Password complesse? Meglio le frasi, secondo l'FBI

[cronos1990]

Quote:

Originariamente inviato da Svelgen

Sono d'accordo.
Google, il gestore di password dei vari browser ecc ecc, per me sono i posti meno sicuri dove conservale.
Meglio un database, magari protetto da una key supplementare (keepass permette questo).
Però preme sottolineare che prima o dopo, la password da qualche parte dovrai inserirla. Ed è lì che, nel caso, l'hacker colpisce. Quando digiti oppure immetti i caratteri. Per questo motivo, bisognerebbe dare importanza maggiore al PC che sia privo di trojan e altro, e poi a quei servizi dove in mezzo ci sono i soldi, senza dimenticare l'account mail dove, scoperte le credenziali, poi è solo una questione di fantasia su quello che puoi fare una volta dentro.
In sostanza, secondo me non basta usare keepass se poi il tuo account di posta, l'accesso al sito web della tua CC oppure della banca, non sono coperti da un sistema a doppia verifica.

Quoto e approvo.

Come sempre, il primo sistema di difesa sotto tutti i punti di vista è l'utilizzatore. Se tu per primo, utilizzatore del tuo PC/Smartphone/Quel che è, non prendi le giuste precauzioni quando lo utilizzi, facile che poi rimani fregato.
C'è gente che installa antivirus e antimalware come fossero noccioline sul PC: poi però aprono mail con link sospetti, installano programmi di dubbia provenienza, vanno su siti "poco raccomandabili". A quel punto puoi avere anche password con settordici caratteri compresi i Kanji, non servirebbe a nulla.

[AlPaBo]

Quote:

Originariamente inviato da YellowT

Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

È teoricamente possibile, ovviamente, ma ti sei dimenticato un punto. Se fai riferimento ai caratteri, in genere ne consideri non più di 200 fra cui scegliere (certo, c'è l'Unicode, ma non credo che tu intenda inserire nella password caratteri greci, cirillici, arabi, giapponesi, cinesi… anche perché sarebbe un delirio tutte le volte scriverla). Quindi, con cinque caratteri, le combinazioni sarebbero 200^5; in un dizionario ci possono essere 10000 parole di ampia diffusione, 200000 se consideri termini desueti o tecnici. Quindi, cinque parole ti danno al minimo 10000^5 combinazioni.
Come vedi non è la stessa cosa.

[cdimauro]

Quote:

Originariamente inviato da cronos1990

Le password generate "casualmente"... non sono casuali.
Qualunque password, ma in generale qualunque sequenza di caratteri, generate da un "computer" (che sia quello tuo di casa, i server google, il cellulare, la PS4 o il Commodore-64 di tuo nonno che ancora funziona) si basano su un algoritmo, o programma che dir si voglia.
E qualunque algoritmo è basato su delle funzioni, tendenzialmente di natura matematica, che per loro natura generano quei caratteri su quelle funzioni matematiche, quindi riconducibili ad un preciso schema logico. Di conseguenza non c'è nulla di casuale. Programmi adeguatamente studiati possono anzichè andare solo di forza bruta, estrapolare lo schema logico dietro il quale si cela quella generazione casuale, e a quel punto sarebbe come avere la chiave di decriptazione di un codice.

Dimentichi che i processori moderni sono dotati tutti di generatori hardware di numeri casuali che sono basati su roba come fluttuazioni delle temperatura.

[Nicodemo Timoteo Taddeo]

Vedo che ci sono tanti ancora convinti che si vada di bruteforce per violare sistemi, e quindi serve una password extralunga exrtracomplessa, auguri

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da cronos1990

Quindi è sempre meglio premere tasti a caso sulla tastiera che affidarsi a tali sistemi. Tanto per dire (chiaramente è solo la mia esperienza, non fa statistica) quando sono passato a TIM per la fibra di casa mi hanno inviato il modem e per scelta ho deciso di usarlo anche se avrei voluto prenderne uno per conto mio... ma in quel momento non volevo spenderci soldi. Ho lasciato per pigrizia la password del Wi-Fi di default, che conteneva 26 caratteri (ben oltre i 15 consigliati) che se li leggi erano apparentemente casuali.
Beh, pur tenendo nascosto l'SSID, non dando la password a nessuno, non consentendo a nessuno di connettermi alla mia rete e imponendo un accesso tramite riconoscimento dell'indirizzo MAC, dopo qualche mese ho avuto un'intrusione.

