Repository 32bit  Forum
Repository 64bit  Wiki

Password sicure ma facili da ricordare

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Re: Password sicure ma facili da ricordare

Messaggioda navajo » mer set 21, 2011 18:00

un miscuglio di "latino-faii-da-te" e simboli possono aiutare.
una data di nascita diventa difficile da indovinare:
14 luglio 1967
14_Lugliius@1967
anche usare il leet aiuta: a modificare una frase nota
invece di continuare qui, mi autocito :
http://utopistico.wordpress.com/2010/12 ... rd-sicura/
:badgrin: :badgrin:
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3778
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Password sicure ma facili da ricordare

Messaggioda lennynero » mer set 21, 2011 19:47

Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.

ps: il suggerimento di boh di estendere una radice lo uso anche io, ma a questo punto mi tocca migliorare la radice, mi avete messo un pò di (sana)paranoia addosso :D
Avatar utente
lennynero
Linux 2.6
Linux 2.6
 
Messaggi: 566
Iscritto il: dom mag 02, 2004 23:00
Località: Salerno
Slackware: 14.1-x64
Kernel: 3.10.17
Desktop: xfce-4.10

Re: Password sicure ma facili da ricordare

Messaggioda Mario Vanoni » mer set 21, 2011 20:24

lennynero ha scritto:Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.

ps: il suggerimento di boh di estendere una radice lo uso anche io, ma a questo punto mi tocca migliorare la radice, mi avete messo un pò di (sana)paranoia addosso :D

What is KeePass?
Today you need to remember many passwords. You need a password for the Windows network logon, your e-mail account, your website's FTP password, online passwords (like website member account), etc. etc. etc. The list is endless. Also, you should use different passwords for each account. Because if you use only one password everywhere and someone gets this password you have a problem... A serious problem. The thief would have access to your e-mail account, website, etc. Unimaginable.

KeePass is a free open source password manager, which helps you to manage your passwords in a secure way. You can put all your passwords in one database, which is locked with one master key or a key file. So you only have to remember one single master password or select the key file to unlock the whole database. The databases are encrypted using the best and most secure encryption algorithms currently known (AES and Twofish). For more information, see the features page.


Non mi fiderei/ne lo userei a lunga scadenza,
la tua memoria e` limitata, pur brillante che sia,
ricordare dopo anni omenemongoc+YYYYMMDD
sara` indubbiamente piu` facile/semplice.
Sei poi nel frattempo il programma e` morto ...
Mario Vanoni
Iper Master
Iper Master
 
Messaggi: 3174
Iscritto il: lun set 03, 2007 20:20
Località: Cuasso al Monte (VA)
Nome Cognome: Mario Vanoni
Slackware: 12.2
Kernel: 3.0.4 statico
Desktop: fluxbox/seamonkey

Re: Password sicure ma facili da ricordare

Messaggioda targzeta » mer set 21, 2011 20:32

Io a mia mamma ho installato la versione per windows di keepass. Devo dire che si trova benissimo. Purtroppo la versione per linux usa le QT che non ho, altrimenti lo userei.

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6168
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Re: Password sicure ma facili da ricordare

Messaggioda ZeroUno » mer set 21, 2011 21:49

Ad una amica hanno appena rubato la password di facebook e la password della casella email associata all'account facebook. Inutile dirvi che ha imparato che una parola di uso comunissimo non è proprio il sistema più sicuro per proteggere i propri dati.

Personalmente non vado in paranoia.
All'università (parlo di 15 anni fa c.a.) mi hanno dato una password autogenerata, di 8 caratteri tutta minuscole con una sola vocale.
Sulla maggior parte dei siti dove mi registro uso quella. Per la verità ne ho anche una di 5 caratteri che uso da diverse parti.
Sfido qualunque attacco di brute force, come ha già detto qualcuno, a bucare questa password tramite form di login in http. Per rintracciare una password tipo "ciao" impiegherebbe anni.
E il massimo che può succedere, ora che lo sapete, è che mi cancelliate l'account slacky (beh, si, questo è grave :-D), o che mi leggiate la posta personale, che non contiene segreti di stato, o robetta simile. Per siti invece più importanti allora uso una password un po' più robusta.
Questo porta un alto vantaggio quando ti iscrivi a numerosi siti.
Più volte mi è capitato di tentare di registrarmi ad alcuni siti ma di trovare il nick già occupato. Più volte mi è capitato di scoprire che quel nick era il mio ;-). Usando una password unica sono entrato subito.
Il guaio è che da un po' di tempo a questa parte i siti cominciano a fare controlli di robustezza password in fase di iscrizione e questa password non sempre passa. Poco male, ho una password alternativa che contiene anche simboli, numeri, maiuscole e 10 caratteri. Il guaio è quando alcuni siti vogliono una password sicura ma non accettano i simboli. Ed ecco che il numero di password da ricordare aumenta.

