La sicurezza passa solo da password complicate? Microsoft dice di no

[bongo74]

se uno ha accesso fisico alla macchina la solita password di login viene bypassata con facilità

[alexdal]

Ma ancora meglio:
la mia Gallina Blu ha 18 anni quindi è Maggiorenne

diventa:

lmGBh18aqèM

si trova una frase divertente, facile da ricordare e si mettono solo le iniziali

[II ARROWS]

Interessante...

Peccato che ci sono siti che mettono un limite massimo alla lunghezza delle password... limiti come 6 o 8... e parlo di siti di carte di credito...

[cristo1976]

Per tutti i chiacchieroni che c'hanno sempre da attaccare MS, vi riporto questi due illuminanti link:

http://www.ft.com/cms/s/2/d2f3f04e-6ccf-11df-91c8-00144feab49a.html


http://windowsteamblog.com/windows/b/bloggingwindows/archive/2010/06/01/windows-and-security-setting-the-record-straight.aspx

Bisogna informarsi prima di parlare, spesso a vanvera, e confrontarsi il più possibile con gli altri: è questo il segreto della vera conoscenza e della crescita intellettuale.

PS Per la cronaca io al lavoro uso Ubuntu, a casa uso entrambi e posseggo pure un iPhone. Quindi penso di sapere di cosa parlo.

Pace e bene a tutti.

[!fazz]

Quote:

Originariamente inviato da cristo1976

Per tutti i chiacchieroni che c'hanno sempre da attaccare MS, vi riporto questi due illuminanti link:

http://www.ft.com/cms/s/2/d2f3f04e-6...44feab49a.html


http://windowsteamblog.com/windows/b...-straight.aspx

Bisogna informarsi prima di parlare, spesso a vanvera, e confrontarsi il più possibile con gli altri: è questo il segreto della vera conoscenza e della crescita intellettuale.

PS Per la cronaca io al lavoro uso Ubuntu, a casa uso entrambi e posseggo pure un iPhone. Quindi penso di sapere di cosa parlo.

Pace e bene a tutti.

pps non mi pare il caso di fare os-war, ammonizione

[cristo1976]

@!fazz

Guarda che hai completamente frainteso.

Io ho cercato di dare un contributo onesto alla questione. Tutto qui.

Le os-wars sono altre...

[gionnico]

Quote:

Originariamente inviato da cristo1976

Guarda che hai completamente frainteso.

Guarda che i tuoi link sono faziosi!

[II ARROWS]

E oltre ad essere faziosi, sono completamente non inerenti all'argomento.

[cristo1976]

In effetti mi sono incartato... Rileggendo volevo postare un'altro contributo sull'argomento, che faceva riferimento a questi due link (che però mi sono accorto di aver perso, mettendo solo i link stessi): chiedo venia.

Comunque la mia rimaneva solo una risposta a quelli che, mal informati su alcuni argomenti, attaccano senza informarsi; anch'io, pertanto, sono un difensore della sano confronto virtuale o meno.
Quindi se il mio intervento è sembrato "irritante" chiedo scusa perchè non voleva esserlo; purtroppo il "tono" di un intervento scritto, spesso è difficile renderlo per intero.
Saluti.

[riazzituoi]

.

[fraussantin]

Quote:

Originariamente inviato da riazzituoi

Ricerca alquanto limitativa, che non tiene conto di attacchi più sofisticati ( e di come sono stati ottenuti i set di password su cui si basa il loro lavoro ). Tra l'altro se non letta attentamente fa passare un messaggio sbagliato...

La passphrase non è più sicura di una password, in genere per sua stessa natura (linguaggio naturale) risulta vulnerabile a varianti di attacchi basati sulla grammatica probabilistica libera da contesto.

l'mportante e che non adottino quel chapta e come cavolo si chiama anche per l'accesso ai server per evitare i cpu spara pw.

sono una vera palla al piede.

piu volentieri un sistema di certificati tipo i chip delle carte di credito.( ovviamente digitali)

del tipo :il server ti invia un codice e il ns pc, in base ad una chiave unica rilasciata in fase di registrazione, gli risponde di conseguenza.

abbinato ad una pw normale.

e magari alla fustigazione in piazza per gli hacker

[silky.music]

keepass ftw
E per l'apertura del db, file di chiave su chiavetta usb con quadruplo backup (Non sul pc, ma in un cassetto ).

Certo, se poi devo accedere da mobile, è un po' un casino

[MiKeLezZ]

Quote:

Originariamente inviato da silky.music

keepass ftw
E per l'apertura del db, file di chiave su chiavetta usb con quadruplo backup (Non sul pc, ma in un cassetto ).

Certo, se poi devo accedere da mobile, è un po' un casino

Il top della sicurezza?

Una password per ogni sito in cui si chiedono dati di accesso, con la possibilità di utilizzare stessi login "più semplici" nei casi in cui non ci siano dati compromettenti (es. il forum del sole24ore o il login di filefront usato per scaricare le patch dei giochi).

