| Precedente :: Successivo |
| Autore |
Messaggio |
mda
Dio maturo
Registrato: 01/11/06 10:39
Messaggi: 6648
Residenza: Figonia
|
 Inviato: 26 Set 2012 02:16 Oggetto: |
 |
|
NO è facilissimo con solo una decina. La prima cosa che fai è proprio tentare di analizzare le password dove non ci sono numeri e maiuscole e altri caratteri fin 12 caratteri seguendo un "vocabolario" e dopo non seguendolo.
Esempio: Le password "certificato bancario" hanno più di 255 caratteri (di qualsiasi tipo) e numeri.
Ciao |
|
| Top |
|
 |
madvero
Amministratore
Registrato: 05/07/05 21:42
Messaggi: 19508
Residenza: Sono brusco con voi solo perchè il tempo è a sfavore. Penso in fretta, quindi parlo in fretta
|
| Inviato: 26 Set 2012 02:31 Oggetto: |
|
|
| fuocogreco ha scritto: | Premetto che anche per me è difficile gestire le password perchè ce ne sono veramente tante. Io francamente me le scrivo su dei fogli di carta e cerco ogni tanto di cambiarle. Volevo sapere se conoscete un programma (se possibile scritto in italiano) in cui mettere le mie password in sicurezza. Grazie  |
bdoriano ti ha dato qualche ottima dritta, ma nel dubbio carta&matita.sys resta sempre il metodo più a riparo dagli attacchi informatici.
al massimo, per problemi di memoria... si può aggiungere un banco di ram.
| mda ha scritto: | | NO è facilissimo con solo una decina. |
io di recente sono salita da 16 caratteri a 18, che male non fa. |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9736
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 26 Set 2012 05:30 Oggetto: |
|
|
Un filino di paranoia ingiustificata ce lo posso buttare dentro (a parte il banking, per ovvi motivi), o rischio di essere lapidato?  |
|
| Top |
|
|
Zeus
Amministratore
Registrato: 21/10/00 02:01
Messaggi: 13272
Residenza: San Junipero
|
| Inviato: 26 Set 2012 07:27 Oggetto: |
|
|
Comunque il problema è serio. Password complesse sono anche difficili da memorizzare.
Carta e matita diventano ingestibili quando hai decine (o centinaia) di password.
Non è bello usare le stesse password, anche sui siti "di poca importanza".
I gestori di password sul cloud sembrano la soluzione, specie per chi usa parecchi device; ma se il gestore di punto in bianco chiude, magari per cause di forza maggiore? Che fai, ti spari?
I gestori di password sul Pc o sul telefonino hanno il limite che se ti rubano il telefonino o se ti muore il disco fisso sei fregato. |
|
| Top |
|
|
dany88
Dio maturo
Registrato: 12/02/09 12:14
Messaggi: 1300
|
| Inviato: 26 Set 2012 09:38 Oggetto: |
|
|
se chiude il mio gestore di password (come ha fatto xmarks), la soluzione è banale, perchè tutti hanno l'export in un formato "decente", e tutti hanno l'import da diecimila formati 
Poi comunque nessuno ti vieta di farti un backup criptato ogni X mesi, ma per ora non ne ho mai avuto bisogno, e uso il cloud da diversi anni.
Tant'è che ci ho messo 1 minuto a passare da Xmarks a LastPass, è bastato installare la loro estensione, cliccare "importa da ", e dopo nemmeno 20 secondi era già operativo al 100%. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 26 Set 2012 11:13 Oggetto: |
|
|
| mda ha scritto: | NO è facilissimo con solo una decina. La prima cosa che fai è proprio tentare di analizzare le password dove non ci sono numeri e maiuscole e altri caratteri fin 12 caratteri seguendo un "vocabolario" e dopo non seguendolo.
