Sicurezza password alle nostre caselle di posta

[bonaparten]

Salve avrei una domanda sulla sicurezza forse un pò banale. Da un punto di vista teorico è sensato scrivere tutte le password che si utilizzano sul web in una bozza email della propria casella di posta? ovviamente utilizzando password ASCII a 63 caratteri , ricordando quindi solo quella della casella email. Perchè comunque sia tutte le registrazioni, i nickname e le password passano comunque dall'email..programmi come keepass ad esempio in linea di principio non sono tanto piu sicuri di questo sistema..Certo regalare le mie password a google o a messenger ecc non è una bella cosa, ma questi avendo accesso comunque alle caselle di posta riuscirebbe ugualmente ad avere accesso a tutti quei siti in cui siamo registrati! Aspetto risposta

Rosario

[twister]

Il miglior modo è semplicemente uno
La memoria!
Nessuna password scritta da nessuna parte, neanche salvata nel completamento di firefox

[raffaele181188]

L'altra soluzione possibile sarebbe comprarti un novo computer e farne un server di posta...

Sicuramente Gmail non si azzarda a memorizzare (a leggere non lo so) user e pwd dell'account PayPal... Il punto è che fino a quando il server di posta non è il TUO computer, chiunque abbia accesso (anche fisico) alla macchina può leggere tutto quello che ti arriva

Di solito, comunque, nei siti più seri ti viene impostata una password iniziale che ti viene inviata per posta. Poi tu accedi e la modifichi sul LORO server, così sul server della tua posta non ne resta traccia. Conservare tutte le password sul computer di un altro (pure di un servizio affidabile) non mi sembra il massimo non tanto della sicurezza, quanto piuttosto della praticità... Ci sono tanti programmi per gestire queste cose, e salvano le cose sul TUO hard disk... KWallet mi sembra già uno buono

edit: after twister... Sono d'accordo... Però se si vogliono usare password particolari (alfanumeriche + simboli) la memoria può fare cilecca per servizi usati poco spesso.. meglio non rischiare

[twister]

Io uso alfanumeriche+simboli
Come mi sono imparato a memoria alle elementari il 5 Maggio penso mi posso imparare le password

[raffaele181188]

Anch'io ho imparato il 5 maggio a memoria... Ma dopo "come sul capo al naufrago..." ho un vuoto

[twister]

Dai ti aiuto, l'onda si avvolve e pesa...
A parte gli scherzi, se mi devo iscrivere a cose inutili ho 3 password ricorrenti molto mnemoniche che uso a giro, iscrivendomi sempre con una webmail "secchio".
Quindi alla fin fine le password importanti da ricordare non sono moltissime, anche perchè magari se prendi la stessa base e poi inverti e modifichi un po di fattori riesci ad avere una buona varietà

[masalapianta]

Salve avrei una domanda sulla sicurezza forse un pò banale. Da un punto di vista teorico è sensato scrivere tutte le password che si utilizzano sul web in una bozza email della propria casella di posta? ovviamente utilizzando password ASCII a 63 caratteri , ricordando quindi solo quella della casella email. Perchè comunque sia tutte le registrazioni, i nickname e le password passano comunque dall'email..programmi come keepass ad esempio in linea di principio non sono tanto piu sicuri di questo sistema..Certo regalare le mie password a google o a messenger ecc non è una bella cosa, ma questi avendo accesso comunque alle caselle di posta riuscirebbe ugualmente ad avere accesso a tutti quei siti in cui siamo registrati! Aspetto risposta

Rosario

scherzi? un servizio che non sia una fetecchia non ti invia le credenziali di accesso via mail, sei tu stesso a impostarle, in una pagina web sotto ssl, al momento della registrazione (al limite via mail ti viene inviato un link per la conferma, ma non la password)

[bonaparten]