La stessa password di default stava in chissà quanti altri dispositivi analoghi forniti da TIM, o pensi forse che ogni router ha una password diversa di default e il produttore attacca un adesivo diverso per ognuno? Basta conoscere l'elenco delle password di default non serve mica andare a tentativi o violare chissà come...

[cronos1990]

Ehm... no, la password del Wi-Fi di un router viene generata da un algoritmo. Semmai è di default (oltre che uguale per tutti quelli di uno stesso modello) username e password per accedere al router stesso ("admin" e "password", tanto per fare un esempio), oltre all'indirizzo IP.

O credi che sia così complicato stampare un etichetta diversa per ogni codice generato?

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da cronos1990

Ehm... no, la password del Wi-Fi di un router viene generata da un algoritmo.

E la trovi uguale scritta su etichetta attaccata su diversi esemplari dello stesso router. Fidaty di uno che ha visto...

Regola numero uno, cambiare le password appena installato un dispositivo di rete.

[Yramrag]

Ci sono però anche router che hanno sia pwd di default del wireless sia dell'account admin diverse per ogni dispositivo (e stampate diverse sull'etichetta).
Per esempio gli ultimi zyxel dati dagli ISP.

[homoinformatico]

IMHO il modo migliore è di generare una password con le iniziali di una frase.

[Piedone1113]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

La stessa password di default stava in chissà quanti altri dispositivi analoghi forniti da TIM, o pensi forse che ogni router ha una password diversa di default e il produttore attacca un adesivo diverso per ognuno? Basta conoscere l'elenco delle password di default non serve mica andare a tentativi o violare chissà come...

Un algoritmo per la generazione di password (pe 8 bit) difficilmente genererà tutte le password teoriche.
In molti non sanno ( o fanno finta di non sapere) che l'algoritmo spesso prende in esame il macaddress dell'interfaccia di rete ( wan o wifi) rigenerandola ad ogni reset sempre identica ed uguale.
Altre volte viene generato dal seriele presente in rom.
E si, il produttore attacca un adesivo diverso per ogni router dato che sull'adesivo è presente almeno:
seriale
mac
passwifi

oltre al lotto e data di produzione
Se poi per ogni prodotto elettronico, perfino per il tostapane, ogni confezione ha la sua etichetta con seriale ( sempre diverso dagli altri) cosa ti fa dire certe balle lo sai solo tu

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Piedone1113

cosa ti fa dire certe balle lo sai solo tu

Se è una balla aver visto più router con la stessa password preimpostata, che ti devo dire, tieni le tue certezze sulle balle degli altri. Io ho le mie basate sul vissuto di persona. E continuo a ripetere che la prima cosa da fare è cambiare la password preimpostata.

[CYRANO]

Chissà quanti maschietti hanno come password la fra " amemipiacelaf..a "


Cààssàssòs

[Piedone1113]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Se è una balla aver visto più router con la stessa password preimpostata, che ti devo dire, tieni le tue certezze sulle balle degli altri. Io ho le mie basate sul vissuto di persona. E continuo a ripetere che la prima cosa da fare è cambiare la password preimpostata.

No, la balla è che non esistono 2 etiche uguali, dato che differisce sempre il seriale ed il mac address, quindi si, ogni etichetta è fatta per un singolo prodotto ed applicato a quel singolo prodotto, poi un algoritmo può generare password uguali da apparenti dati immessi diversi ci sta ( se utilizzo un algoritmo a 16 bit e produco 1 milione di pezzi mediamente la stessa password sarà ripetuta 15 volte)
ma ogni etichetta è unica con il suo bel seriale ( sempre differente), e mac dell'interfaccia wan ( sempre differente, si spera).
Su quella stessa etichetta poi ci sarà una bella passfrase che sarà ripetuta tante volte per n pezzi diversi quanto più semplice è l'algoritmo di generazione della stessa.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Piedone1113

No, la balla è che non esistono 2 etiche uguali

Continua pure a focalizzarti sulle etichette, buona serata

[Piedone1113]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Continua pure a focalizzarti sulle etichette, buona serata

1:
Ogni produttore sul suo bel router applica due etichette ( una sullo scatolo ed una sul router proprio) singolarmente contrariamente a quanto da te affermato.

