Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 12 Feb 2022 15:35 Oggetto: I peggiori 20 tipi di password |
|
|
Leggi l'articolo I peggiori 20 tipi di password
Nomignoli, animali domestici, parolacce e altro ancora: tutti li usano, ma sono il modo più rapido per farsi hackerare.
Segnala un refuso
|
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1945
|
Inviato: 12 Feb 2022 15:56 Oggetto: |
|
|
Molta responsabilita' pero' ricade sugli amministratori dei vari siti web, che NON applicano nessuna politica sulle regole delle password.
L'utente puo' essere anche una persona priva di nozioni di informatica, ma chi amministra un sito web, NO!
Basta impostare alcuni vincoli (lunghezza minina, lettere, numeri, ecc) e le password banali, spariscono.
Inoltre, bisognerebbe dare maggior risalto allo scopo della password, che non e' "La password mi serve per entrare", ma piuttosto "La password serve per tenere fuori gli altri". |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 13 Feb 2022 10:36 Oggetto: |
|
|
Aggiungerei pure che la responsabilità dei gestori si estende al non avere delle politiche standardizzate nella definizione delle passwords. Ogni volta che devo cambiarne una, i criteri consentiti sono diversi e spesso incoerenti: chi non accetta i caratteri speciali, chi ne accetta solo un ristretto (e mai omogeneo) insieme, chi impone lunghezze massime ridicole, e così via. Se si vuole responsabilizzare gli utenti, bisogna pure dar loro gli strumenti per farlo. |
|
Top |
|
|
Ripper_92 Eroe in grazia degli dei
Registrato: 11/09/09 10:03 Messaggi: 193
|
Inviato: 15 Feb 2022 17:53 Oggetto: |
|
|
zero ha scritto: | Molta responsabilita' pero' ricade sugli amministratori dei vari siti web, che NON applicano nessuna politica sulle regole delle password.
L'utente puo' essere anche una persona priva di nozioni di informatica, ma chi amministra un sito web, NO!
Basta impostare alcuni vincoli (lunghezza minina, lettere, numeri, ecc) e le password banali, spariscono. |
Perché dovrebbero? Non sono forze dell'ordine. È come se andassi a comprare un auto dal concessionario e il venditore non mi dà le chiavi perché se guidassi incoscientemente potrei investire qualcuno. O ancora meglio se mettessi una porta di carta velina al posto di una porta blindata nella mia abitazione e poi andassi a far causa al comune quando entrano in casa i ladri per la mia noncuranza. Vorrei ricordare che in Italia si prende ancora la multa per istigazione al furto.
Se l'utente non dà importanza alle sue informazioni, pure sensibili, è un problema dell'utente.
Side note: è proprio capitato domenica scorsa che è stato compromesso l'account Twitter di Anish Giri, fra i più forti gran maestri di scacchi al mondo. Facciamo causa a Twitter perché non ha attivato la 2FA che avrebbe potuto proteggerlo anche con password violata?! Dai, siamo realisti... |
|
Top |
|
|
gomez Dio maturo
Registrato: 28/06/05 10:26 Messaggi: 2105 Residenza: Provincia di Torino
|
Inviato: 16 Feb 2022 04:31 Oggetto: |
|
|
zero ha scritto: | Molta responsabilita' pero' ricade sugli amministratori dei vari siti web, che NON applicano nessuna politica sulle regole delle password. |
O magari applicano regole assurde su lunghezza, combinazione di caratteri, frequenza di cambio... spingendo l'utente a scegliere pw impossibili da ricordare e a scriverle su un post-it appiccicato sotto alla tastiera, durante un controllo in ditta ne avevamo trovate a dozzine. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 19 Feb 2022 15:55 Oggetto: |
|
|
Ritengo che le uniche azioni di mitigazione del problema siano l'uso personale di un gestore di password e l'ampliamento dell'uso dell'autenticazione a due fattori per gli accessi ai siti.
E, comunque, difficilmente la totalità degli utenti si adeguerà a buone pratiche di creazione ed uso delle password. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 20 Feb 2022 08:29 Oggetto: |
|
|
Citazione: | E, comunque, difficilmente la totalità degli utenti si adeguerà a buone pratiche di creazione ed uso delle password. |
Sì, se gli impedisci di fare altrimenti.
In azienda abbiamo policies parecchio restrittive su durata e formato, basterebbe estenderne di analoghe. Sarebbe una gran cosa, come ho detto in precedenza, che fossero pure omogenee, ma sarebbe un primo passo comunque. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 20 Feb 2022 11:04 Oggetto: |
|
|
@Homer S.
In generale nelle aziende si è costretti a determinate pratiche dalle policies aziendali e non ti dico le lamentele che ci sono per dover cambiare password troppo di frequente o per non poter più usare le chiavette USB.
Con i dispositivi e le credenziali personali il mondo invece è molto più libero e ci sono vincoli solo in determinati accessi che, concordo con te, sarebbe bello avessero più omogeneità ma credo che sia un'utopia. |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 20 Feb 2022 12:28 Oggetto: |
|
|
zero ha scritto: | Molta responsabilita' pero' ricade sugli amministratori dei vari siti web, che NON applicano nessuna politica sulle regole delle password.
L'utente puo' essere anche una persona priva di nozioni di informatica, ma chi amministra un sito web, NO!
