Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 08 Ago 2017 19:00 Oggetto: Password, abbiamo sbagliato tutto |
|
|
Leggi l'articolo Password, abbiamo sbagliato tutto
Usare numeri, maiuscole e caratteri speciali non serve, anzi è dannoso: lo confessa l'uomo che inventato queste regole.
Segnala un refuso |
|
Top |
|
|
seagate Eroe
Registrato: 24/02/16 11:44 Messaggi: 60 Residenza: Via Lattea
|
Inviato: 09 Ago 2017 06:27 Oggetto: |
|
|
Citazione: | Invece è più utile usare password composte da diverse parole di uso comune ma slegate tra loro quanto al significato, in modo da avere una password lunga, difficile da indovinare per un algoritmo, ma comunque facilmente memorizzabile. Proprio come consiglia Munroe nella vignetta che abbiamo citato. |
Sempre fatto così. |
|
Top |
|
|
{Piero} Ospite
|
Inviato: 09 Ago 2017 07:58 Oggetto: |
|
|
Bisogna anche considerare il problema dei siti/applicazioni che non accettano nemmeno una password complessa, alcuni addirittura accettano solo password di 8 numeri. |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1947
|
Inviato: 09 Ago 2017 18:09 Oggetto: |
|
|
Usare maiuscole, minuscole, numeri, ecc. non e' sbagliato, e accresce la sicurezza.
Quello che non va bene (questo l'errore) e' stabilire una regola universale, per convertire le lettere in numeri (la O diventa ZERO, ecc). Una volta che la regola e' conosciuta a livello mondiale, la conosce e la sfrutta anche il programma che tenta di indovinare la psw.
Se ora inventano e divulgano nuove regole, si perde di nuovo la componente dell'imprevedibilita', e torniamo al punto di partenza.
La psw sicura deve essere generata in modo completamente casuale, e non si puo' fare affidamento sulla memoria umana, perche' e' impossibile ricordare le decine di psw diverse (io tra casa e lavoro ne avro' circa 150). Bisogna affidarsi a programmi appositi che le custodiscono per noi.
Ovviamente il punto critico diventa il database del programma che usiamo per memorizzarle. |
|
Top |
|
|
{gabin} Ospite
|
Inviato: 09 Ago 2017 19:56 Oggetto: |
|
|
Queste cose sono insegnate da anni a tutti i sistemisti, visto che come avete scritto, sono ben conosciute.
Ma i giornalisti non sono sistemisti e quindi non lo hanno raccontato ai non-specialisti.
Quanto ai sistemisti delle grandi aziende, ahimé, mettiamoci sopra una pietra bella grossa: per loro conta di più uniformarsi con chi detta le regole (tipo il Burr) che non ciò che è meglio per l'azienda.
Possono sempre scaricare il barile, dicendo che hanno seguito le linee guida.
Quando (spesso) la burocrazia è fine a se stessa e provoca solo danni... |
|
Top |
|
|
Fenicio Eroe in grazia degli dei
Registrato: 25/02/10 08:45 Messaggi: 86
|
Inviato: 09 Ago 2017 21:42 Oggetto: |
|
|
invece fare password complesse serve solo a scriversele sul monitor del pc.
la maggior parte dei siti o delle applicazioni blocca l'account dopo 3-5 tentativi
ed è quella la strada migliore
in questo modo non si possono fare brute forcing e scoprire la password sarebbe delegata alla confessione più o meno consapevole del possessore.
se complichiamo le password o peggio costringiamo a cambiarle mensilmente, la possibilità che l'utente le scriva in un posto accessibile è elevatissima. |
|
Top |
|
|
{Marco} Ospite
|
Inviato: 10 Ago 2017 01:46 Oggetto: |
|
|
"Un ulteriore consiglio è verificare che la password che si sta per scegliere non sia in una lista di password compromesse, o usate di frequente: ciò mette al sicuro dagli attacchi basati su dizionario."
Come faccio a sapere se una password è in una di queste liste? |
|
Top |
|
|
milux Eroe
Registrato: 22/04/08 06:09 Messaggi: 70 Residenza: verso i Balcani
|
Inviato: 10 Ago 2017 06:54 Oggetto: |
|
|
Invece di 10000 password da memorizzare , perchè non vengono implementati gli accessi con smartcard ? Mi riferisco specialmente a certi servizi di home banking dove addirittura la password deve essere al massimo a 5 digit..così è più facile da decifrare? |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 10 Ago 2017 08:47 Oggetto: |
|
|
Fenicio ha scritto: | invece fare password complesse serve solo a scriversele sul monitor del pc.
la maggior parte dei siti o delle applicazioni blocca l'account dopo 3-5 tentativi
ed è quella la strada migliore
in questo modo non si possono fare brute forcing e scoprire la password sarebbe delegata alla confessione più o meno consapevole del possessore.
se complichiamo le password o peggio costringiamo a cambiarle mensilmente, la possibilità che l'utente le scriva in un posto accessibile è elevatissima. |
Quoto
Come il PIN del bancomat o delle schede SIM dei telefonini; sono composti unicamente da poche cifre, e non mi risulta che tali servizi siano violati quotidianamente |
|
Top |
|
|
Freestyler Semidio
Registrato: 12/05/06 12:04 Messaggi: 491
|
Inviato: 10 Ago 2017 09:22 Oggetto: |
|
|
{Marco} ha scritto: | "Un ulteriore consiglio è verificare che la password che si sta per scegliere non sia in una lista di password compromesse, o usate di frequente: ciò mette al sicuro dagli attacchi basati su dizionario."
