Frasi più sicure delle password? Non è detto. Il punto di F5

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...f5_109566.html

La forza di una determinata password o passphrase non è proporzionale solamente alla sua lunghezza, ma dipende fortemente dalla sua entropia, cioè dalla casualità. La soluzione migliore? Generarle casualmente e affidarsi alla MFA

Click sul link per visualizzare la notizia.

[Opteranium]

questa$password#secondo&loro€sarebbe@debole?

Io non credo

[Yramrag]

Quote:

Originariamente inviato da Opteranium

questa$password#secondo&loro€sarebbe@debole?

Io non credo

Manca almeno una lettera maiscola e un numero

[Mechano]

Mi aspetto già nuguli di "la nebbia agli irti colli" e "lorem ipsum dolor sit amet".

[deggial]

io uso "Password0" per tutto e nessuno mi ha ancora bucato nulla

[wolverine]

z1b1d1bvd40sCh3rzi4m0

Questa è la migliore.

[Sandro kensan]

Quote:

Originariamente inviato da Opteranium

questa$password#secondo&loro€sarebbe@debole?

Io non credo

La password che hai immaginato ha questa entropia. Prima di tutto le parole che hai usato sono tra le più comuni e quindi vanno molto sotto il vocabolario delle 1000 parole più comuni.

Facciamo che le tue parole siano dentro il vocabolario delle prime 500 parole elementari. I simboli che hai usato sono quelli della tastiera normale, facciamo che siano tra i 20 simboli speciali.

Calcoliamo l'entropia basandoci su questi dati:

Le "parole generiche" sono 11 mentre il "vocabolario generico" è di 500*20=10'000 simboli, quindi l'entropia è di 1 su 10^44

ovvero 2^146

Mi pare che siamo lì lì:

«considerando la velocità con cui i computer moderni possono indovinare le password, si ritiene che sia necessaria una complessità di circa 2^128 combinazioni per essere sicuri".»

Se riduciamo il numeri di simboli dai 20 a un numero un po' più piccolo e il vocabolario da 500 a un numero un po' più piccolo la tua password è fritta.


Edit:
Dimenticavo un piccolo particolare. La frase "questa password secondo loro sarebbe debole" ha una entropia bassissima in quanto è una frase di senso compiuto ed è una delle frasi che un dizionario di frasi può avere.

Come fare un dizionario di frasi? Molto semplice: si provano tutte le combinazioni delle prime 500 parole del dizionario e si vede quante risultanze da un motore di ricerca come Google o altri, se da molti risultati allora la frase è una frase comune, se ne da pochi allora la frase è una combinazione casuale di parole. Per memorizzare le frasi più comuni con occorre memorizzare l'esatta successione di parole ma solo la posizione nel vocabolario di 500 parole, in questo modo si fa una estrema compressione e si può avere il tutto in poco spazio.

[Qarboz]

Io uso il terzo ritornello di questa canzone e sono in una botte di ferro

[Sandro kensan]

Secondo me una password sicura è solo una password generata casualmente, non importa se ha numeri o simboli ma deve essere generata casualmente ed avere abbastanza entropia che in questo caso coincide con numero di combinazioni dei simboli del vocabolario usato.

Per esempio:

clzracthyvgp

è generata casualmente, quindi ha una entropia di 2^74. Una password analogafatta con parole che abbia come iniziali o finali le lettere clzracthyvgp non avrebbe una entropia estremamente superiore soprattutto se è di senso compiuto.

[SpyroTSK]

Ma và?
Questi di F5 son dei geni eh! Chi avrebbe mai pensato che un'attacco a vocabolario un pò più intelligente che riesce a formare delle frasi prima o poi possa azzeccare la password composta da una frase?

Se però già ci mettiamo 2-4 simboli e 2-4 cifre su una frase da 4 parole in posizioni random, auguri.

[SpyroTSK]

Quote:

Originariamente inviato da Sandro kensan

Secondo me una password sicura è solo una password generata casualmente, non importa se ha numeri o simboli ma deve essere generata casualmente ed avere abbastanza entropia che in questo caso coincide con numero di combinazioni dei simboli del vocabolario usato.

Per esempio:

clzracthyvgp

è generata casualmente, quindi ha una entropia di 2^74. Una password analogafatta con parole che abbia come iniziali o finali le lettere clzracthyvgp non avrebbe una entropia estremamente superiore soprattutto se è di senso compiuto.

Infatti l'entropia di una password aumenta drasticamente se:
1) non ci sono caratteri consecutivi o sequenze ripetitive (es: aaab oppure 1aabcbc1)
2) se ci sono più sequenze numerate (es: 46Pi275x0O9)
3) Ci sono caratteri non alfanumerici (A-z 0-9) ad esempio ^?!=)$"%$&/(*][#@ç°~
4) Non ci sono caratteri che possono sostituire lettere (es: C4s@, H0m3)
5) non sono parole di un dizionario.

Per ricordarsi invece, una frase che possa condurre ad una password potrebbe essere:
Iv4Ct3H~.
Io vado A Casa tra 3 Ore circa.
Oppure:
LmMèUSGsx-R
La mia Moto è Una Suzuki Gsx-R

[Patox92]

Su https://www.security.org/how-secure-is-my-password/ c'è il calcolo preciso.

