Le 25 password peggiori del 2015

[paditora]

Quote:

Originariamente inviato da Alessio.16390

Personalmente, a me, Hotmail-Libero-PayPal-eBay-Snai mi han chiesto di cambiare la password, e questo messaggio viene fuori con ricorrenza ogni 2-3mesi.
Inoltre ricordo molto bene, di un caso, eBay che, circa 2-3 anni fà, mi chiese proprio, senza dare possibilità di NONFARLO, di cambiarla, circa la sicurezza.
Molti software che gestiscono forum (vBulletin/MyBB/phpBB) fanno la stessa cosa, chi è registrato da tanto, QUASISEMPRE gli viene mostrato un messaggio con sù la richiesta del cambio password.

Bè non uso ebay per cui non so del cambio ricorrente di password.
Per esperienza personale ci sono una decina di password di vari forum che frequento e non l'ho mai cambiata.
Sono iscritto anche a facebook (anche se poi non ci entro mai) e anche quella mai cambiata.
Sono iscritto su Amazon da 3-4 anni e anche li mai cambiata.
Sto cambio password obbligatorio ogni 2-3 mesi nei siti che frequento io non mi è ancora mai capitato.

[maxnaldo]

Quote:

Originariamente inviato da paditora

Bè non uso ebay per cui non so del cambio ricorrente di password.
Per esperienza personale ci sono una decina di password di vari forum che frequento e non l'ho mai cambiata.
Sono iscritto anche a facebook (anche se poi non ci entro mai) e anche quella mai cambiata.
Sono iscritto su Amazon da 3-4 anni e anche li mai cambiata.
Sto cambio password obbligatorio ogni 2-3 mesi nei siti che frequento io non mi è ancora mai capitato.

non tutti lo fanno, ma è un trend in crescita. Qualche anno fa non lo faceva proprio nessuno, ora quasi ovunque le password hanno una scadenza.

se non cambi mai la password rendi la vita più facile ai malintenzionati, e di solito un account violato si trasforma in un problema per le aziende, che come minimo devono risolvere il problema a causa della richiesta di assistenza del cliente. Quindi visto che il cliente da solo non si sognerebbe mai di cambiare la password ogni tanto, lo obbligano a farlo.

poi è chiaro, siti amatoriali, forum e community non professionali, non hanno alcuna assistenza e nessuna scadenza password, e quindi se ti violano l'account sono cavoli tuoi. Ma di solito questi siti non sono nel mirino del malintenzionato, che probabilmente punterà verso altre cose.

[paditora]

Scusa ma invece di fare sto casino col cambio password ogni 4-5-6 mesi non possono fare una cosa più semplice?
Sbagli la password per un tot di volte di seguito e ti bloccano l'account.
Per esempio sul sito di tim.it (dove sono iscritto per controllare le bollette) hai 5 tentativi consecutivi. Se li sbagli non puoi più accedere e poi per sbloccarti l'account non so cosa devi fare.
Succede uguale per il bancomat o per il pin su una scheda sim non è che puoi provare infinite volte.
Tanto scusa metti che la cambi oggi l'hacker ha 4 mesi di tempo per trovarti la nuova password per cui a voglia a tempo che ha per trovarla
Cavolo serve quindi sto continuo cambio.
E poi cmq almeno per me è una rottura di scatole ogni 4 mesi memorizzarti una nuova password.
Se dovesse capitarmi smetterei di frequentare il sito che lo richiede.

[Danilo7]

Quote:

Originariamente inviato da paditora

Bè non uso ebay per cui non so del cambio ricorrente di password.
Per esperienza personale ci sono una decina di password di vari forum che frequento e non l'ho mai cambiata.
Sono iscritto anche a facebook (anche se poi non ci entro mai) e anche quella mai cambiata.
Sono iscritto su Amazon da 3-4 anni e anche li mai cambiata.
Sto cambio password obbligatorio ogni 2-3 mesi nei siti che frequento io non mi è ancora mai capitato.

Il cambio obbligatorio della password di Ebay fu causato dalla vulnerabilità Heartbleed (link)

[maxnaldo]

Quote:

Originariamente inviato da paditora

Scusa ma invece di fare sto casino col cambio password ogni 4-5-6 mesi non possono fare una cosa più semplice?
Sbagli la password per un tot di volte di seguito e ti bloccano l'account.
Per esempio sul sito di tim.it (dove sono iscritto per controllare le bollette) hai 5 tentativi consecutivi. Se li sbagli non puoi più accedere e poi per sbloccarti l'account non so cosa devi fare.
Succede uguale per il bancomat o per il pin su una scheda sim non è che puoi provare infinite volte.
Tanto scusa metti che la cambi oggi l'hacker ha 4 mesi di tempo per trovarti la nuova password per cui a voglia a tempo che ha per trovarla
Cavolo serve quindi sto continuo cambio.
E poi cmq almeno per me è una rottura di scatole ogni 4 mesi memorizzarti una nuova password.
Se dovesse capitarmi smetterei di frequentare il sito che lo richiede.

l'hacker non si basa su tentativi di BruteForce, sa che è possibile ci sia un blocco dopo pochi tentativi o perlomeno un avviso di "tentativi fraudolenti".
Faccio un esempio, per una falla di sicurezza riesce magari a bucare il server di un sito del "Club di Tennis", e a prendersi il db degli accounts degli utenti, dove ci sono emails e passwords in chiaro (figurati se il gestore del sito del club ha usato una cifratura), sa che nel 90% dei casi gli utenti usano sempre la solita password, e non la cambiano mai. Quindi va sul sito della tua casella di posta e utilizza la stessa password che tu non cambi da 5 anni. Da lì leggerà poi le emails di accounts vari a tutto ciò a cui sei iscritto e avrà la strada spianata.

