blindato )
Il password manager ce l' ho, e posso assicurarti che a volte è più una seccatura che un aiuto

Quote:

Originariamente inviato da pabloski

Ok per il pc, ma se non hai il collegamento ad internet, di che password stiamo parlando?

Non è che puoi accedere ad un servizio online, senza essere connesso ad internet.

Prova a trovarti a dover mettere user e psw sul chiosco al distretto sanitario

O quella volta che user e psw ho dovuto scriverli su carta per fare una richiesta

[jepessen]

Ma e' cosi' difficile imparare ad utilizzare un password manager come KeePass, che tutti si lamentano della difficolta' di memorizzare decine di password diverse?

Ne impari solamente una, quella del profilo del password manager, e poi tramite lui si creano e si utilizzano tutte le password che si vuole. Ci sono un sacco di programmi e servizi che permettono di utilizzarle anche su dispositivi diversi e con sistemi operativi diversi.

Per quelli che si lamentano di doversi portare la chiavetta appresso, possono tranquillamente utilizzare il servizio/programma anche sullo smartphone.

Personalmente ho il file di keepass memorizzato su onedrive, e ci accedo da qualsiasi dispositivo, anche in giro, senza nessun problema.

[pabloski]

Quote:

Originariamente inviato da Cfranco

Prova a trovarti a dover mettere user e psw sul chiosco al distretto sanitario

Ehm no un attimo. Tu avevi scritto

Quote:

Originariamente inviato da Cfranco

Non sempre hai a disposizione un pc e/o un collegamento a internet

Ma il chiosco il collegamento ce l'ha.

Quote:

Originariamente inviato da Cfranco

O quella volta che user e psw ho dovuto scriverli su carta per fare una richiesta

A casa tua lo smartphone non va di moda?

[ziozetti]

Quote:

Originariamente inviato da Cfranco

Prova a trovarti a dover mettere user e psw sul chiosco al distretto sanitario

Penna e mano sinistra (se sei mancino penna e mano destra).
E se devi cambiare la password basta un po' di sapone!

[Erotavlas_turbo]

Lesspass, nessuna memorizzazione o sincronizzazione delle password ne in locale ne in cloud. Occorre solo ricordarsi la master password e lesspass genera in automatico le varie password per i siti web (intrinsecamente più sicuro di bitwarden e keepass).

[Cfranco]

Quote:

Originariamente inviato da pabloski

Ma il chiosco il collegamento ce l'ha.

Lui ce l' ha ma tu non puoi usarlo

Quote:

Originariamente inviato da pabloski

A casa tua lo smartphone non va di moda?

Guarda mi è capitato giusto mezz' ora, ho acceso il pc e ho dovuto sbloccarlo con la password, per fortuna la sapevo a memoria, perché se avessi dovuto recuperarla ovviamente non avrei potuto usare il pc e magari avrei dovuto usare lo smartphone e copiare a mano qualcosa tipo p,'%WRzn27GwDd'$ copiandolo dallo schermo del telefono, non esattamente una comodità