Ermopoli
L'antica città della conoscenza
  
    
Torna indietro   Ermopoli > Forum > Accademia > Tecnologia > Pc

 
 
Strumenti discussione Cerca in questa discussione
Vecchio 18-02-2012, 17.58.32   #1
RedWitch
Cittadino/a Emerito/a
 
L'avatar di RedWitch
 
Data registrazione: 20-12-2004
Messaggi: 3,537
Predefinito Password sicura

Qualche tempo fa, mi è arrivata la segnalazione che qualcuno aveva cercato di violare l'account di un sito ecommerce a cui sono iscritta, così, prima di cambiare la password, mi sono letta un po' di informazioni in giro, che credo possano essere utili ache ad altri, alcune sembrano scontate, ma a volte, si usano password facili per poterle ricordare, che sono pero' vulnerabili.

Prima di tutto, vietate le parole che possano essere associabili a voi, tipo data di nascita, segno zodiacale, nome dei propri cuccioli o bambini etc, o addirittura il codice fiscale.
Bandito anche l'uso della stessa password in tutti i siti a cui vi siete iscritti, altrimenti se disgraziatamente qualcuno riuscisse ad accedere a quella password potrebbe utilizzarla per qualsiasi cosa vi appartenga.
Meglio non utilizzare parole corte, nè password formate da sole lettere, se è permesso meglio mischiare maiuscole, minuscole, punteggiatura e numeri.

La password dovrà avere almeno 8 caratteri, e si possono poi sostituire alcune lettere con numeri o caratteri speciali (ad esempio una A puo' diventare @, un 1 puo' diventare I e via dicendo).

Il problema pero' diventa ricordarsi una password che contenga caratteri diversi e lettere che magari non hanno nessun significato di senso compiuto.

Ovviamente possiamo scrivere un nostro elenco di password a parte, pero' non è che sia comodissimo, oppure trovare un trucchetto per ricordarla: ad esempio usare la prima lettera (o le prime due) di ogni parola di un detto + una data che ci ricordiamo, mettendo magari il giorno prima delle lettere e mese e anno dopo.
Un esempio: come quando fuori piove (questo di norma serve a ricordare la sequenza dei semi delle carte )
E per data prendiamo quella di oggi: 18/02/'12

Avremo: 18coqufupi0212

E sarà relativamente facile da ricordare...

Esistono poi in rete delle tabelline con cui si puo' sostituire ogni singola lettera con un binomio di lettere, o addirittura dei generatori di password automatici, che epro' generano password che, secondo me sono impossibili da ricordare, se non scrivendosele a parte.

Conoscete altri metodi?
RedWitch non è connesso  
Vecchio 18-02-2012, 18.25.56   #2
luke
Organizza eventi
 
L'avatar di luke
 
Data registrazione: 27-03-2009
Messaggi: 2,273
Predefinito

Purtroppo è un problema che si fa sempre più complesso, ormai tra siti, lavoro, banche, pin ecc può capitare di dovrsi ricordare 15-20 password diverse.Poi magari ogni tot. vanno cambiate e non possono essere uguali alle ultime già usate...

COme hai già detto potrebbe essere comodo usare la stessa per più casi, magari quelli meno "sensibili", con minori danni derivanti da eventuali intrusioni, la banche ad esempio inizianoad usare sistemi tipo il token per ovviare a quesit problemi.

Per le altre...sistemi oltre a quelli già detti non mi vengono....magari date importanti della nostra vita, nell epassword temporanne qualche dato che ci faccia ricordare quando la abbiamo inserita, tipo febb012 se messa in questo mese.

Oppure un nucleo fisso, tipo una sigla di poche lettere, su cui si fanno girare parti variabili.
__________________
in tenebris lux factus sum
luke non è connesso  
Vecchio 20-02-2012, 13.27.23   #3
Faltea
Partecipa agli eventi
 
Data registrazione: 18-03-2007
Messaggi: 1,164
Predefinito

Purtroppo esistono dei programmi che "sfondano" qualunque password, basta dargli il tempo.
E' pur vero che di rado prendono di mira persone come noi che come dati utili abbiamo ben poco.
Spesso usano attaccarsi alla rete wireless per collegarsi a "uffo" ad internet ed alle volte sbirciano nei pc..

In questo caso dipende da cosa si tiene nel pc, le password è meglio tenerle su un block di carta a parte, non serve a molto nemmeno proteggere le cartelle con la password in quanto ci sono dei programmi che ricercano velocemente nel pc tutto ciò che è protetto per aprirlo.
Infatti si proteggono le cose che non si vogliono far leggere ad altri ed è proprio questo che cercano i furbacchioni!