[zappy]

Quote:

Originariamente inviato da Alessio.16390

...
Chi più, chi meno, hanno apportato giustamente delle misure preventive per il brute force:

-Almeno un numero / Almeno una lettera
-Almeno una Maiuscola
-Almeno 8 caratteri
-Almeno un simbolo 'speciale'

in realtà ho anche letto del fatto che questo genere di pass sono solo complicate da ricordare ma non così "sicure".

è (sarebbe) più sicura una sequenza di parole scritte tutte minuscole ma molto lunga tipo "una sequenza di parole scritte tutte minuscole ma molto lunga"

[Alessio.16390]

La questione del blocco dopo X tentativi, la si ha praticamente "solo" lato web,

molti molti se non tutti i cms di punta, integrano un sistema del genere,
sbagli 5 volte la password, devi attendere 5min;
sbagli altri 3 volte, devi attendere 15min;
risbagli ancora 3 volte, e sono 30min di attesa.

Così facendo i brute force sono praticamente impossibili da eseguire.

Chi non ha integrato un sistema del genere,
invece, adotta il famoso captcha,
es. Google che tutti abbiamo,
con Gmail, dopo X tentativi errati, devi confermare di non essere un "bot" andando ad inserire un captcha, ogni tentativo ha un captcha diverso, un sistema automatico di brute force è costretto a fermarsi dato che non può interpretare la richiesta fatta da google.

Ma, questo per lo può come dicevo, lato web.

Lato demoni/so non è così.
Quasi tutti i demoni FTPd di punta non hanno un controllo abilitato di default, e puoi fare tranquillamente un brute force, cosi come i demoni sshd, pop3, mysqld.

Chiaro, se un sysadmin è capace, in molti demoni, vedi ProFTPD, PureFTPD, Wu-FTPD, vsFTPD ci sono moduli da abilitare, tipo mod_ban per ProFTPD che andrebbero ad integrare un sistema di
dopo X tentativi ban y tempo.
Ma di default, non vi è.

Per questo è meglio avere una password contenente caratteri speciali ed inserire maiuscole e minuscole, il tempo di brute force si alza di tanto, molto.

Il discorso di zappy è valido se si parla di 'crackare' un hash.

[maxnaldo]

Quote:

Originariamente inviato da zappy

in realtà ho anche letto del fatto che questo genere di pass sono solo complicate da ricordare ma non così "sicure".

è (sarebbe) più sicura una sequenza di parole scritte tutte minuscole ma molto lunga tipo "una sequenza di parole scritte tutte minuscole ma molto lunga"

la sicurezza, riguardo ad un BruteForce, non sta tanto nel tipo di password quanto nel set di caratteri utilizzati e la sua lunghezza.

prendiamo una password lunga 6 caratteri ad esempio:

se utilizzi solo caratteri minuscoli hai circa 308 milioni di combinazioni possibili.
se usi anche le maiuscole hai più di 19 miliardi di combinazioni possibili.
se ci aggiungi anche numeri e punteggiatura è chiaro che il numero di combinazioni sale esponenzialmente (numero simboli elevato alla lunghezza password).

tuttavia la capacità di elaborazione di CPU e GPU attualmente è in grado di macinare migliaia (se non milioni) di combinazioni al secondo (usando un singolo pc), quindi è chiaro che oggi una password di soli 6 caratteri di lunghezza è da considerarsi "insicura".

meglio password di almeno 12 caratteri alfanumerici, cioè maiuscole+minuscole+numeri+simboli punteggiatura.

una password composta da soli caratteri minuscoli diventa sicura se la sua lunghezza aumenta significativamente, nel tuo esempio una frase molto lunga può anche andar bene, hai la comodità di poterla ricordare più facilmente, però sarà molto scomoda ogni volta che dovrai digitarla manualmente. Meglio una più corta ma che utilizza un set di caratteri più esteso. Una di 12 cifre alfanumeriche ha un numero di combinazioni possibili che non riesco nemmeno a scrivere, miliardi di miliardi di miliardi di miliardi...ecc... Prova con una calcolatrice scientifica a fare una cosa tipo: 80 elevato alla 12ma. Il numero 80 l'ho messo come esempio, prendendo 52 caratteri per maiuscole+minuscole, aggiungine 10 per i numeri, più mettiamocene un'altra ventina per simboli punteggiatura e caratteri speciali.

ps. un BruteForce non si fa online, sul sito web dell'account, serve per decifrare passwords di cui hai un hash.