Come faccio a sapere se una password è in una di queste liste? |
Esempio: https://github.com/danielmiessler/SecLists/tree/master/Passwords |
|
Top |
|
|
kamadora Comune mortale
Registrato: 25/05/16 11:50 Messaggi: 4
|
Inviato: 10 Ago 2017 14:58 Oggetto: |
|
|
Molti siti pretendono che la pw sia composta come chiedono loro, e persino la lunghezza. Io uso 1Password e a volte devo seguire quelle istruzioni. |
|
Top |
|
|
fingam Dio minore
Registrato: 02/05/05 09:58 Messaggi: 649 Residenza: Lugano, Isvizzera
|
Inviato: 10 Ago 2017 15:20 Oggetto: |
|
|
Ho capito bene se dico che questa nuova onda di pensiero è che, ad esempio, le parole sabbia, fastidiosa, mutande sarebbero tre password semplici, mentre ad unirle in "sabbiafastidiosamutande" generebbero una password molto complicata da scoprire per un algoritmo? |
|
Top |
|
|
francescodue Dio minore
Registrato: 26/09/08 10:00 Messaggi: 551
|
Inviato: 10 Ago 2017 23:25 Oggetto: |
|
|
Secondo me:
il problema di blocco del sito dopo tre tentativi è che dopo devo contattare il gestore per farmelo sbloccare.
E queste comunicazioni aggiuntive rendono "debole" la protezione.
Su SIM telefoniche e bancomat il sistema funziona perché "ho in mano" l'oggetto: se arrivo al blocco si suppone che sia un ladro.
Mentre, almento per le SIM, posso usare il PUK se proprio ero sbronzo.
Il sistema tipo home banking prevede di avere un oggetto fisico distinto che mi comunica minuto per minuto quale pwd usare; ma per funzionare ogni singolo sito dovrebbe fornirmi questo oggetto.
O in alternativa un software che faccia la stessa cosa: ma allora torniamo ad avere un punto debole come appunto un gestore di pwd.
Non credo che ci sia una soluzione a portata di mano.
Qualunque cosa una persona può pensare, può farlo anche un altro, e in un sistema predittivo (un algoritmo che ricostruisca la pwd) le abitudini della gente sono un ottimo grimaldello. |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 11 Ago 2017 08:46 Oggetto: |
|
|
Citazione: | Secondo me:
il problema di blocco del sito dopo tre tentativi è che dopo devo contattare il gestore per farmelo sbloccare.
E queste comunicazioni aggiuntive rendono "debole" la protezione. |
Per curiosità, tu quando fai login in un qualsiasi sito quante volte sbagli la password? A me capita, molto raramente, di sbagliarla al massimo una volta
In ogni caso può succedere che la password venga dimenticata anche se non è previsto il blocco dell'account dopo n tentativi errati, ed i sistemi per recuperarla ci sono tutt'ora senza dover contattare nessuno; al limite potrebbero essere resi più sicuri se potessero inviare la password provvisoria via SMS invece che per email (l'account di posta potrebbe essere compromesso)
Semmai il difetto che potrebbe avere il blocco dell'account dopo 3-5 tentativi sbagliati è che qualche burlone potrebbe divertirsi a bloccare gli utenti inserendo volutamente password errate, ma anche questa situazione si può evitare modificando l'id da immettere in fase di login: anziché l'accoppiata Nome utente/password (il Nome utente è visibile a tutti) potrebbe essere richiesto un altro dato, p.es Indirizzo email/password (l'email spesso non è visibile), oppure un altro dato immesso in fase di registrazione che non sia pubblico |
|
Top |
|
|
Fenicio Eroe in grazia degli dei
Registrato: 25/02/10 08:45 Messaggi: 86
|
Inviato: 11 Ago 2017 12:20 Oggetto: |
|
|
su quale sia il miglior modo di blocco tentativi ci sarebbe da scrivere un poema, il punto è che la password "Robusta" serve solo a dimenticarla più di frequente.
perchè potete fare tutti i giochetti mnemonici che volete ci sarà sempre il caso in cui vi chiedono un numero all'inizio e alla fine, il cavolo di carattere speciale solo alla fine e via discorrendo..
personalmente sono responsabile IT di ben 5 imprese. mi trovo a gestire oltre 200 password, e molte cambiano in continuazione.