La soluzione migliore ed unica, oltre a seguire le specifiche di Red su come deve essere composta una password è cambiarla spesso, almeno una volta al mese.
Ma chi ci sta dietro? Già mi da noia la banca che me la fa continuamente cambiare...
__________________
Non ho bisogno di chi la pensa come me, ma di crescere aprendo la mente a diversi modi di vedere e di pensare.
Faltea non è connesso  
Vecchio 20-02-2012, 15.24.39   #4
Uno
Amministratore
 
L'avatar di Uno
 
Data registrazione: 28-05-2004
Messaggi: 9,693
Predefinito

Citazione:
Originalmente inviato da Faltea Visualizza messaggio
Purtroppo esistono dei programmi che "sfondano" qualunque password, basta dargli il tempo.
Una password che non sia pippo e di almeno 20 caratteri se ne devono prendere di tempo......

a meno che
Citazione:
è meglio tenerle su un block di carta a parte,
non la scriviamo su un bel post it attaccato al monitor dell'ufficio
Sono più i dati violati in questo modo che quelli con un brute force



Citazione:
non serve a molto nemmeno proteggere le cartelle con la password in quanto ci sono dei programmi che ricercano velocemente nel pc tutto ciò che è protetto per aprirlo.
Infatti si proteggono le cose che non si vogliono far leggere ad altri ed è proprio questo che cercano i furbacchioni!
No, non serve a molto soprattutto su windows con programmi di dubbia natura.
Direi che è indispensabile crittografare l'intero hard disk per un notebook che ci portiamo in giro, ma in ogni caso quando il pc è acceso (o la cartella protetta aperta) i dati sono visibili e li conta quanto sicura sia la nostra connessione internet e l'accesso al mondo esterno

Citazione:
La soluzione migliore ed unica, oltre a seguire le specifiche di Red su come deve essere composta una password è cambiarla spesso, almeno una volta al mese.
Ma chi ci sta dietro? Già mi da noia la banca che me la fa continuamente cambiare...
Oggi per molti è necessaria una gestione centralizzata delle password, vanno messe in un elenco gestito da una unica robusta password, memnonica ma solo per noi.
Vanno eliminate quelle che si possono eliminare, per i server e per molti servizi si possono usare delle chiavi su file (che ovviamente vanno conservati al sicuro) e le altre vanno cambiate o a caso ma in maniera complessa o generandole con qualche programmino, tanto se le teniamo al sicuro non serve ricordarle a memoria

Vi faccio due esempi
Password generica da non memorizzare ma da gestire in apposito elenco protetto:
sD2kDmt90Pdlk3eWLf7j2Jb1x8Zl$

Oppure password memnonica per ermopoli

erm94redgibgrinikede12astlukfil etc....

E' solo un esempio, ma solo mettendo le prime tre lettere di tanti nick in un certo ordine si ottiene già una password robusta. Per renderla ancor più rubusta si possono usare i nomi veri di chi si conosce, al post delle prime tre lettere si possono usare le ultime tre, o quelle dalla 2° alla 4° posizione etc....

Per un forum non serve arrivare a tanto e le 8 cifre che diceva Red sono già più che sufficienti, ma l'idea è per una password generale personale.
Uno non è connesso  
Vecchio 20-02-2012, 16.21.15   #5
Ray
E' praticamente nato/a qui
 
L'avatar di Ray
 
Data registrazione: 10-08-2005
Messaggi: 7,218
Predefinito

Citazione:
Originalmente inviato da Uno Visualizza messaggio
Una password che non sia pippo e di almeno 20 caratteri se ne devono prendere di tempo......
Si conosce la velocità con cui questi programmi che cercano di trovare le password le processano? Vorrei provare a fare due conti su quanto tempo effettivamente ci vorrebbe per entrare...
__________________

Ray non è connesso  
Vecchio 20-02-2012, 16.59.19   #6
Uno
Amministratore
 
L'avatar di Uno
 
Data registrazione: 28-05-2004
Messaggi: 9,693
Predefinito

Citazione:
Originalmente inviato da Ray Visualizza messaggio
Si conosce la velocità con cui questi programmi che cercano di trovare le password le processano? Vorrei provare a fare due conti su quanto tempo effettivamente ci vorrebbe per entrare...
Dipende da tante variabili tra cui la più importante è la potenza di calcolo computazionale dell'hardware a disposizione, ma anche dai tempi di risposta del software di "arrivo"

Per capirci mettiamo che uno voglia fare un brute force su un login qui sul forum, lasciamo perdere che il forum ha un sistema di protezione (dopo 5 errori si ferma per un tot) ma anche se fosse senza tale sistema ad ogni tentativo occorrerebbe:
Computer attaccante che genera il primo tentativo
Tempo di arrivo al server di Ermopoli
Tempo perchè il forum processi la password e stabilisca se è giusta
Tempo per generare la pagina di conferma o di errore
Tempo perchè la pagina arrivi al pc dell'attaccante.