Paranoia=0: sto facendo un foglio excel (nemmeno protetto da password) contenente siti e password relative e nel farlo ho scoperto di possedere decine di caselle email di cui non ricordavo l'esistenza. Tutte ritrovate grazie all'espediente di provare le poche password che uso. Nel foglio sono escluse le password dei siti importanti, ovviamente.

La verità è che il problema delle password scopribili risiede sul server che le memorizza.
Mi sono ritrovato siti che le memorizzano in chiaro. So per certo, e non cito la fonte (a cui per fortuna non ho accesso) per evidenti motivi di sicurezza e tutela della mia persona, che alcuni enti, anche importanti, salvano le password degli utenti in chiaro sui server. Sfido qualunque programma di brute force a rintracciare la password "B(yb(7yb(7yb)YB9b)b7b9yB9bYb9b9yb9b9)9b76tv/5VC6754D65cd%$£s%£X7x%XC8&RcvCRFC&%3XZz52sz%£4x" in un paio di secoli di elaborazione, ma per chi ha accesso al database di quell'ente gli bastano pochi secondi.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg
Codice: Seleziona tutto
1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111
Avatar utente
ZeroUno
Staff
Staff
 
Messaggi: 4397
Iscritto il: ven giu 02, 2006 13:52
Località: Roma / Castelli
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current

Re: Password sicure ma facili da ricordare

Messaggioda freefred » mer set 21, 2011 22:25

Mario Vanoni ha scritto:
lennynero ha scritto:Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android)


Lo uso al posto del pwmanager che usavo ai tempi del KDE 3.
Keepass e' un ottimo programma, tra quelli che ho provato uno dei migliori nel suo genere.
E' vero che vuole le QT ma non vuole il Kde, cioe' puoi usarlo anche con l'XFCE per esempio.
Il pericolo di perdere il database nel caso il programma scompaia e' remoto,
altri programmi aprono il file di keepass e sopratutto puoi esportare e tenere un backup
del database in un file di testo.

bye
Avatar utente
freefred
Linux 1.0
Linux 1.0
 
Messaggi: 87
Iscritto il: dom set 28, 2008 18:08
Slackware: 13.1
Kernel: 2.6.36.2
Desktop: kde 4.4.3

Re: Password sicure ma facili da ricordare

Messaggioda sberla54 » mer set 21, 2011 22:31

Mamma mia ragazzi quante risposte O_o
Grandissimi!

Sono uscite delle considerazioni interessanti, sulle quali penso che ragionero' un po' prima di ri-modificare alcune password che ho scelto, che sono veramente troppo difficili da ricordare....

Vorrei fare una puntualizzazione: io non mi preoccupo solamente dei bruteforce.
Mi preoccupo anche che qualcuno, conoscendo qualche informazione su di me, riesca ad indovinare (col cervello, non coi calcoli) qualche mia password o peggio ancora la logica di costruzione delle password (se e' sempre uguale e troppo banale). O magari ne scopra una con tecniche tipo "man in the middle" e poi risalga alle altre...
Mi preoccupo anche che, sfruttando qualche bug software, un attaccante riesca ad entrare in un qualche mio sistema e crackare l'hash delle password dal relativo files, dopo esserselo scaricato...

Quindi, mi preoccupo sia di battere una macchina che di battere un umano...

la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.

Un metodo simile a questo lo usiamo dove lavoro!
E' sicuramente molto comodo ed abbastanza resistente ai brute-force, ma mi sembra poco resistente ad un umano: difatti, tra colleghi conosciamo tutti le password degli altri e per ognuno di noi e' molto facile indovinare le password dei vari sistemi, conoscendo la logica di fondo...

Certo che se la logica cambia sempre, tipo a volte e' "Mi piace una community come Slacky.eu, la trovo interessante" altre volte e' "questo sito si chiama slacky.eu e questa e' la sua password" (QsscseqelsP), gia' il gioco si complica...

la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.

Ecco, il mio punto era proprio questo!
Continuo a complicarmi la vita con password piu' corte ma piu' ricche di maiuscole/simboli/numeri o mi invento 5 o 6 frasi mediamente lunghe da utilizzare sempre?

