Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Password, abbiamo sbagliato tutto
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 08 Ago 2017 19:00    Oggetto: Password, abbiamo sbagliato tutto Rispondi citando

Leggi l'articolo Password, abbiamo sbagliato tutto
Usare numeri, maiuscole e caratteri speciali non serve, anzi è dannoso: lo confessa l'uomo che inventato queste regole.


 

 

Segnala un refuso
Top
seagate
Eroe
Eroe


Registrato: 24/02/16 11:44
Messaggi: 60
Residenza: Via Lattea

MessaggioInviato: 09 Ago 2017 06:27    Oggetto: Rispondi citando

Citazione:
Invece è più utile usare password composte da diverse parole di uso comune ma slegate tra loro quanto al significato, in modo da avere una password lunga, difficile da indovinare per un algoritmo, ma comunque facilmente memorizzabile. Proprio come consiglia Munroe nella vignetta che abbiamo citato.

Sempre fatto così.
Top
Profilo Invia messaggio privato
{Piero}
Ospite





MessaggioInviato: 09 Ago 2017 07:58    Oggetto: Rispondi citando

Bisogna anche considerare il problema dei siti/applicazioni che non accettano nemmeno una password complessa, alcuni addirittura accettano solo password di 8 numeri.
Top
zero
Dio maturo
Dio maturo


Registrato: 22/03/08 17:34
Messaggi: 1935

MessaggioInviato: 09 Ago 2017 18:09    Oggetto: Rispondi citando

Usare maiuscole, minuscole, numeri, ecc. non e' sbagliato, e accresce la sicurezza.

Quello che non va bene (questo l'errore) e' stabilire una regola universale, per convertire le lettere in numeri (la O diventa ZERO, ecc). Una volta che la regola e' conosciuta a livello mondiale, la conosce e la sfrutta anche il programma che tenta di indovinare la psw.

Se ora inventano e divulgano nuove regole, si perde di nuovo la componente dell'imprevedibilita', e torniamo al punto di partenza.

La psw sicura deve essere generata in modo completamente casuale, e non si puo' fare affidamento sulla memoria umana, perche' e' impossibile ricordare le decine di psw diverse (io tra casa e lavoro ne avro' circa 150). Bisogna affidarsi a programmi appositi che le custodiscono per noi.

Ovviamente il punto critico diventa il database del programma che usiamo per memorizzarle.
Top
Profilo Invia messaggio privato
{gabin}
Ospite





MessaggioInviato: 09 Ago 2017 19:56    Oggetto: Rispondi citando

Queste cose sono insegnate da anni a tutti i sistemisti, visto che come avete scritto, sono ben conosciute.
Ma i giornalisti non sono sistemisti e quindi non lo hanno raccontato ai non-specialisti.
Quanto ai sistemisti delle grandi aziende, ahimé, mettiamoci sopra una pietra bella grossa: per loro conta di più uniformarsi con chi detta le regole (tipo il Burr) che non ciò che è meglio per l'azienda.
Possono sempre scaricare il barile, dicendo che hanno seguito le linee guida.
Quando (spesso) la burocrazia è fine a se stessa e provoca solo danni...
Top
Fenicio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 25/02/10 08:45
Messaggi: 86

MessaggioInviato: 09 Ago 2017 21:42    Oggetto: Rispondi citando

invece fare password complesse serve solo a scriversele sul monitor del pc.
la maggior parte dei siti o delle applicazioni blocca l'account dopo 3-5 tentativi
ed è quella la strada migliore
in questo modo non si possono fare brute forcing e scoprire la password sarebbe delegata alla confessione più o meno consapevole del possessore.

se complichiamo le password o peggio costringiamo a cambiarle mensilmente, la possibilità che l'utente le scriva in un posto accessibile è elevatissima.
Top
Profilo Invia messaggio privato
{Marco}
Ospite





MessaggioInviato: 10 Ago 2017 01:46    Oggetto: Rispondi citando

"Un ulteriore consiglio è verificare che la password che si sta per scegliere non sia in una lista di password compromesse, o usate di frequente: ciò mette al sicuro dagli attacchi basati su dizionario."