Basta impostare alcuni vincoli (lunghezza minina, lettere, numeri, ecc) e le password banali, spariscono[...] | Condivido ma non troppo... Mi spiego: se i siti avessero una policy sul numero di tentativi di accesso non andati a buon fine probabilmente non ci sarebbe bisogno di usare password particolarmente complesse; p.es. dopo tre volte in cui si è inserita la password sbagliata il server non accetta più tentativi di login per quell'utente per 10 minuti, poi dopo altri tre tentativi falliti la pausa diventa mezz'ora e via di seguito. IMHO con questo sistema gli attacchi brute force diventerebbero inutilizzabili. E non credo sia così difficile implementare una strategia del genere, dato che personalmente l'ho vista applicata in un qualche sito web |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 20 Feb 2022 15:04 Oggetto: |
|
|
@Cesco67
L'idea mi sembra buona e condivisibile, purtroppo rischia di scontrarsi con una pletora di utenti poco attenti o troppo digiuni dei principi minimi e basilare che si troverebbero frequentemente ad essere penalizzati più per propri limiti che per situazioni endogene. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 21 Feb 2022 17:06 Oggetto: |
|
|
A me pare invece che darebbe il via ad una nuova forma di ransomware: isolato un bersaglio, faccio apposta a fargli bloccare l'utenza a ripetizione (basta un bot), poi in separata sede scrivo all'interessato: paga il "pizzo" o ti rendo l'account inservibile. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 21 Feb 2022 18:51 Oggetto: |
|
|
Homer S. ha scritto: | A me pare invece che darebbe il via ad una nuova forma di ransomware: isolato un bersaglio, faccio apposta a fargli bloccare l'utenza a ripetizione (basta un bot), poi in separata sede scrivo all'interessato: paga il "pizzo" o ti rendo l'account inservibile. |
Allora sei proprio un genio del male... |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 22 Feb 2022 08:27 Oggetto: |
|
|
In realtà sono solo un pessimista cronico: per me il bicchiere è sempre mezzo vuoto, ma l'altra metà se l'è bevuta qualcuno prima di me. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 22 Feb 2022 18:55 Oggetto: |
|
|
@Homer S.
Allora sei anche peggio di me, io avevo sempre pensato che l'altra metà non ci fosse mai stata... |
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6201 Residenza: Atlantica
|
Inviato: 27 Ott 2022 12:42 Oggetto: |
|
|
Homer S. ha scritto: | A me pare invece che darebbe il via ad una nuova forma di ransomware: isolato un bersaglio, faccio apposta a fargli bloccare l'utenza a ripetizione (basta un bot), poi in separata sede scrivo all'interessato: paga il "pizzo" o ti rendo l'account inservibile. |
In realtà ci sono siti che adottano politiche di temporizzazione graduale nei falliti accessi, e sono sopratutto banche, assicurazioni ed istituzioni finanziarie.
Ma il criminale, che non è stupido, si rende conto della difficile redditività di questa azione, perchè devi appunto isolare un bersaglio e minacciarlo, confidando che :
Ti paghi senza denunciarti a nessuno
oppure non ti paga e ti denuncia trovandoti cosi a dover gestire indagini di polizia stimolate da banca/finanziaria che non vuole che i suoi clienti siano vittime di atti del genere.
Difficile che un eventuale criminale che si trovi in cina/moldavia/nigeria/paese del cavolo a caso venga mai beccato, ma nonostante questo il criminale non impiega il proprio tempo per 1/10/100 euro e cercherà invece reati con un alto livello di renumerazione.
Tanto per fare un paragone c'è quello che rompe il distributore automatico delle sigarette di notte, per rubare il contenuto, e quello che ruba un intero camino di sigarette. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 29 Ott 2022 10:37 Oggetto: |
|
|
zeross ha scritto: | [...]Difficile che un eventuale criminale che si trovi in cina/moldavia/nigeria/paese del cavolo a caso venga mai beccato, ma nonostante questo il criminale non impiega il proprio tempo per 1/10/100 euro e cercherà invece reati con un alto livello di renumerazione. |
Però, se i 10/100 euro si possono, con lo stesso sforzo, ottenere da 1.000/10.000/100.000 vittime e, stante, le scarsissime probabilità di essere beccati, la cosa potrebbe essere alettante egualmente...
zeross ha scritto: | Tanto per fare un paragone c'è quello che rompe il distributore automatico delle sigarette di notte, per rubare il contenuto, e quello che ruba un intero camino di sigarette. |
Immagino intendessi camion, nel camino le sigarette si fumano tutte in una volta da sole... |
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6201 Residenza: Atlantica
|
Inviato: 31 Ott 2022 17:38 Oggetto: |
|
|
PER IL CORRETTORE AUTOMATICO CAMION NON ESISTE E DEVE ESSERE SOSTITUITO DA CAMINO
se scrivo in maiusColo il correttore ignora qualsiasi bioata |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 31 Ott 2022 17:48 Oggetto: |
|
|
Di solito i correttori ortografici fanno più danni che benefici almeno per mia esperienza... |
|
Top |
|
|
Cesco67 Dio maturo
Registrato: 15/10/09 10:34 Messaggi: 1758 Residenza: EU
|
Inviato: 31 Ott 2022 20:21 Oggetto: |
|
|
@Gladiator
Condivido in parte. Basta configurarlo a modo ed il correttore diventa un ottimo aiuto. P.es. nel telefonino l'ho impostato in modo da suggerire le parole ma non sostituire automaticamente il testo digitato. Anche nel PC l'ho impostata in modo analogo; le parole che non conosce le sottolinea in rosso, ma non le "corregge" in autonomia. |
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6201 Residenza: Atlantica
|
Inviato: 31 Ott 2022 20:31 Oggetto: |
|
|
@Cesco67
Come spieghi che il correttore ignorante mi deve continuare a cambiare "da" in "fa" senza potergli dire che se 'se io vengo da Roma non me lo può correggere o sottolineare in rosso ogni volta io vengo fa Roma |
|
Top |
|
|
|