|
Quello che non mi torna è che con una dozzina di caratteri, usando solo le lettere dell'alfabeto, si hanno comunque 21^12 pwd possibili... |
|
| Top |
|
|
gomez
Dio maturo
Registrato: 28/06/05 11:26
Messaggi: 2112
Residenza: Provincia di Torino
|
| Inviato: 26 Set 2012 11:50 Oggetto: |
|
|
| Zeus ha scritto: | | I gestori di password sul Pc o sul telefonino hanno il limite che se ti rubano il telefonino o se ti muore il disco fisso sei fregato. |
San Backup si festeggia tutti i giorni 
comunque i gestori di password li trovo inutili come una cassaforte di chiavi di cassaforte 
axcrypt, file in puro testo (che puoi aprire, oggi e tra cento anni, in dos, windows, osx, linux, unix, beos, klingon o.s. ecc.) e nella cassaforte metti direttamente le password da proteggere (e qualunque altro dato, io axcrypto anche la rubrica, sono dati sensibili altrui e me ne ritengo responsabile)
axcrypt su android non gira, i file li cripto con encryption manager che al momento e' l'unico che ho trovato veramente pratico e leggero, per la rubrica devo fidarmi del blocco telefono e quindi la tengo molto leggera 
Mauro |
|
| Top |
|
|
dany88
Dio maturo
Registrato: 12/02/09 12:14
Messaggi: 1300
|
| Inviato: 26 Set 2012 12:51 Oggetto: |
|
|
| Squall ha scritto: | | Quello che non mi torna è che con una dozzina di caratteri, usando solo le lettere dell'alfabeto, si hanno comunque 21^12 pwd possibili... |
considera che con una o due gpu serie (1000 euro per due ATI 5970 HD), fai tranquillamente 10-16 miliardi di password al secondo (MD5 hash)
21^12 = 7355.827.510.000.000
7 milioni di miliardi di password con un pc in grado di farne 14 miliardi al secondo = 500.000 secondi = 5 giorni e mezzo.
Questo con hardware fatto in casa |
|
| Top |
|
|
Stx
Dio minore
Registrato: 07/07/08 14:38
Messaggi: 730
Residenza: In coda sulla Tangenziale Est
|
| Inviato: 26 Set 2012 17:00 Oggetto: |
|
|
| gomez ha scritto: |
axcrypt, file in puro testo (che puoi aprire, oggi e tra cento anni, in dos, windows, osx, linux, unix, beos, klingon o.s. ecc.) |
Scusa, fra 100 anni li potrai anche aprire (ammesso che il disco se li ricordi ancora) ma per decifrarli avrai bisogno di axcrypt che dovra' girare sul sistema operativo del futuro. Corretto?
| dany88 ha scritto: |
considera che con una o due gpu serie (1000 euro per due ATI 5970 HD), fai tranquillamente 10-16 miliardi di password al secondo (MD5 hash)
|
Il valore mi torna. Una decina d'anni fa un PC qualsiasi con winzozz e un software un po' tarocco girava a 3 milioni di pass al secondo.
Anche per l'attacco dictionary-based arrivi a questi valori? |
|
| Top |
|
|
gomez
Dio maturo
Registrato: 28/06/05 11:26
Messaggi: 2112
Residenza: Provincia di Torino
|
| Inviato: 26 Set 2012 19:14 Oggetto: |
|
|
| Stx ha scritto: | | gomez ha scritto: |
axcrypt, file in puro testo (che puoi aprire, oggi e tra cento anni, in dos, windows, osx, linux, unix, beos, klingon o.s. ecc.) |
Scusa, fra 100 anni li potrai anche aprire (ammesso che il disco se li ricordi ancora) ma per decifrarli avrai bisogno di axcrypt che dovra' girare sul sistema operativo del futuro. Corretto?
|
solo per decrittarlo, quindi per passare il file (non criptato) al nuovo os dovrei solo copiarlo e poi criptarlo con un crypter che funzioni li' (esattamente come ho fatto ora su android)
comunque il file in chiaro e' in bkp su supporti esterni non collegati a nulla e al sicuro da mani non mie, a copiarlo altrove ci va una decina di secondi
btw axcrypt e' open source quindi non e' detto che non venga portato sui nuovi os del futuro
Mauro |
|
| Top |
|
|
dany88
Dio maturo
Registrato: 12/02/09 12:14
Messaggi: 1300
|
| Inviato: 26 Set 2012 19:20 Oggetto: |
|
|
| Stx ha scritto: |
Il valore mi torna. Una decina d'anni fa un PC qualsiasi con winzozz e un software un po' tarocco girava a 3 milioni di pass al secondo.