[paditora]

Quote:

Originariamente inviato da maxnaldo

l'hacker non si basa su tentativi di BruteForce, sa che è possibile ci sia un blocco dopo pochi tentativi o perlomeno un avviso di "tentativi fraudolenti".
Faccio un esempio, per una falla di sicurezza riesce magari a bucare il server di un sito del "Club di Tennis", e a prendersi il db degli accounts degli utenti, dove ci sono emails e passwords in chiaro (figurati se il gestore del sito del club ha usato una cifratura), sa che nel 90% dei casi gli utenti usano sempre la solita password, e non la cambiano mai. Quindi va sul sito della tua casella di posta e utilizza la stessa password che tu non cambi da 5 anni. Da lì leggerà poi le emails di accounts vari a tutto ciò a cui sei iscritto e avrà la strada spianata.

Cmq ecco uno dei motivi per cui non faccio niente di online per quanto riguarda i soldi. Ho la postepay, ma mediamente tranne poco prima di un acquisto c'è su 1 euro di credito
Cioè finchè mi scavallano la password di un forum o di una email vabbè chissenefrega, ma se ti scavallano la password del conto corrente mi girerebbero un po' le palle.
Infatti io ma manco per il caxxo che faccio il conto online. Per vedere i movimenti adotto ancora il vecchio metodo di andare a vedere allo sportello bancomat.
Sarò all'antica ma tutte ste cose fatte online non mi fido proprio.
Cioè alla fine sul Pc (tranne per la postepay che cmq c'è su solo 1 euro) tengo tutte password per cazzeggio.

[zappy]

Quote:

Originariamente inviato da maxnaldo

la sicurezza, riguardo ad un BruteForce, non sta tanto nel tipo di password quanto nel set di caratteri utilizzati e la sua lunghezza.

prendiamo una password lunga 6 caratteri ad esempio:

se utilizzi solo caratteri minuscoli hai circa 308 milioni di combinazioni possibili.
se usi anche le maiuscole hai più di 19 miliardi di combinazioni possibili.
se ci aggiungi anche numeri e punteggiatura è chiaro che il numero di combinazioni sale esponenzialmente (numero simboli elevato alla lunghezza password)..

tu dai per scontato che chi cracca sappia se hai usato un set di caratteri esteso o no. se non lo sa deve usare un set esteso, per cui in pratica conta solo la lunghezza, ti pare?
mi sembra più semplice ricordare "password di merda da ricordarsi per accedere" che non "DhxUI_78-§%5"

[Zenida]

Quote:

Originariamente inviato da JohanCruyff

Io come carattere speciale userei la ñ, ma scriverla usando un portatile Windows senza tastierino numerico è complicato.
(su Mac: ALT N+N; su PC Windows con tastierino numerico: ALT + 164)

Beh quello non è un carattere speciale, alla fine fa parte del'alfabeto spagnolo, quindi immagino che molti spagno abbiano quel tipo di lettere nelle proprie psw.

Quote:

Originariamente inviato da Alessio.16390

Personalmente, a me, Hotmail-Libero-PayPal-eBay-Snai mi han chiesto di cambiare la password, e questo messaggio viene fuori con ricorrenza ogni 2-3mesi.
Inoltre ricordo molto bene, di un caso, eBay che, circa 2-3 anni fà, mi chiese proprio, senza dare possibilità di NONFARLO, di cambiarla, circa la sicurezza.
Molti software che gestiscono forum (vBulletin/MyBB/phpBB) fanno la stessa cosa, chi è registrato da tanto, QUASISEMPRE gli viene mostrato un messaggio con sù la richiesta del cambio password.


Per quanto riguarda la tua domanda, vedi come funzionano i software di brute force, partono da a, poi fanno aa, poi aaa, poi aaaa, poi aaaaa, e cosi via, avere un carattere speciale, vuol dire finire prima il dizionario di lettere normali, poi passare a numeri, poi fare lettere+numeri, poi fare lettore+numeri+car.speciale.
Alza di molto il tempo con cui trovi la passwd.

Quote:

Originariamente inviato da Danilo7

Il cambio obbligatorio della password di Ebay fu causato dalla vulnerabilità Heartbleed (link)

Esatto. eBay ha imposto il cambio password perchè il sistema è stato violato o cmq è stato a rischio prima del fix di sicurezza. Quindi successivamente al fix hanno imposto il cambio psw.

E devo dire che in effetti da eBay in poi ho cominciato a diversificare tutte le mie psw e a renderle davvero complesse. Solo che all'inizio le dimenticavo, quindi con il tempo ho elaborato quell'algoritmo di cui prima per ricordarle tutte.

[paditora]

cavolo ma io già mi rompo le palle ogni 4-5 anni quando mi cambiano il bancomat che ti danno un nuovo pin, figurati se devo diventare scemo per ricordarmi tutte le password e in più cambiarle ogni 6 mesi.
cmq io finchè non obbligano a cambiarle le tengo pure per 15 anni le stesse password.
questa di hwupgrade è la stessa che ho dal 1999
fortunatamente i siti che frequento, ancora non obbligano a cambiarla e speriamo che rimanga così.