[Sandro kensan]

Quote:

Originariamente inviato da SpyroTSK

Per ricordarsi invece, una frase che possa condurre ad una password potrebbe essere:
Iv4Ct3H~.
Io vado A Casa tra 3 Ore circa.
Oppure:
LmMèUSGsx-R
La mia Moto è Una Suzuki Gsx-R

Secondo me si deve prendere un generatore di password casuali e generare una password con solo lettere e abbastanza lunga. Fatto questo o ci si ricorda la password casuale o si costruisce una frase partendo dalla password:

per esempio partendo da:

clzracthyvgp

si costruisce una frase di senso compiuto con le iniziali. È invece sbagliato prendere una frase di senso compiuto e estrarre le lettere iniziali o finali o mediane.

L'entropia di clzracthyvg è sempre di 2^74 anche se viene usala la frase di senso compiuto di 12 parole, non cambia di molto.

[SpyroTSK]

Quote:

Originariamente inviato da Sandro kensan

Secondo me si deve prendere un generatore di password casuali e generare una password con solo lettere e abbastanza lunga. Fatto questo o ci si ricorda la password casuale o si costruisce una frase partendo dalla password:

per esempio partendo da:

clzracthyvgp

si costruisce una frase di senso compiuto con le iniziali. È invece sbagliato prendere una frase di senso compiuto e estrarre le lettere iniziali o finali o mediane.

L'entropia di clzracthyvg è sempre di 2^74 anche se viene usala la frase di senso compiuto di 12 parole, non cambia di molto.

Certo, ma trovare una frase di senso compiuto partendo da lettere o caratteri casuali, è un bordello.
Cerca di capire cosa volevo dirti in questa password
Sd$lL3PnF>HwU

[silviop]

Tutto l'articolo si basa su una grossa ambiguita', parliamo di password di cifratura o password di autenticazione ?

Per quelle di cifratura il discorso ha anche un senso con tutti i clacoli matematici annessi, poiche' ho in mano il messaggio cifrato e posso provare a crakkarlo come voglio, ma per le password di autenticazione basta una password anche di soli 5 numeri!!!
Perche' nessun sistema permettere di fare piu' di tre quattro prove consecutive prima di bloccarsi o rallentare i tentativi.

E comunque parlando di MFA e' chiaro che si intende password di autenticazione quindi, le frasi vanno benissimo, come PIN di 5/6 numeri o qualunque cosa che sia improbabile da indovinare in pochi tentativi.

[Sandro kensan]

Quote:

Originariamente inviato da SpyroTSK

Certo, ma trovare una frase di senso compiuto partendo da lettere o caratteri casuali, è un bordello.
Cerca di capire cosa volevo dirti in questa password
Sd$lL3PnF>HwU

Non devo capirlo io ma un sistema automatizzato di generazione delle password possibili e probabili "sgama" tutti i trucchetti. L'unico trucchetto non non sgama è il concetto di entropia.

Però mi chiedo se tra tutti quelli che scrivono su HWupgrade non c'è nessuno che ha fatto facoltà scientifiche all'università? nessuno ha fatto matematica? ingegneria? fisica? informatica? ecc, ecc?

Perché il concetto di matematico di entropia lo si insegna nel triennio. Tutti diplomati (e forse alle superiori si insegna l'entropia)?

[giovanbattista]

GutHub GitHub

[SpyroTSK]

Quote:

Originariamente inviato da Sandro kensan

Non devo capirlo io ma un sistema automatizzato di generazione delle password possibili e probabili "sgama" tutti i trucchetti. L'unico trucchetto non non sgama è il concetto di entropia.

Però mi chiedo se tra tutti quelli che scrivono su HWupgrade non c'è nessuno che ha fatto facoltà scientifiche all'università? nessuno ha fatto matematica? ingegneria? fisica? informatica? ecc, ecc?

Perché il concetto di matematico di entropia lo si insegna nel triennio. Tutti diplomati (e forse alle superiori si insegna l'entropia)?

In realtà è la stessa cosa, perché i caratteri messi a caso, possono sempre dire qualcosa, come nulla.
Dovresti avere una mole di dati riferito a noi due, in questo forum e seguire questo thread per capire qual'è la mia passowrd. Altrimenti la solzuione B ed è la più fattibile, è bruteforce.

Comunque:
Stiamo discutendo $ulL3 Password nel Forum di(>) HwUpgrade

Io non sono andato all'università, ma ho studiato parecchio (e lo sto ancora facendo su molti ambiti informatici)
Sì ho studiato l'entropia alle superiori

[omerook]

Guajochistammopazziandocoapummarolaingoppa

Mi scuso con i napoletani per eventuali errori ma se ci sono la password è anche più sicura

....buon attacco a vocabolario D

[Sandro kensan]

Quote:

Originariamente inviato da omerook

....buon attacco a vogabolario D

Google, parola cercata esatta: "vogabolario"

Circa 340 risultati (0,37 secondi)

Edit: parola corretta alle 15:01: "vocabolario"

Google per vocabolario da:

Circa 40.100.000 risultati (0,53 secondi)