Se è un errore il pc dell'attaccante scarta il primo tentativo e passa al secondo e poi ricomincia il ciclo.


A questo iter può subentrare l'attacco da più postazioni, cioè da diversi pc che tentano di entrare ognuno con una password diversa.
Nel caso di un server ci sono altre protezioni che quando "vedono" un certo tipo di traffico danno l'alt.... magari rendono impossibile la navigazione ma non riescono a rubare le password. Infatti nessuno tenta una cosa del genere, tentano altro che preferisco non dire qui pubblicamente.

Il discorso è diverso se parliamo di un programma che viene installato direttamente dentro il pc da cui rubare qualcosa salvato con password. In quel caso tutto dipende dalla potenza di quel pc e se, come dovrebbe essere questo programma "sfonda password" viene tenuto un pò nascosto. Se tu sei la pc e questo non ti fa fare più nulla perchè un programma si sta ciucciando tutta la potenza se sei capace gli dai un occhio oppure lo porti da qualche parte.

Inoltre dipende dal tipo di attacco, c'è quello con dizionario (cioè un elenco delle password più comuni da confrontare) o il cosidetto brute-force che prova tutte le combinazioni.

Ho sintetizzato, neanche descrivendo tanto bene la cosa, ma un'idea dovrei avertela data.

Per una idea vaga c'è un calcolatore online (se vuoi ti do il link in prv):
Una password di 20 cifre (sopra ho scritto caratteri è un errore) un minimo complessa (lettere maiuscole/minuscole e numeri) attaccandola con un sistema che testa 500.000 password al secondo abbisogna di 4.529471614885532e+22 years però già per una passw da 8 cifre con le stesse caratteristiche occorrono 15 anni

Una password da 5 cifre invece si trova in 31 minuti una da 4 in 1 minuto

In sostanza se non è una password da dizionario (o di 4/5 cifre) si usano altri sistemi per trovarla, se ne cercano tracce ovunque, anche nella ram o piuttosto il post-it attaccato sul monitor
Uno non è connesso  
Vecchio 20-02-2012, 17.10.30   #7
Ray
E' praticamente nato/a qui
 
L'avatar di Ray
 
Data registrazione: 10-08-2005
Messaggi: 7,218
Predefinito

Citazione:
Originalmente inviato da Uno Visualizza messaggio
Una password di 20 cifre (sopra ho scritto caratteri è un errore) un minimo complessa (lettere maiuscole/minuscole e numeri) attaccandola con un sistema che testa 500.000 password al secondo abbisogna di 4.529471614885532e+22 years
Sospettavo qualcosa del genere... beh, altro che superenalotto. Piuttosto sicura si.
__________________

Ray non è connesso  
Vecchio 22-02-2012, 13.31.07   #8
Faltea
Partecipa agli eventi
 
Data registrazione: 18-03-2007
Messaggi: 1,164
Predefinito

Citazione:
Originalmente inviato da Uno Visualizza messaggio
In sostanza se non è una password da dizionario (o di 4/5 cifre) si usano altri sistemi per trovarla, se ne cercano tracce ovunque, anche nella ram o piuttosto il post-it attaccato sul monitor
Ma sono scritti criptati anche sul block! Non penserai mica che scriva "password ermopoli= traliccio25" vero?

Cmq.. Ci sono anche i programmi che si interfacciano e copiano i caratteri che inserisci con la tastiera.
Questi li scarichi involontariamnte come pop-up? Non ho mai capito come si infilano nel pc..
Ma vengono "beccati" dall'antivirus? No vero?
__________________
Non ho bisogno di chi la pensa come me, ma di crescere aprendo la mente a diversi modi di vedere e di pensare.
Faltea non è connesso  
Vecchio 22-02-2012, 17.58.15   #9
Uno
Amministratore
 
L'avatar di Uno
 
Data registrazione: 28-05-2004
Messaggi: 9,693
Predefinito

Citazione:
Originalmente inviato da Faltea Visualizza messaggio
Ma sono scritti criptati anche sul block! Non penserai mica che scriva "password ermopoli= traliccio25" vero?

Cmq.. Ci sono anche i programmi che si interfacciano e copiano i caratteri che inserisci con la tastiera.
Questi li scarichi involontariamnte come pop-up? Non ho mai capito come si infilano nel pc..
Ma vengono "beccati" dall'antivirus? No vero?
Si chiamano keylogger (che fantasia eh... )
Teoricamente non li puoi scaricare involontariamente, i browser oggi sono abbastanza sicuri da impedire cose del genere (perfino quello di windows ) è necessario un minimo di interazione da parte tua, volgarmente un clic al minimo, o che qualcuno abbia a disposizione il tuo pc almeno un paio di secondi.
Se invece qualcuno ha preso, anche da remoto, il controllo totale del tuo pc (in gergo lo ha reso zombie) anche se non te ne accorgi nemmeno, allora il keylogger potrebbe essere l'ultimo dei tuoi problemi.