Forse la cosa migliore e' inventarmi 5 o 6 frasi e condirle di simboli e numeri :)

Tipo, per i forum: "mi_piacciono_i_forum_con*le*patate" :)

Faccio un esempio che è più chiaro:
_ scelgo una parola comune: settembre;
_ la scompongo e la mischio con caratteri alfanumerici e simboli: <<StTb7: (notare che sono già 8 caratteri di base);
_ aggiungo l'identificativo del sito al quale la password appartiene, ovvero: - per facebook: <<StTb7:fbk - per twitter: <<StTb7:twt e così via..

Questo e' un metodo che usa un mio amico!
Direi che e' ottimo contro i brute-force un po' meno contro gli umani. Pero' se la parola comune mischiata ed incasinata cambia abbastanza spesso (basta averne 4 o 5) gia' diventa un metodo ottimo in tutti i sensi...

In tutti i casi, pero', quando si lavora con combinazioni poco sensate contenenti numeri e simboli bisogna avere una buona memoria o poche variabili, altrimenti si fa presto a scordarsi qual'era l'esatto ordine, se c'era un asterisco piuttosto che un underscore ecc...
E' quel che sta succedendo a me con le mie nuove password :)

Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.

Io lo uso da parecchio!
Cioe', uso KeepassX: http://www.keepassx.org/
Ce l'ho sul computer come sul cellulare Android.
Ho i portachiavi (2 o 3 separati per ambiti di importanza, con master password diverse) su Dropbox, cosi' ho sempre un piano di emergenza se sono fuori casa e devo accedere alle mie cose.
Scarico (o apro) i portachiavi da Dropbox col client del cellulare e li apro con KeepassX, sempre sul cellulare.
Oppure posso utilizzare un qualsiasi pc, anche non mio...

A me questi portachiavi piacciono molto.
Uso delle master password veramente sicure, piu' di 15 caratteri con minuscole, maiuscole, simboli e numeri e comunque anche le altre password sono abbastanza complesse, seppur piu' facili da ricordare.
Con i portachiavi, inoltre, elimino il problema di ricordare quale delle mie varie password e' associata al tal sito/sistema/apparecchio in cui devo entrare...

Personalmente uso anche LastPass per Firefox: https://lastpass.com/
Un'estensione per Firefox che e' una specie di KeepassX integrato nel browser, con master password da inserire per aprire il portafoglio (non ogni giorno, ogni tot...) ed autocompletamento dei login.
Le password sono salvate nella cloud ed accessibili dal loro sito, cosi' come sono sincronizzate fra tutti i miei browser. Inoltre la sicurezza e' garantita da un sistema che non usa solo una master password ma anche delle specie di chiavi crittografiche salvate in locale ed in remoto (non mi e' del tutto chiaro...)

I vantaggi sono chiari: i database/portafoglio sono criptati ed anche se rubati, con una buona master password, ci vogliono anni per decriptarli. Ho le mie password ovunque ed ho tutto il mio software sincronizzato :)

Ah, tra parentesi LastPass ha anche uno strumento interno che valuta la robustezza delle vostre password! Mi fido poco dei vari tool online che fanno lo stesso...non so mai se poi si tengono la mia password :)
Avatar utente
sberla54
Master
Master
 
Messaggi: 1500
Iscritto il: mer giu 23, 2004 23:00
Località: Bologna
Slackware: 13.0
Desktop: Gnome (o Fluxbox)
Distribuzione: Ubuntu

Re: Password sicure ma facili da ricordare

Messaggioda lennynero » gio set 22, 2011 0:58

sberla54 ha scritto:Io lo uso da parecchio!
Cioe', uso KeepassX: http://www.keepassx.org/
Ce l'ho sul computer come sul cellulare Android.

Mi sono pacchettizzato la versione che è sul repo 32 per la mia leet64 senza problemi, adesso sto dando uno sguardo. La prima impressione è molto positiva, il mio obiettivo è proprio quello di modificare le mie password dei vari account usando l'approccio: radice complessa e suffisso descrittivo, e poi usare una masterpass combinando un pò tutti gli spunti che avete sapientemente snocciolato. Mi associo a sberla54 nei complimenti a tutti voi; in questi threads rivedo la community Slacky che mi ha fatto scegliere definitivamente questa Distro :D
Avatar utente
lennynero
Linux 2.6
Linux 2.6
 
Messaggi: 566
Iscritto il: dom mag 02, 2004 23:00
Località: Salerno
Slackware: 14.1-x64
Kernel: 3.10.17
Desktop: xfce-4.10

