|
|||||||
|
|
|
 |
|
|
Strumenti |
03-02-2012, 15:45
|
#1 |
|
Senior Member
Iscritto dal: Feb 2011
Messaggi: 477
|
Password sicura : quantifichiamola in bit
Salve a tutti,
mi rivolgo agli esperti di sicurezza informatica. Nel lontano 2000 (12 anni fa) si consigliava di utilizzare per avere un certo grado di sicurezza password di almeno 8 caratteri (dai 40 ai 60 bit). Questo per evitare attacchi brute force e cracking vari. Ad oggi invece, se volessimo quantificare in bit un limite minimo che un password deve superare per essere considerata sicura cosa diremmo alla luce della potenza di calcolo dei processori attuale ? E una password "inespugnabile" invece, quanti bit dovrebbe avere ? Sempre che esista il concetto di "inespugnabilità", ma intendo una password la cui ricerca possa mettere in crisi anche grandi esperti dotati di tecnologie non comuni. Grazie. |
|
|
|
03-02-2012, 16:17
|
#2 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Non penso sia cambiato moltissimo.
Se la password comprende lettere numeri e simboli 8 (meglio 10) caratteri sono ancora buoni. Poi più si aumenta meglio è, ma ne vale la pena per i dati veramente sensibili. Ad ogni carattere aggiunto il numero di possibili combinazioni sale quasi esponenzialmente... Diciamo che secondo me un numero più alto di caratteri permette di creare password che si ricordano più facilmente. Con 20-30 caratteri puoi creare delle password che ricordano frasi e quindi più facili da tenere a mente. Ad ogni modo penso che 10-12 caratteri metterebbero in difficoltà anche la nsa.
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro Ultima modifica di marcos86 : 03-02-2012 alle 16:21. |
|
|
|
|
03-02-2012, 17:09
|
#3 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
spero di non aver interpretato male l'articolo (anche se non credo),
Cheap GPUs are rendering strong passwords useless... "Increase the password to 6 characters (pYDbL6), and the CPU takes 1 hour 30 minutes versus only four seconds on the GPU. Go further to 7 characters (fh0GH5h), and the CPU would grind along for 4 days, versus a frankly worrying 17 minutes 30 seconds for the GPU |
|
|
|
|
03-02-2012, 17:33
|
#4 | |
|
Senior Member
Iscritto dal: Nov 2009
Città: Lago di Garda
Messaggi: 459
|
Quote:
__________________
XP SP3: Avast - Prevx max protection - PcTools FW Plus Win7 64bit: Avira12 Premium - Prevx max protection - Zemana Antilogger |
|
|
|
|
|
03-02-2012, 18:38
|
#5 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
considera cosa può fare un mostro come una 7970...  
|
|
|
|
|
|
03-02-2012, 18:41
|
#6 | |
|
Senior Member
Iscritto dal: Feb 2011
Messaggi: 477
|
Quote:
Siccome molti esperti considerano la crittografia con chiave a 256 bit addirittura sovradimensionata e ci sono produttori di hard disk codificati che ancora utilizzano AES con chiave a 128 bit voi mi state dicendo che con una comune GPU si puo' rendere inutile anche un AES 128 ? Perche' una chiave a 128 bit altro non è che una password a 128 bit... quindi una password mista di lettere,numeri e simboli di circa 20 caratteri... The table below illustrates how much more complex a 128-bit key is than a 56-bit key. If a device existed that could brute-force a 56-bit encryption key in one second, it would take that device 149.7 trillion years to brute-force a 128-bit encryption key. Symmetric key length vs brute-force combinations Key size in bits[2] Permutations Brute-force time for a device checking 256 permutations per second BIT PERMUTATION(2^X) TIME 8 - 28 - 0 milliseconds 40 - 240 - 0.015 milliseconds 56 - 256 - 1 second 64 - 264 - 4 minutes 16 seconds 128 - 2128 - 149,745,258,842,898 years 256 - 2256 - 50,955,671,114,250,072,156,962,268,275,658,377,807,020,642,877,435,085 years There is also a physical argument that a 128-bit symmetric key is computationally secure against brute-force attack. In sostanza secondo Wikipedia per craccare una chiave a 128 bit ci vorrebbero miliardi e miliardi di anni. Quindi forse il discorso della GPU è valido sino ai 64 bit, dove effettivamente i tempi sono bassisimi e passare da 1 secondo a pochi minuti non cambia niente. Ultima modifica di Orsettinapc : 03-02-2012 alle 18:47. |