qualcuno potrebbe dire....scemo ci sono degli applicativi che ti cifrano le password, così tu ti logghi a quella e le hai tutte...
il che è la stessa cosa di usare per qualsiasi servizio la stessa password!.
mi dilungo solo per dire che secondo me il miglior modo di proteggere un account delicato è quello che utilizza banca medilanum
semplicemente ti manda un sms con un avviso quando ti logghi e un sms con un codice one off di sblocco per le operazioni - devi inserire solo il tuo pin numerico e il codice. semplice affidabile ed alla portata di tutti. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12828 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 16 Ago 2017 14:49 Oggetto: |
|
|
zero ha scritto: | Usare maiuscole, minuscole, numeri, ecc. non e' sbagliato, e accresce la sicurezza.
Quello che non va bene (questo l'errore) e' stabilire una regola universale, per convertire le lettere in numeri (la O diventa ZERO, ecc). Una volta che la regola e' conosciuta a livello mondiale, la conosce e la sfrutta anche il programma che tenta di indovinare la psw.
Se ora inventano e divulgano nuove regole, si perde di nuovo la componente dell'imprevedibilita', e torniamo al punto di partenza.
La psw sicura deve essere generata in modo completamente casuale, e non si puo' fare affidamento sulla memoria umana, perche' e' impossibile ricordare le decine di psw diverse (io tra casa e lavoro ne avro' circa 150). Bisogna affidarsi a programmi appositi che le custodiscono per noi.
Ovviamente il punto critico diventa il database del programma che usiamo per memorizzarle. |
Quoto!
La debolezza delle linee guida di Blurr è la successiva ideazione di un codice crittografico semplificato per rendere le password complesse più facilmente memorizzabili.
Ovviamente un codice mnemonico può essere trasformato in un algoritmo di decrittazione, se vogliamo, le criticità delle regole di Blurr sono insite nella loro elevata capacità di creare password difficilmente decrittabili e quindi di difficile memorizzazione senza l'uso di password manager che possono quindi, a loro volta, diventare l'anello debole della catena. |
|
Top |
|
|
francescodue Dio minore
Registrato: 26/09/08 10:00 Messaggi: 551
|
Inviato: 28 Ago 2017 15:45 Oggetto: |
|
|
Mi è venuto in mente una cosa. Forse qualcuno di voi può dirmi la sua opinione.
Se oltre ad una password ho anche una "posizione" precisa dove inserirla: una riga specifica di una tabella, o una pagina specifica.
Un po' come chi ha la combinazione della cassaforte ma non sa dove essa sia.
Secondo voi avrebbe senso?
Oppure un captcha che ti autorizza ad inserire la password (si perde solo tempo, ma almeno i rompiscatole dovrebbero stancarsi). |
|
Top |
|
|
Roberto1960 Dio maturo
Registrato: 21/01/08 00:39 Messaggi: 1168 Residenza: Roma
|
Inviato: 06 Set 2017 14:53 Oggetto: |
|
|
fingam ha scritto: | Ho capito bene se dico che questa nuova onda di pensiero è che, ad esempio, le parole sabbia, fastidiosa, mutande sarebbero tre password semplici, mentre ad unirle in "sabbiafastidiosamutande" generebbero una password molto complicata da scoprire per un algoritmo? |
Non lo so se hai capito bene.
Di sicuro è la stessa cosa che faccio io.
Uso password che sono piccole frasi, che per me hanno un senso ben preciso, ma che di fatto sono assolutamente inviolabili perché composte da varie parole.
Sfido qualsiasi algoritmo a indovinare una password del tipo "nondigeriscoipeperoni"...
Per me questa sicurezza basta e avanza, e non vorrei cambiarla MAI ! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 06 Set 2017 16:57 Oggetto: |
|
|
Roberto1960 ha scritto:
Citazione: | Sfido qualsiasi algoritmo a indovinare una password del tipo "nondigeriscoipeperoni"...
Per me questa sicurezza basta e avanza |
Contento tu.....
Sappi che per come hai scritto quella password, un buon hacker, te la demolisce in un paio di ore.
E non sto scherzando. |
|
Top |
|
|
Roberto1960 Dio maturo
Registrato: 21/01/08 00:39 Messaggi: 1168 Residenza: Roma
|
Inviato: 07 Set 2017 17:53 Oggetto: |
|
|
@ R16:
Cioé tu sostieni che se io per esempio metto una password come quella ad una casella email, dove si hanno solo meno di 10 tentativi per beccare la password e poi il provider blocca la casella, un buon hacker riesce ad entrare nella mia casella in un paio d'ore?
Io penso che che posso dormire sonni tranquilli per parecchi anni...
Poi certo se devo proteggermi anche da robot che fanno migliaia di tentativi al secondo è meglio metterci in mezzo tre o quattro caratteri speciali o numeri. Su questo ti do ragione. |
|
Top |
|
|
|