Re: Password sicure ma facili da ricordare

Messaggioda sberla54 » gio set 22, 2011 1:11

Riguardo a LastPass mi e' d'obbligo, per onesta' e completezza, citare questo: https://lastpass.com/status.php
Praticamente a maggio scorso gli admin del servizio hanno avuto l'impressione che qualcuno sia riuscito ad entrare in una parte dei sistemi e scaricare una parte dei dati. Non ne sono sicuri e non sanno cosa sia stato scaricato.
Hanno comunque fatto la scelta, onesta e trasparente, di informare la comunita', cosi' che potesse decidere come muoversi.
Io l'avevo appena iniziato ad usare ed ho ricambiato tutte le password.
Comunque, assicuravano che non ci fossero rischi per la sicurezza...ma meglio non fidarsi :)
Avatar utente
sberla54
Master
Master
 
Messaggi: 1500
Iscritto il: mer giu 23, 2004 23:00
Località: Bologna
Slackware: 13.0
Desktop: Gnome (o Fluxbox)
Distribuzione: Ubuntu

Re: Password sicure ma facili da ricordare

Messaggioda navajo » gio set 22, 2011 18:18

Io ho usato Keepass ed era buono, ma mi trovo meglio con un foglio.txt in una partizione criptata con Truecrypt.
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3778
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Password sicure ma facili da ricordare

Messaggioda lennynero » gio set 22, 2011 20:07

Ragazzi, per quelli che usano/hanno usato KeePassX, mi chiedevo: ma il "Collegamento Auto Digitazione globale" come funziona? La comodità di usare un password manager del genere sta proprio nel fatto di non dover salvare nessuna pass nel browser..., ma a me sembra che questa feature non funzioni. Inoltre mi sono accorto che spesso se vado su un sito in cui devo autenticarmi, per esempio per accedere al forum(vale anche per Slacky), all'url viene accodato un hashcode, quindi, come posso configurare l'autodigitazione in questi casi? non si basa sull'url(esatta)?
Avatar utente
lennynero
Linux 2.6
Linux 2.6
 
Messaggi: 566
Iscritto il: dom mag 02, 2004 23:00
Località: Salerno
Slackware: 14.1-x64
Kernel: 3.10.17
Desktop: xfce-4.10

Re: Password sicure ma facili da ricordare

Messaggioda navajo » gio set 22, 2011 20:48

lennynero ha scritto:Ragazzi, per quelli che usano/hanno usato KeePassX, mi chiedevo: ma il "Collegamento Auto Digitazione globale" come funziona? La comodità di usare un password manager del genere sta proprio nel fatto di non dover salvare nessuna pass nel browser..., ma a me sembra che questa feature non funzioni. Inoltre mi sono accorto che spesso se vado su un sito in cui devo autenticarmi, per esempio per accedere al forum(vale anche per Slacky), all'url viene accodato un hashcode, quindi, come posso configurare l'autodigitazione in questi casi? non si basa sull'url(esatta)?

non ricordo se ho fatto alcun settaggio particolare, ma a me andava... sorry :( :(
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3778
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Password sicure ma facili da ricordare

Messaggioda navajo » gio set 22, 2011 20:51

altra password facile da ricordare e abbastanza dura è il codice fiscale con simboli speciali in aggiunta.
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3778
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Password sicure ma facili da ricordare

Messaggioda sberla54 » gio set 22, 2011 22:05

Ragazzi, per quelli che usano/hanno usato KeePassX, mi chiedevo: ma il "Collegamento Auto Digitazione globale" come funziona? La comodità di usare un password manager del genere sta proprio nel fatto di non dover salvare nessuna pass nel browser..., ma a me sembra che questa feature non funzioni. Inoltre mi sono accorto che spesso se vado su un sito in cui devo autenticarmi, per esempio per accedere al forum(vale anche per Slacky), all'url viene accodato un hashcode, quindi, come posso configurare l'autodigitazione in questi casi? non si basa sull'url(esatta)?

Non ho mai capito neanche io come funzionava quella cosa li...per quello per Firefox uso LastPass o le metto a manina :)
Avatar utente
sberla54
Master
Master
 
Messaggi: 1500
Iscritto il: mer giu 23, 2004 23:00
Località: Bologna
Slackware: 13.0
Desktop: Gnome (o Fluxbox)
Distribuzione: Ubuntu

Re: Password sicure ma facili da ricordare

Messaggioda targzeta » gio set 22, 2011 22:12

Scusate, ma firefox non memorizza già di suo le password? Io me le ritrovo sempre pronte.

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6168
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 0 ospiti