Certo, ovvio che non me li manda. Però ipotizziamo di essere inscritto a facebook e non ricordo la password..facebook manda un'email al mio indirizzo email chiedendomi di cliccare il link e impostare la nuova password, con questo metodo comunque gmail ha il completo accesso a praticamente tutte le registrazioni. Io ammetto di essere un po pazzo e quindi sto praticamente cambiando tutte le password con password ascii a 63 caratteri generati a random dai siti generator password. Inoltre sto modificando tutte le risposte alle domande, vedi paypal, msn, ecc.. che di solito vengono chieste quando si dimentica una password sempre con password ascii a 63 caratteri..per esempio ebay mi chiede: "che lavoro faceva tuo nonno?" e la risposta è qualcosa tipofw=ej£r9"58e0rtu94èe50tv££78èaosdmcQaskd+PQELf,+rwjugv9es;;:L... questa cosa è una figata mostruosa pero il problema che non potendo ricordare tutto questo codice per ogni servizio al quale sono scritto mi serve qualcosa che me le faccia ricordare.. Sicuramente metodi come kwallet o keepass sono molto comodi da usare..ma il problema è: e se voglio accedere da un altro computer non mio dove magari non c'è linux e purtroppo ho scordato la pendrive con dentro il file di keepass..come faccio??Ecco perchè pensavo di imparare una sola volta una password complicata, quella della mia email, dove saranno presenti tutte le altre email..è sicuramente poco pratico ma mi collego a qualsiasi servizio da dove mi pare, senza floppy, penne e cose del genere..la sicurezza cosi non sembra essere minore se si considera che google puo comunque avere accesso ai miei dati paypal, msn, ecc dato che tutti questi servizi hanno bisogno di una casella di posta..E' cosi tanto sbagliata questa cosa? certo se per caso dimentico la password di gmail perdo tutto, forse questo è il punto debole

[raffaele181188]

Il punto debole???
Quindi vorresti farti per la tua Gmail una password di 64 caratteri ascii e memorizzarla?

E' sempre bene tenere d'occhio la sicurezza, ma secondo me stai esagerando un po'... Scegli password complicate giusto per quei pochi servizi dove rischi di perderci qualcosa (di patrimoniale, intendo) da non più di otto caratteri che sono più che sufficienti... Per facebook puoi pure mettere il tuo nome al contrario!!! Male che vada qualcun altro accede al tuo profilo.. Non vedo chi e per fare cosa, certo i furti di identità ci sono però non esageriamo.. E poi salvare tutto in una casella di posta... Visto che ci stiamo facendo paranoie megagalattiche non mi sembra il caso!!!

[navajo]

io utilizzo un sistema semplice.
uso un insieme di caratteri speciali per la spaziatura e le preposizioni, misti a frasi "latinizzate"
per esempio, dovendo usare come password una data di nascita, facile da ricordare, faccio cosi: sono nato il 1 luglio 1967. diventa cosi:
s#n#il#01#Julius@1967. Certo non è magari equivalente a quelle descritte sopra, ma credo che sia abbastanza robusta e facile da ricordare.

[masalapianta]

Certo, ovvio che non me li manda. Però ipotizziamo di essere inscritto a facebook e non ricordo la password..

quindi ti preoccupi per la sicurezza e poi ti scordi le password?

Io ammetto di essere un po pazzo e quindi sto praticamente cambiando tutte le password con password ascii a 63 caratteri generati a random dai siti generator password.

quindi ti preoccupi per la sicurezza e le tue password le fai generare a terzi in rete (magari senza magari neanche ssl, esponendoti cosi' a quarti, quinti, ecc...); viste le premesse che senso ha utilizzare password di 63 caratteri?

pero il problema che non potendo ricordare tutto questo codice per ogni servizio al quale sono scritto mi serve qualcosa che me le faccia ricordare.. Sicuramente metodi come kwallet o keepass sono molto comodi da usare..ma il problema è: e se voglio accedere da un altro computer non mio dove magari non c'è linux e purtroppo ho scordato la pendrive con dentro il file di keepass..come faccio??

un file di testo crittato con gpg (algoritmo simmetrico) che puoi portarti dietro su una pendrive o tenerlo online su uno spazio web o come allegato di una mail (se non vuoi portarti dietro la pendrive); in questo modo ti basta ricordarti solo la passphrase utilizzata per crittare il file.
In ogni caso non e' una buona idea accedere a servizi delicati (paypal, servizi bancari online, ecc..) da computer non tuoi.