Password più sofistica in caso di siti con accesso a dati sensibili, che sia del tipo passphrase + carattere speciale.
"la gallina è blu" è un buon inizio, ma "la gallina è blu$" è meglio (dove $ è un carattere speciale che potete scegliere voi).
Meglio di cose astruse tipo "ahidn29jdp!" cui molti sentono il bisogno di ricorrere?
Sì perchè sono 11 vs 17 caratteri, e che sia di senso pseudo-compiuto non importa, non ci sono dizionari in grado di combinare parole e caratteri speciali messi a casaccio - entrambe andranno scardinate tramite bruteforce, e lì conta solo lunghezza e set di caratteri usato.
Per una più facile memorizzazione si può usare la tematica del sito, ad esempio per il sole24ore si può usare "la finanza è una brutta bestia$". Questo limita il dover ricorrere ad un archivio poiché si è dimenticati dei dati di accesso (tanto più frequente tanti più siti visitiamo...).

Paradossalmente quello che più mina la sicurezza sono i siti stessi: login in http chiaro (si recuperano username e psw con due click), siti che limitano la lunghezza delle password a 8-10 caratteri, o che richiedono PER FORZA una domanda segreta (il che è una grossa falla: inutile usare passphrase da 17 caratteri come password se poi la risposta a questa domanda è una parola stupida come "Andrea" piuttosto che "Roma")... e in questi ultimi due casi forse è anche voluto dai gestori per ottemperare a scopi "di malafede" (come il volersi tenere una porticina socchiusa per l'accesso).

Come ricordarsi tutto? File 7zippato con AES-256 e un foglietto stampato con tutto in chiaro da mettere dietro a un quadro come backup... Purtroppo una falla da qualche parte ci deve essere!

[silky.music]

Quote:

Originariamente inviato da MiKeLezZ

Paradossalmente quello che più mina la sicurezza sono i siti stessi: login in http chiaro (si recuperano username e psw con due click), siti che limitano la lunghezza delle password a 8-10 caratteri, o che richiedono PER FORZA una domanda segreta (il che è una grossa falla: inutile usare passphrase da 17 caratteri come password se poi la risposta a questa domanda è una parola stupida come "Andrea" piuttosto che "Roma")... e in questi ultimi due casi forse è anche voluto dai gestori per ottemperare a scopi "di malafede" (come il volersi tenere una porticina socchiusa per l'accesso).

Quotone...

Le "domande di sicurezza" sono la più grossa caxxata che sia mai stata inventata imho; senza considerare la banalità di queste domande sulla maggioranza dei siti
In ogni caso, cmq, a me frega fino ad un certo punto, dato che come risposta metto comunque un mix di numeri, lettere e caratteri speciali

Per quanto riguarda keepass, so bene che ci sono le versioni mobile, ma resta sempre il problema dell'apertura del db, e qui la sicurezza si che è importante; avevo pensato ad una memory card contenente il file di chiave, inserendola all'occorrenza, ma non mi pare il massimo della comodità....

[gionnico]

Quote:

Originariamente inviato da silky.music

Quotone...

Non credo nella malafede.
Quale porticina? Le password le hanno semplicemente criptate e possono entrare anche senza password.

Al sito interessa di tenersi l'utente.

Quote:

Le "domande di sicurezza" sono la più grossa caxxata che sia mai stata inventata imho; senza considerare la banalità di queste domande sulla maggioranza dei siti
In ogni caso, cmq, a me frega fino ad un certo punto, dato che come risposta metto comunque un mix di numeri, lettere e caratteri speciali

Idem.
E quando mi scordo la password so cazzi!

Quote:

Per quanto riguarda keepass, so bene che ci sono le versioni mobile, ma resta sempre il problema dell'apertura del db, e qui la sicurezza si che è importante; avevo pensato ad una memory card contenente il file di chiave, inserendola all'occorrenza, ma non mi pare il massimo della comodità....

Meno male che uso linux. Un solo tool e mi arrangio per dispositivi fissi o mobile, con la riga di comando.

[silky.music]

Quote:

Originariamente inviato da gionnico

Non credo nella malafede.
Quale porticina? Le password le hanno semplicemente criptate e possono entrare anche senza password.

Al sito interessa di tenersi l'utente.


Idem.

ho quotato male, io mi riferivo alla parte sulle domande di sicurezza....

Quote:

Originariamente inviato da gionnico

E quando mi scordo la password so cazzi!

Ma lol
Ovviamente le risposte non corrispondono alle pw stesse

Quote:

Originariamente inviato da gionnico

Meno male che uso linux. Un solo tool e mi arrangio per dispositivi fissi o mobile, con la riga di comando.

Che tool sarebbe?

[gionnico]

cryptsetup

Lo puoi usare insieme a losetup per creare file criptati in qualsiasi filesystem.

[Eress]

Mi sono sempre affidato alle classiche stringhe abcd 1234