|
|
|
|
|
03-02-2012, 18:43
|
#7 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
parlando cmq in bit, sembra che debba avere almeno 60+ bits,
http://rumkin.com/tools/password/passchk.php Test per verificare la robustezza della vostra password |
|
|
|
|
03-02-2012, 18:45
|
#8 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Infatti, mi sono limitato esclusivamente ad una veloce scartabellata su internet, sorry 
|
|
|
|
|
|
03-02-2012, 19:10
|
#9 |
|
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 06-03-2012 alle 15:43. |
|
|
|
|
03-02-2012, 21:27
|
#10 | ||
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Quote:
La forza bruta è nulla senza controllo Quote:
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro Ultima modifica di marcos86 : 03-02-2012 alle 21:31. |
||
|
|
|
|
03-02-2012, 23:02
|
#11 |
|
Bannato
Iscritto dal: Sep 2006
Città: Palermo
Messaggi: 1241
|
tirando le somme credo che il miglior consiglio rimanga sempre quello di utilizzare una frase come password.
Se ad esempio è difficile da ricordare una password lunga come: ghjetrydu465n26d8743nf7v9 è invece facilissimo ricordare una password lunga ma così: mianonnaèdel1936emiononnoèdel1938! ci sono caratteri alfabetici, numerici e speciali ed è facile da ricordare e molto lunga. 
|
|
|
|
|
03-02-2012, 23:28
|
#12 | |
|
Senior Member
Iscritto dal: Dec 2010
Messaggi: 11978
|
Quote:
il che non è consigliabile (nulla togliendo la difficoltà della password che è - sicuramente - ad uno stato efficace)
__________________
vendo > NOKIA gsm - LOGITECH mouse e tastiera - CPU 1155, RAM DDR3 ecc | ultime trattative > dedofeatbritney, MUZ, chris, 4HwGenXX, GDT, SabbaPC, Apple_81... |
|
|
|
|
|
04-02-2012, 13:58
|
#13 | |
|
Bannato
Iscritto dal: Sep 2006
Città: Palermo
Messaggi: 1241
|
Quote:
Il punto è che una password come "informatica" viene facilmente bucata tramite un attacco con "Wordlist".. ma nel caso di una frase con più parole sensate è quasi impossibile che un attacco con un "Dizionario" (anche grande dell'ordine di qualche Gb) possa riuscire nell'intento... Il bruteforcing di una password del genere non è nemmeno pensabile, ci vorrebbe troppo tempo, anche con una gpu dietro... sono troppi bit |
|
|
|
|
|
07-02-2012, 21:02
|
#14 | |
|
Senior Member
Iscritto dal: Feb 2011
Messaggi: 477
|
Quote:
Sono d'accordo. Ipotizziamo una password del tipo : "!!Oggi1SONO2andato3DAL4dentista5AotturarmiUNdente" (51 caratteri) Vorrei proprio vedere come la si affronta con un "attacco dizionario". Alla fine è pari ad una password casuale perche' prima di trovare l'ordine delle parole e abbinarle ai simboli ed ai numeri.... Ultima modifica di Orsettinapc : 07-02-2012 alle 21:08. |
|
|
|
|
|
08-02-2012, 08:34
|
#15 | |
|
Senior Member
Iscritto dal: Nov 2009
Città: Lago di Garda
Messaggi: 459
|
Quote:
__________________
XP SP3: Avast - Prevx max protection - PcTools FW Plus Win7 64bit: Avira12 Premium - Prevx max protection - Zemana Antilogger |
|
|
|
|
|
08-02-2012, 10:54
|
#16 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Nel mio caso, cmq, se dovessi inserire di volta in volta una password come quella, finirei sicuramente la voglia di accendere il PC...