2:
Non esistono password di default, ma un algoritmo unico di generazione che superata un certo numero deve per forza di cose ripetere una stessa passfrase, questi algoritmi sono tanto più semplici quanto più economico è il prodotto. Quindi non esistono password di default, ma un numero limitato di password possibili ( come per le chiavi delle serrature delle porte)

3:
Il modo più usato per risalire alla password di un router è conoscere l'algoritmo di generazione e generarla partendo dal mac del wifi ( in molti modem tim, ma non solo, l'algoritmo usa il mac dell'interfaccia wifi) e non provi nemmeno ad usare tutti i possibili codici difatti se vai a controllare i log del router non troverai nessun messaggio di autenticazion failed ( cosa che troveresti se utilizzi n passfrase diverse e procedi per tentativi)

[zappy]

Quote:

Originariamente inviato da YellowT

Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?

sbagli.
i caratteri sono una ventina, le parole quante? decine di migliaia?

[danylo]

Quote:

Originariamente inviato da AlPaBo

Quindi, con cinque caratteri, le combinazioni sarebbero 200^5; in un dizionario ci possono essere 10000 parole di ampia diffusione, 200000 se consideri termini desueti o tecnici. Quindi, cinque parole ti danno al minimo 10000^5 combinazioni.

Pero', mentre una password composta da parole DEVE essere composta da poche parole, 3-5 parole, altrimenti sfori la lunghezza ammessa, la password casuale invece ha molti caratteri.
Esempio: se il campo password consente una lunghezza di 20 puoi:

- usare 20 caratteri casuali (minuscole, maiuscole, numeri), ovvero 62^20. Le combinazioni possibili sono un numero di 35 cifre.

- usare 5 parole casuali: ovvero 10000^5. Le combinazioni sono un numero di 20 cifre

Quindi e' piu' robusta la prima

[zappy]

Quote:

Originariamente inviato da danylo

Pero', mentre una password composta da parole DEVE essere composta da poche parole, 3-5 parole, altrimenti sfori la lunghezza ammessa, la password casuale invece ha molti caratteri.
Esempio: se il campo password consente una lunghezza di 20 puoi:

- usare 20 caratteri casuali (minuscole, maiuscole, numeri), ovvero 62^20. Le combinazioni possibili sono un numero di 35 cifre.

- usare 5 parole casuali: ovvero 10000^5. Le combinazioni sono un numero di 20 cifre

Quindi e' piu' robusta la prima

salvo il fatto che nessuno ricorda 20 caratteri casuali quindi mette ABCDEFGHIJKLMNOPQRSTUVWXYZ la cui complessità è 1^1

[Hiei3600]

Si può con relativa facilità creare una password complessa e facile da ricordare.

Basta usare una metodologia, un libro ed un indizio sufficientemente vago che una persona qualsiasi non coglierebbe ma che tu sappia cosa significhi.

Ad esempio un indizio potrebbe essere XVI-20

XVI venti si riferisce al sedicesimo canto della divina commedia, riga 20.
Si può usare quella frase come password, con l'aggiunta di caratteri extra al posto degli spazi, ad esempio i caratteri stessi dell'indizio "X V I - 2 0" si possono mettere negli spazi della frase, ed ecco come con un semplice indizio si ottiene una password complessa ma facile da reperire e da ricordare:

" L'anticoXverso;Ve,Iquando-a2noi0furXgiunti, "

[zappy]

Quote:

Originariamente inviato da Hiei3600

...XVI venti si riferisce al sedicesimo canto della divina commedia, riga 20.

"fatti non foste a ricordar password complesse ma ad usar pippo e paperino"