Anche per l'attacco dictionary-based arrivi a questi valori? |
bhè tecnicamente il valore non dovrebbe tornarti xD
Perchè 10 anni fa probabilmente non lo misuravi su md5 e probabilmente usava la cpu, mentre questi son conti (fatti al volo) considerando di usare software appositamente realizzati per girare su gpu (che sono ottime per fare calcoli di questo genere in modo iper-massiccio).
Si, ovviamente sul dictionary non ci sono differenze, d'altronde si tratta sempre di calcolare hash. |
|
| Top |
|
|
Stx
Dio minore
Registrato: 07/07/08 14:38
Messaggi: 730
Residenza: In coda sulla Tangenziale Est
|
| Inviato: 27 Set 2012 10:02 Oggetto: |
|
|
| dany88 ha scritto: |
bhè tecnicamente il valore non dovrebbe tornarti xD
Perchè 10 anni fa probabilmente non lo misuravi su md5 e probabilmente usava la cpu, mentre questi son conti (fatti al volo) considerando di usare software appositamente realizzati per girare su gpu (che sono ottime per fare calcoli di questo genere in modo iper-massiccio).
|
Per questo mi tornava il valore! Fatte tutte le differenze una differenza di prestazioni di 1000 volte ci potrebbe anche stare.
| dany88 ha scritto: |
Si, ovviamente sul dictionary non ci sono differenze, d'altronde si tratta sempre di calcolare hash.
|
Ovviamente l’attacco dictionary-based prevede di leggere le parole del dizionario da un database. Rispetto al brute-force non e' pura CPU ma anche disco e trasferimento dati. Per quello ti chiedevo se i valori erano simili o –come immagino- inferiori. Ma visto che i tuoi valori sono calcolati (pensavo fossero reali) probabilmente non avrai questo dato..  |
|
| Top |
|
|
dany88
Dio maturo
Registrato: 12/02/09 12:14
Messaggi: 1300
|
| Inviato: 27 Set 2012 12:33 Oggetto: |
|
|
i valori sono calcolati a mente partendo da dati reali
l'overhead di mettere qualche Gb di testo da harddisk a ram è assolutamente insignificante. |
|
| Top |
|
|
Stx
Dio minore
Registrato: 07/07/08 14:38
Messaggi: 730
Residenza: In coda sulla Tangenziale Est
|
| Inviato: 27 Set 2012 16:08 Oggetto: |
|
|
Certo, se il dizionario sta tutto in RAM. Nel “dizionario” in teoria dovresti avere: tutte le parole, di tutte le lingue, con i verbi ciascuno in tutte le possibili coniugazioni, i nomi declinati, combinati, composti e in piu’ aggiungere nomi di luoghi, personaggi famosi, animali, malattie, termini tecnici, titoli di film, frasi celebri, numeri scritti in lettere.. ecc potrebbe essere parecchio materiale (non ho idea, cosi’ su due piedi..)
.. e’ anche vero che la RAM disponibile e’ molto maggiore di quella che c’era 10 anni fa! |
|
| Top |
|
|
dany88
Dio maturo
Registrato: 12/02/09 12:14
Messaggi: 1300
|
| Inviato: 27 Set 2012 18:40 Oggetto: |
 |
|
ripeto, se hai una macchina decente, l'overhead è nullo. Una volta che gli dedichi 2-4Gb, fai a tempo a caricare da hard disk gli elementi da controllare prima che sia finita la coda.
In linea generale non è il collo di bottiglia del processo.
ps: quando dicevo che i conti "non dovevano tornare" mi riferivo solo al fatto che se li facevi con la legge di moore non tornavano, perchè prima si utilizzavano CPU e ora GPU, ed è questo il vero "boost" rispetto ad una volta. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
