slacky.eu

Ciao ragazzi!
Come al solito, ogni qual volta ho una domanda d'informatica seria ed ho voglia di fare 2 chiacchiere davvero nerd ritorno qui!

Volevo chiedervi: che consigli mi date per creare delle password che siano strong ma che non siano impossibili da ricordare?

Vi spiego, il dubbio mi e' venuto leggendo questa vignetta di XKCD: http://xkcd.com/936/
Leggetela..
La sua conclusione e' "Dopo 20 anni di sforzi siamo riusciti ad insegnare a tutti ad usare delle password che sono difficili da ricordare per gli umani ma facili da indovinare per i computer".

Ad esempio, secondo loro una password di 4 semplici parole quasi a caso come "correct horse battery staple" (circa "corretto cavallo batteria puntina") sarebbe piu' difficile da decifrare rispetto ad una piu' classica password in cui si sostituiscono delle vocali con dei numeri, si inserisce qualche carattere speciale e si usa qualche maiuscola.
Ed ovviamente, se ci si crea qualche associazione di idee in testa, e' molto piu' facile da ricordare.

Vi parlo di tutto questo perche' anche io a volte creo delle password mettendo assieme 2 parole (anche comuni), inserendo numeri al posto delle vocali, maiuscole e caps vari.

Il problema e' che le ho da poco rinnovate tutte e mi sono accorto che sono assolutamente troppo difficili da ricordare.
Ho messo maiuscole, combinazioni di numeri, caratteri speciali ecc ecc ed e' davvero difficile ricordarsele...
Ne ricordo un paio (sicuramente molto sicure) e con quelle entro in qualche portafoglio dove ho le altre.
Se per qualche motivo non ho accesso al portafoglio son tagliato fuori dalle mie cose...

Mi sorbisco questo supplizio solo perche' penso che sia indispensabile per la sicurezza, ma la vignetta di XKCD mi ha iniziato a far pensare che sia inutile e che potrei stare sicuro con password piu' mnemoniche...

Qualcuno di voi e' esperto in materia?
Qualche considerazione?

Ciao e grazie!

Non sono un esperto in materia, ma una password per essere sicura dovrebbe essere sufficientemente lunga e "non avere un senso"...

Se tu utilizzi come pass la parola "password" o "p455w0rd" ad una macchina che tenta di accedere per tentativi cambia poco niente (anzi niente) in quanto in ogni caso prova tutte le combinazioni possibili di caratteri (brute-force).

Poi esistono altri tipi di attacchi che io sappia, come quello di andare a provare ogni volta una parola diversa che viene presa da un file; in questo caso, se la tua pass è parola sola "di senso compiuto", allora sei molto più esposto a rischi perchè se quella parola è contenuta nel file di elenco delle password una qualsiasi macchina, per poco potente che sia, te la trova in breve tempo.

Insomma, una password sicura al 100% probabilmente non esiste, diciamo che se usi una parola (o meglio più parole) di 15-20 caratteri, inserendo anche qualche numero o carattere speciale, arrivi ad avere una password sicura e facile da ricordare

Per l'università ho appena finito un brute forcer realizzato con CUDA sull'algoritmo NTLM, quindi quello che sto per dire è tutta esperienza fatta sul campo
Una password deve:
_ spazzare per intero il keyspace dei caratteri stampabili, quindi escludendo tilde e accento grave si hanno 93 caratteri disponibili per le password; in questi 93 ci sono lettere maiuscole e minuscole, numeri e simboli. Una password sicura dovrebbe includere più elementi dagli insieme sopracitati;
_ essere lunga almeno 8 caratteri, infatti con le velocità che ho raggiunto nel progetto una password da 8 caratteri la troverei in 92 giorni; dalle 9 in su è praticamente introvabile con tale metodo (si parla di circa 40 anni).

Fatte queste considerazioni, come fare una password lunga e semplice da ricordare? Ricordo che avevo visto (o letto, non ricordo) in internet una specie di tutorial su come creare delle password simili. In pratica si parte da una parola comune a noi conosciuta (come dicevi prima) e poi la si "estende" a seconda del sito.
Faccio un esempio che è più chiaro:
_ scelgo una parola comune: settembre;
_ la scompongo e la mischio con caratteri alfanumerici e simboli: <<StTb7: (notare che sono già 8 caratteri di base);
_ aggiungo l'identificativo del sito al quale la password appartiene, ovvero: - per facebook: <<StTb7:fbk - per twitter: <<StTb7:twt e così via...