Come faccio a sapere se una password è in una di queste liste?
Top
milux
Eroe
Eroe


Registrato: 22/04/08 06:09
Messaggi: 70
Residenza: verso i Balcani

MessaggioInviato: 10 Ago 2017 06:54    Oggetto: Rispondi citando

Invece di 10000 password da memorizzare , perchè non vengono implementati gli accessi con smartcard ? Mi riferisco specialmente a certi servizi di home banking dove addirittura la password deve essere al massimo a 5 digit..così è più facile da decifrare?
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 10 Ago 2017 08:47    Oggetto: Rispondi citando

Fenicio ha scritto:
invece fare password complesse serve solo a scriversele sul monitor del pc.
la maggior parte dei siti o delle applicazioni blocca l'account dopo 3-5 tentativi
ed è quella la strada migliore
in questo modo non si possono fare brute forcing e scoprire la password sarebbe delegata alla confessione più o meno consapevole del possessore.

se complichiamo le password o peggio costringiamo a cambiarle mensilmente, la possibilità che l'utente le scriva in un posto accessibile è elevatissima.

Quoto
Come il PIN del bancomat o delle schede SIM dei telefonini; sono composti unicamente da poche cifre, e non mi risulta che tali servizi siano violati quotidianamente
Top
Profilo Invia messaggio privato
Freestyler
Semidio
Semidio


Registrato: 12/05/06 12:04
Messaggi: 491

MessaggioInviato: 10 Ago 2017 09:22    Oggetto: Rispondi citando

{Marco} ha scritto:
"Un ulteriore consiglio è verificare che la password che si sta per scegliere non sia in una lista di password compromesse, o usate di frequente: ciò mette al sicuro dagli attacchi basati su dizionario."

Come faccio a sapere se una password è in una di queste liste?


Esempio: https://github.com/danielmiessler/SecLists/tree/master/Passwords
Top
Profilo Invia messaggio privato
kamadora
Comune mortale
Comune mortale


Registrato: 25/05/16 11:50
Messaggi: 4

MessaggioInviato: 10 Ago 2017 14:58    Oggetto: Rispondi citando

Molti siti pretendono che la pw sia composta come chiedono loro, e persino la lunghezza. Io uso 1Password e a volte devo seguire quelle istruzioni.
Top
Profilo Invia messaggio privato
fingam
Dio minore
Dio minore


Registrato: 02/05/05 09:58
Messaggi: 649
Residenza: Lugano, Isvizzera

MessaggioInviato: 10 Ago 2017 15:20    Oggetto: Rispondi citando

Ho capito bene se dico che questa nuova onda di pensiero è che, ad esempio, le parole sabbia, fastidiosa, mutande sarebbero tre password semplici, mentre ad unirle in "sabbiafastidiosamutande" generebbero una password molto complicata da scoprire per un algoritmo?
Top
Profilo Invia messaggio privato
francescodue
Dio minore
Dio minore


Registrato: 26/09/08 10:00
Messaggi: 550

MessaggioInviato: 10 Ago 2017 23:25    Oggetto: Rispondi citando

Secondo me:
il problema di blocco del sito dopo tre tentativi è che dopo devo contattare il gestore per farmelo sbloccare.
E queste comunicazioni aggiuntive rendono "debole" la protezione.
Su SIM telefoniche e bancomat il sistema funziona perché "ho in mano" l'oggetto: se arrivo al blocco si suppone che sia un ladro.
Mentre, almento per le SIM, posso usare il PUK se proprio ero sbronzo.
Il sistema tipo home banking prevede di avere un oggetto fisico distinto che mi comunica minuto per minuto quale pwd usare; ma per funzionare ogni singolo sito dovrebbe fornirmi questo oggetto.
O in alternativa un software che faccia la stessa cosa: ma allora torniamo ad avere un punto debole come appunto un gestore di pwd.
Non credo che ci sia una soluzione a portata di mano.
Qualunque cosa una persona può pensare, può farlo anche un altro, e in un sistema predittivo (un algoritmo che ricostruisca la pwd) le abitudini della gente sono un ottimo grimaldello.
Top
Profilo Invia messaggio privato
Cesco67
Dio maturo
Dio maturo