|
|
|
|
|
|
08-02-2012, 11:04
|
#17 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Anzi, per ritornare proprio sul discorso della password di 51 caratteri vista poc'anzi, se prendo per buono il sito che ho linkato nel post n°7 [Test per verificare la robustezza della vostra password], si vede chiaramente che si hanno penalizzazioni nel caso in cui nella password siano presenti numeri consecutivi (es, 1 seguito sempre da 1 o da 3,4,...), sequenziali (1 seguito da 2),..., e lo stesso per l'uso di lettere ecc:
!!Oggi1SONO2andato3DAL4dentista5AotturarmiUNdente sarà quindi anche di 51 caratteri, ma: inizia con 2 caratteri consecutivi (!!), a ruota ci sono 4 lettere (Oggi), ecc.. Alla fine, voglio dire, chissà se non risulti più facilmente scardinabile questa password rispetto ad un'altra magari di soli 10 caratteri totalmente scorrelati... Ultima modifica di nV 25 : 08-02-2012 alle 11:23. |
|
|
|
|
08-02-2012, 11:21
|
#18 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
a1@7!X_2B% (10 caratteri)
VS "!!Oggi1SONO2andato3DAL4dentista5AotturarmiUNdente" (51 caratteri) Utilizzando la password di 10 caratteri, e posto sempre che quel sito spari sentenze attendibili, ho questa situazione:  Per quella da 51,  Alla fine si vede chiaramente che quella da soli 10 caratteri NON determina nessun pallino arancione al contrario di quella da 51 caratteri... Gli alti valori fatti registrare dalla password più lunga nella sezione "incrementi", dunque, sono dettati esclusivamente dalla lunghezza (che non è fattore sicuramente da trascurare, per carità, ma addio praticità)... |
|
|
|
|
08-02-2012, 15:52
|
#19 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
pperò da sempre il problema della password è quello di ricordarsela e trasmetterla agli altri.. i tempi cambiano, la tecnologia evolve, escono nuovi algoritmi ma le persone interagiscono sempre nello stesso modo ed è proprio qui che c'è l'anello debole.
il 90% delle password sono trascritte su un post-it o foglio di carta e questa è una realtà su cui un cracker può e vorrà lavorare, oppure la sottrae con un ottimo phishing e in questo caso è la vittima che gliela consegna su un vassoio d'agento e con tanti ringraziamenti. un bruteforce in rete è facilmente bloccabile basti pensare al meccanismo che invalida la password dopo 10 tentativi falliti, o che impone una disconessione per tot tempo o che oltre ai precedenti ingloba anche la trascrizione dei capcha.. in ogni caso si può anche implementare un allert che si attiva nell'invalidazione della password e notifichi l'evento all'amministratore. quello che voglio dire è che è vero che una password sia molto importante e uno strumento di primaria protezione ma è altrettanto vero che non deve essere l'unico strumento, pertanto si gioca solo su sottigliezze quando ci si focalizza su una composizione randome o alfanumerica mnemonica
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 08-02-2012 alle 15:54. |
|
|
|
|
08-02-2012, 16:03
|
#20 |
|
Senior Member
Iscritto dal: Jan 2005
Città: Cassano beach..tra BG e MI!
Messaggi: 691
|
__________________
Q9550@4.0Ghz +Thermalright U-120 eXtreme ● Asus P5Q-E ● 4x2GB DDR2 TeamGroup Xtreem Dark ● Sapphire HD7950 OC Crucial M4 128GB ● WD RE3 320GB ● DVD-RW NEC 4550 ● Corsair TX650w ● Dell U2412M● Birra ● E patatine  Dell Vostro 1500 ● Core 2 Duo T7250 ● 15,4" WXGA ● 2x2GB ram ● 8600GT 256MB ● HD 120gb@7200RPM |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:16.