In teoria così il ricordarsi le password dovrebbe essere più semplice e allo stesso tempo sicuro

nemmeno io sono un grande esperto in materia, ma effettivamente è una riflessione abbastanza particolare.
considerando che se a tentare di scoprire una password è una macchina, una password è piu' sicura quanto piu' è improponibile il tempo di calcolo.

-sf ha scritto: Non sono un esperto in materia, ma una password per essere sicura dovrebbe essere sufficientemente lunga e "non avere un senso"...

sono d'accordo in parte, nel senso, se per esempio ho un server web e come password di amministratore ci metto(scusate la scarsa fantasia) o meglio ancora l'unico attacco possibile è il bruteforce (l'attacco a dizionario semplice diventa improponibile perchè dovrebbe conoscere la lingua italiana), ma non oso calcolare quanti anni ci vogliono per tutte le possibili combinazioni.

dovrebbe essere quindi una password facile da ricordare, e sicura al tempo stesso

Io di solito uso pensare ad una frase su di un dominio e poi prendere le iniziali di ogni parola. Inoltre, per cercare di infilarci dentro anche dei numeri sostituisco uno/a con 1 e cerco sempre di metterci almeno un numero dentro. Ad esempio per Slacky.eu potrei pensare:"Mi piace una community come Slacky.eu, la trovo interessante". La password quindi sarebbe:"Mp1ccS.e,lti". Però devo ammettere che l'idea di boh non è niente male.

Detto questo, secondo me sono tutte paranoie inutili, un brute force di solito viene sempre individuato. Ad esempio, penso che ogni sito web dia un massimo di tentativi prima di bloccare l'account, no? Ed inoltre, penso sia difficile immaginare che qualcuno buchi un server perché ha scoperto al pass dell'amministratore, più che altro si sfruttano i bug software.

Emanuele

Io utilizzo il sistema di boh, ovvero utilizzo un tema comune esteso in relazione
all'ambiente in cui mi trovo e "rinforzato" con maiuscole, numeri e simboli. I numeri
e i simboli che uso seguono qualche principio "visivo" sulla tastiera, per cui è difficile
che li dimentichi.
Inoltre, lavorando con dei sistemi che impongono la variazione delle password ad
intervalli di tempo regolari, utilizzo anche una progressione numerica.

Ad esempio, facendo finta che il tema sia bau, la password per slacky potrebbe
essere bauSlacky04=_001 (da variare, alla scadenza, con 002 etc...); numeri e
simboli qui sono casuali, ma nelle password vere uso qualche accorgimento mnemonico
aiutandomi con la disposizione dei tasti, come dicevo...

Ragazzi leggendo i vari post ed essendo interessato all'argomento mi è venuto un dubbio:

Se fosse vero quanto detto da -sf l'inserimento di numeri e/o la scelta di maiuscole causali non cambierebbe molto, visto che dal punto di vista del pc trovare "password" equivale a scovare "p455w0rd".

Mentre come detto da boh aumentando il numero di caratteri si passerebbe da un tempo di 92 giorni per password di 8 caratteri a circa 40 anni per password di 9 caratteri.

In conclusione usare ambedue le tecniche sarebbe l'ideale, perchè si andrebbe ad aumentare il numero di giorni per scovare la password e non si scoverebbe usando brute-force con dizionari "comuni".

Ma per un discorso teorico è meglio aumentare il numero di caratteri che sostituire in una parola alcune lettere con numeri e/o maiuscole?

SIV ha scritto: Ma per un discorso teorico è meglio aumentare il numero di caratteri che sostituire in una parola alcune lettere con numeri e/o maiuscole?

Vanno fatti entrambi (il brute force non è proprio un attacco a dizionario, si tratta di enumerare tutte le possibili combinazioni in maniera sistematica, quindi comprese anche le parole senza senso compiuto).
Aumentando il numero di caratteri, come hai già detto, si aumenta il tempo di cracking, ma inserendo più simboli possibili aumenti il keyspace della password e quindi il numero di combinazioni Per farti un esempio: una password da 8 caratteri con solo lettere maiuscole avrà 26^8 combinazioni, se aggiungi anche le minuscole diventano 52^8, mentre se usi il keyspace esteso che ho citato prima sono 93^8!
Entrambe le tecniche sarebbero da usare sempre =)

Come ha detto spina comunque, un attacco brute force su web è impraticabile, in quanto i tentativi vengono quasi subito scoperti! Un attacco simile ha senso se hai disposizione l'hash della password e l'algoritmo di hashing relativo

Molto interessante anche il metodo di aschenaz della progressione numerica!

Sì come ho già detto sopra è chiaro che ambedue le tecniche sono da usare, ci mancherebbe.

Però visto che mi hai tirato in ballo i numeri, altra domanda puramente teorica:
-Ipotizziamo che abbiamo due valori x ed y con cui dobbiamo costruire una password. Se non ho capito male, confrontando i valori x^y ed y^x saremmo in grado di dedurre quale valore usare per il numero di caratteri e quale valore usare per il keyspace per creare la password più "robusta" ad una attacco di forza bruta. Sbaglio?

Il keyspace non è altro che l'insieme delle lettere che vuoi usare, l'alfabeto in pratica. La matematica insegna che con un alfabeto di un carattere, ad esemio la 'A', qualsiasi sia la lunghezza prefissa N per la parola, tu potrai scrivere solo 1^N=1 parole diverse, ovvero, solo una parola composta da tutte 'A' per l'appunto. E' chiaro che se inizi ad arricchire il tuo alfabeto, aggiungendoci, ad esempio, anche il carattere 'B', con una lunghezza prefissa N per la parola, tu potrai scrivere sino a 2^N parole divere. Ad esempio se la tua parola decidi che deve essere lunga 2 caratteri, allora tu potrai scrivere, con quell'alfabeto {'A','B'}, 4 parole diverse:

• AA
• AB
• BA
• BB

Anche una password con questo alfabeto può essere buona, basta che la sua lunghezza sia bella grande: sfido chiunque a craccare una pass, in brute force, se la tua pass è lunga 64 caratteri; 2^64 è un numero veramente grande.

Spero di non averti confuso di più,
Emanuele

No no ma era perfettamente chiaro. La mia domanda di sopra mi è sorta pensando al mio dubbio originario ed al passaggio matematico.
Cioè il mio ragionamento è stato: dal momento che possiamo valutare sia il keyspace sia la lunghezza della parola per vedere qual è la miglior password da generare dobbiamo confrontare i due elevamenti a potenza.

Forse sto capendo male io, ma secondo me quello che non ti è chiaro è che il keyspace non lo scegli tu, ma l'attaccante. A me che tu non dica a chi ti attacca quale alfabeto usare, sarà lui a sceglierne uno. E' ovvio che più caratteri particolari usi e più l'attaccante, per fregarti, dovrà arricchire il suo alfabeto. Ma quello che interessa a te principalmente è la lunghezza della password (vedi esempio di prima con password lungha 64 caratteri e alfabeto piccolo).

Emanuele

Ah vero. No non stavi capendo male tu. Ero fuori fase io Thanks

argomento interessante, la striscia di xkcd aveva incuriosito anche a me, seguendo la discussione di questo thread pare che abbiamo proprio ragione loro. Infatti, prendendo spunto da un esempio che è stato fatto:

spina ha scritto:Io di solito uso pensare ad una frase su di un dominio e poi prendere le iniziali di ogni parola. Inoltre, per cercare di infilarci dentro anche dei numeri sostituisco uno/a con 1 e cerco sempre di metterci almeno un numero dentro. Ad esempio per Slacky.eu potrei pensare:"Mi piace una community come Slacky.eu, la trovo interessante". La password quindi sarebbe:"Mp1ccS.e,lti". Però devo ammettere che l'idea di boh non è niente male.

la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.

Alle elementari anni '50 esisteva un giochetto,
pronunciare a ritroso (da destra a sinistra) nome e cognome,
i miei sono nel profilo, risultato oiram inonav.

Trucco che uso tutt'oggi per le password,
usando questo ed aggiungendo un trattino con il compleanno,
non necessariamente suo, ma per esempio di mia madre.

Esempio: oiraminonav-31071903

molto memorizzabile/ricostruibile, ma difficile da indovinare.

Usando un carattere non alfanumerico diverso, piu` varianti possibili.