Registrato: 15/10/09 10:34
Messaggi: 1758
Residenza: EU

MessaggioInviato: 11 Ago 2017 08:46    Oggetto: Rispondi citando

Citazione:
Secondo me:
il problema di blocco del sito dopo tre tentativi è che dopo devo contattare il gestore per farmelo sbloccare.
E queste comunicazioni aggiuntive rendono "debole" la protezione.

Per curiosità, tu quando fai login in un qualsiasi sito quante volte sbagli la password? A me capita, molto raramente, di sbagliarla al massimo una volta
In ogni caso può succedere che la password venga dimenticata anche se non è previsto il blocco dell'account dopo n tentativi errati, ed i sistemi per recuperarla ci sono tutt'ora senza dover contattare nessuno; al limite potrebbero essere resi più sicuri se potessero inviare la password provvisoria via SMS invece che per email (l'account di posta potrebbe essere compromesso)
Semmai il difetto che potrebbe avere il blocco dell'account dopo 3-5 tentativi sbagliati è che qualche burlone potrebbe divertirsi a bloccare gli utenti inserendo volutamente password errate, ma anche questa situazione si può evitare modificando l'id da immettere in fase di login: anziché l'accoppiata Nome utente/password (il Nome utente è visibile a tutti) potrebbe essere richiesto un altro dato, p.es Indirizzo email/password (l'email spesso non è visibile), oppure un altro dato immesso in fase di registrazione che non sia pubblico
Top
Profilo Invia messaggio privato
Fenicio
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 25/02/10 08:45
Messaggi: 86

MessaggioInviato: 11 Ago 2017 12:20    Oggetto: Rispondi citando

su quale sia il miglior modo di blocco tentativi ci sarebbe da scrivere un poema, il punto è che la password "Robusta" serve solo a dimenticarla più di frequente.
perchè potete fare tutti i giochetti mnemonici che volete ci sarà sempre il caso in cui vi chiedono un numero all'inizio e alla fine, il cavolo di carattere speciale solo alla fine e via discorrendo..
personalmente sono responsabile IT di ben 5 imprese. mi trovo a gestire oltre 200 password, e molte cambiano in continuazione.

qualcuno potrebbe dire....scemo ci sono degli applicativi che ti cifrano le password, così tu ti logghi a quella e le hai tutte...
il che è la stessa cosa di usare per qualsiasi servizio la stessa password!.

mi dilungo solo per dire che secondo me il miglior modo di proteggere un account delicato è quello che utilizza banca medilanum
semplicemente ti manda un sms con un avviso quando ti logghi e un sms con un codice one off di sblocco per le operazioni - devi inserire solo il tuo pin numerico e il codice. semplice affidabile ed alla portata di tutti.
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 16 Ago 2017 14:49    Oggetto: Rispondi citando

zero ha scritto:
Usare maiuscole, minuscole, numeri, ecc. non e' sbagliato, e accresce la sicurezza.

Quello che non va bene (questo l'errore) e' stabilire una regola universale, per convertire le lettere in numeri (la O diventa ZERO, ecc). Una volta che la regola e' conosciuta a livello mondiale, la conosce e la sfrutta anche il programma che tenta di indovinare la psw.

Se ora inventano e divulgano nuove regole, si perde di nuovo la componente dell'imprevedibilita', e torniamo al punto di partenza.