Ecco perchè pensavo di imparare una sola volta una password complicata, quella della mia email, dove saranno presenti tutte le altre email..è sicuramente poco pratico ma mi collego a qualsiasi servizio da dove mi pare, senza floppy, penne e cose del genere..la sicurezza cosi non sembra essere minore se si considera che google puo comunque avere accesso ai miei dati paypal, msn, ecc dato che tutti questi servizi hanno bisogno di una casella di posta..E' cosi tanto sbagliata questa cosa?

dal punto di vista della sicurezza e' una follia e comunque google non ha alcun accesso a paypal, visto che la password non ti viene inviata via mail

P.S. password di 8 caratteri, se ben scelte, vanno piu' che bene per servizi ove il bruteforcing e' lento (autenticazione su un form http ad esempio); per la generazione affidati a tool come apg

[Blizzard]

Le mie password solitamente sono solo nel mio cervello.
Quando devo cambiarla ne creo una.
Se la creo random di una lunghezza che mi piace (di solito non affido ad un pc questa operazione) la scrivo su un foglio e la memorizzo. Poi brucio il foglio. Nei giorni successivi effettuo spesso dei login.

Per quanto riguarda libero, lo scorso cambio di password mi ha deluso tantissimo. Anzichè incitare la sicurezza ha delle limitazioni.

Per quanto riguarda windows lo evito. Se non posso (internet point) porto con me un software che ho fatto per tenermi un portachiavi criptato che comunque non uso più perchè odio l'idea che una mia password sia presente in una certa forma su un supporto, anche se criptata.
Altro metodo è portare in giro un bigfile di caratteri. Li copio ed incollo uno ad uno o in sequenze per formare la password. Lo uso solo se sono nascosto altrimenti devo ricorrere al programmino sopracitato che mi consente il copia incolla senza mai mostrare una forma comprensibile della password.

Sotto linux sono tranquillo e non ho ancora visto un internet point altrimenti provvederei ad una versione simile java.

La mia è divenuta non una fissazione ma una forma-mentis. Anche se nessuno è interessato ai miei dati o password mi tengo legato a questo modus operandi in modo che nel momento in cui avrò bisogno di sicurezza il tutto verrà spontaneo.

ciao
Gio

P.S.
sono un puntino della rete eppure un c*****e mi rubò la password dell'email (internet point) e andò a scrivere idiozzie su gazzetta dei maghi e delle streghe.it
Se devono far danno non lo fanno solo a bill.gates@microsoft.com

Offtopic: Che poi
Windows Vista ~10 GB --> Microsoft???
Vedete che è sbagliato di principio

[Luci0]

Certo che se qualcuno può accedere all' hash della password la può craccare con semplici tecniche di Rainbow crack http://en.wikipedia.org/wiki/RainbowCrack quindi man mano che la potenza elaborativa dei processori e dei database aumenta più sarà facile "indovinare" la password...

[Blizzard]

Sinceramente il brute force non è la mia prima preoccupazione.
Penso che per essere esposti ad un bf, il pirata deve avercela con te. Altrimenti anche se dovesse metterci 5 minuti a craccare la tua password questa cosa non è applicabile massivamente.
Quello che mi impensierisce è, invece, il keylogging. Semplice ed efficace e se fatto via hardware ai voglia a metter su os sicuri!

IMHO almeno...

ciao
Gio

[masalapianta]

Certo che se qualcuno può accedere all' hash della password la può craccare con semplici tecniche di Rainbow crack http://en.wikipedia.org/wiki/RainbowCrack quindi man mano che la potenza elaborativa dei processori e dei database aumenta più sarà facile "indovinare" la password...

se qualcuno puo' accedere ai server dei servizi in questione (per poter leggere gli hash delle password), puo' benissimo vedere la password in chiaro mentre la inserisci (mettendo sotto ptrace() l'applicativo che la legge o in mille altri modi); ovviamente tutto il discorso fatto fino ad ora si regge sul fatto che ti fidi di chi gestisce il servizio, altrimenti non ha proprio senso parlare di sicurezza in quest'ambito (quello in cui un servizio, o una parte di esso, e' gestito da terzi e non da te)