Ah si, gli antivirus dovrebbero beccarli, almeno se l'hanno nel database.
Uno non è connesso  
Vecchio 22-02-2012, 20.13.35   #10
Cubo
Inizia a fare amicizie
 
L'avatar di Cubo
 
Data registrazione: 22-02-2012
Messaggi: 391
Predefinito

Citazione:
Originalmente inviato da Ray Visualizza messaggio
Si conosce la velocità con cui questi programmi che cercano di trovare le password le processano? Vorrei provare a fare due conti su quanto tempo effettivamente ci vorrebbe per entrare...
primo post qui.

non sono un tecnico, ma mi son ricordato di aver letto un interessante simil-FAQ sugli attacchi alle cifrature PGP, e che mi erano rimasti impressi i cicli...
In 1977 Ron Rivest said that factoring a 125-digit number would take 40 quadrillion years. In 1994 RSA129 was factored using about 5000 MIPS-years of effort from idle CPU cycles on computers across the Internet for eight months. In 1995 the Blacknet key (116 digits) was factored using about 400 MIPS-years of effort (1 MIPS-year is a 1,000,000 instruction per second computer running for one year) from several dozen workstations and a MasPar for about three months. Given current trends the keysize that can be factored will only increase as time goes on. The table below estimates the effort required to factor some common PGP-based RSA public-key modulus lengths using the General Number Field Sieve:
KeySize/MIPS-years required to factor
-----------------------------------------------------
512 / 30,000
768 / 200,000,000
1024 / 300,000,000,000
2048 / 300,000,000,000,000,000,000
ecco il link

http://axion.physics.ubc.ca/pgp-attack.html

è probabile esistano testi piu' dettagliati, ma non essendo tecnico mi ci perdo.
in sintesi, l'attacco brute force ha bisogno di massiva capacità computazionale, roba da multi Cray.
in estrema sintesi, una password alfanumerica di una decina di caratteri con magari un paio di simboli tipo § e | funziona piu' che bene nella vita quotidiana.
__________________
"I shall tell you the truth as seen by a perfect cube.
It may not be the truth of your dimension, but it is mine."
Cubo non è connesso  
Vecchio 23-02-2012, 13.15.52   #11
Faltea
Partecipa agli eventi
 
Data registrazione: 18-03-2007
Messaggi: 1,164
Predefinito

Citazione:
Originalmente inviato da Uno Visualizza messaggio
Si chiamano keylogger (che fantasia eh... )
Teoricamente non li puoi scaricare involontariamente, i browser oggi sono abbastanza sicuri da impedire cose del genere (perfino quello di windows ) è necessario un minimo di interazione da parte tua, volgarmente un clic al minimo, o che qualcuno abbia a disposizione il tuo pc almeno un paio di secondi.
Se invece qualcuno ha preso, anche da remoto, il controllo totale del tuo pc (in gergo lo ha reso zombie) anche se non te ne accorgi nemmeno, allora il keylogger potrebbe essere l'ultimo dei tuoi problemi.

Ah si, gli antivirus dovrebbero beccarli, almeno se l'hanno nel database.
OT: m'è venuta la paranoia.. mi dai il nome di un programma che giri su win 7 per vedere/capire se mi hanno zombato il pc? Azie
__________________
Non ho bisogno di chi la pensa come me, ma di crescere aprendo la mente a diversi modi di vedere e di pensare.
Faltea non è connesso  
 


Strumenti discussione Cerca in questa discussione
Cerca in questa discussione:

Ricerca avanzata

Regole di scrittura
Tu non puoi inserire nuovi messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare files
Tu non puoi modificare i tuoi messaggi

Il codice vB è Attivato
Le faccine sono Attivato
Il codice [IMG] è Attivato
Il codice HTML è Disattivato
Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Rapine sicura Uno Negozio RisoAllegro 0 28-01-2008 16.34.09
Sicurezza informatica Uno Pc 6 13-09-2007 12.10.50


Tutti gli orari sono GMT +2. Adesso sono le 23.02.32.




Powered by vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Questo sito non è, nè può ritenersi assimilabile ad una testata giornalistica, viene aggiornato senza alcuna periodicità, esclusivamente sulla base della disponibilità del materiale. Pertanto, non è un prodotto editoriale sottoposto alla disciplina della l. n. 62 del 2001. Il materiale pubblicato è sotto la responsabilità dei rispettivi autori, tutti i diritti sono di Ermopoli.it che incoraggia la diffusione dei contenuti, purchè siano rispettati i seguenti principi: sia citata la fonte, non sia alterato il contenuto e non siano usati a scopo di lucro. P.iva 02268700271