La psw sicura deve essere generata in modo completamente casuale, e non si puo' fare affidamento sulla memoria umana, perche' e' impossibile ricordare le decine di psw diverse (io tra casa e lavoro ne avro' circa 150). Bisogna affidarsi a programmi appositi che le custodiscono per noi.

Ovviamente il punto critico diventa il database del programma che usiamo per memorizzarle.

Quoto!

La debolezza delle linee guida di Blurr è la successiva ideazione di un codice crittografico semplificato per rendere le password complesse più facilmente memorizzabili.
Ovviamente un codice mnemonico può essere trasformato in un algoritmo di decrittazione, se vogliamo, le criticità delle regole di Blurr sono insite nella loro elevata capacità di creare password difficilmente decrittabili e quindi di difficile memorizzazione senza l'uso di password manager che possono quindi, a loro volta, diventare l'anello debole della catena.
Top
Profilo Invia messaggio privato
francescodue
Dio minore
Dio minore


Registrato: 26/09/08 10:00
Messaggi: 550

MessaggioInviato: 28 Ago 2017 15:45    Oggetto: Rispondi citando

Mi è venuto in mente una cosa. Forse qualcuno di voi può dirmi la sua opinione.
Se oltre ad una password ho anche una "posizione" precisa dove inserirla: una riga specifica di una tabella, o una pagina specifica.
Un po' come chi ha la combinazione della cassaforte ma non sa dove essa sia.
Secondo voi avrebbe senso?
Oppure un captcha che ti autorizza ad inserire la password (si perde solo tempo, ma almeno i rompiscatole dovrebbero stancarsi).
Top
Profilo Invia messaggio privato
Roberto1960
Dio maturo
Dio maturo


Registrato: 21/01/08 00:39
Messaggi: 1168
Residenza: Roma

MessaggioInviato: 06 Set 2017 14:53    Oggetto: Rispondi citando

fingam ha scritto:
Ho capito bene se dico che questa nuova onda di pensiero è che, ad esempio, le parole sabbia, fastidiosa, mutande sarebbero tre password semplici, mentre ad unirle in "sabbiafastidiosamutande" generebbero una password molto complicata da scoprire per un algoritmo?

Non lo so se hai capito bene.
Di sicuro è la stessa cosa che faccio io.
Uso password che sono piccole frasi, che per me hanno un senso ben preciso, ma che di fatto sono assolutamente inviolabili perché composte da varie parole.
Sfido qualsiasi algoritmo a indovinare una password del tipo "nondigeriscoipeperoni"...
Per me questa sicurezza basta e avanza, e non vorrei cambiarla MAI !
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 06 Set 2017 16:57    Oggetto: Rispondi citando

Roberto1960 ha scritto:
Citazione:
Sfido qualsiasi algoritmo a indovinare una password del tipo "nondigeriscoipeperoni"...
Per me questa sicurezza basta e avanza

Contento tu..... Rolling Eyes
Sappi che per come hai scritto quella password, un buon hacker, te la demolisce in un paio di ore.
E non sto scherzando.
Top
Profilo Invia messaggio privato
Roberto1960
Dio maturo
Dio maturo


Registrato: 21/01/08 00:39
Messaggi: 1168
Residenza: Roma

MessaggioInviato: 07 Set 2017 17:53    Oggetto: Rispondi

@ R16:
Cioé tu sostieni che se io per esempio metto una password come quella ad una casella email, dove si hanno solo meno di 10 tentativi per beccare la password e poi il provider blocca la casella, un buon hacker riesce ad entrare nella mia casella in un paio d'ore?
Io penso che che posso dormire sonni tranquilli per parecchi anni...

Poi certo se devo proteggermi anche da robot che fanno migliaia di tentativi al secondo è meglio metterci in mezzo tre o quattro caratteri speciali o numeri. Su questo ti do ragione.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi