Password sicure ma facili da ricordare

[navajo]

un miscuglio di "latino-faii-da-te" e simboli possono aiutare.
una data di nascita diventa difficile da indovinare:
14 luglio 1967
14_Lugliius@1967
anche usare il leet aiuta: a modificare una frase nota
invece di continuare qui, mi autocito :
http://utopistico.wordpress.com/2010/12 ... rd-sicura/

[lennynero]

Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.

ps: il suggerimento di boh di estendere una radice lo uso anche io, ma a questo punto mi tocca migliorare la radice, mi avete messo un pò di (sana)paranoia addosso

[Mario Vanoni]

Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.

ps: il suggerimento di boh di estendere una radice lo uso anche io, ma a questo punto mi tocca migliorare la radice, mi avete messo un pò di (sana)paranoia addosso :D

What is KeePass?
Today you need to remember many passwords. You need a password for the Windows network logon, your e-mail account, your website's FTP password, online passwords (like website member account), etc. etc. etc. The list is endless. Also, you should use different passwords for each account. Because if you use only one password everywhere and someone gets this password you have a problem... A serious problem. The thief would have access to your e-mail account, website, etc. Unimaginable.

KeePass is a free open source password manager, which helps you to manage your passwords in a secure way. You can put all your passwords in one database, which is locked with one master key or a key file. So you only have to remember one single master password or select the key file to unlock the whole database. The databases are encrypted using the best and most secure encryption algorithms currently known (AES and Twofish). For more information, see the features page.

Non mi fiderei/ne lo userei a lunga scadenza,
la tua memoria e` limitata, pur brillante che sia,
ricordare dopo anni omenemongoc+YYYYMMDD
sara` indubbiamente piu` facile/semplice.
Sei poi nel frattempo il programma e` morto ...

[targzeta]

Io a mia mamma ho installato la versione per windows di keepass. Devo dire che si trova benissimo. Purtroppo la versione per linux usa le QT che non ho, altrimenti lo userei.

Emanuele

[ZeroUno]

Ad una amica hanno appena rubato la password di facebook e la password della casella email associata all'account facebook. Inutile dirvi che ha imparato che una parola di uso comunissimo non è proprio il sistema più sicuro per proteggere i propri dati.

Personalmente non vado in paranoia.
All'università (parlo di 15 anni fa c.a.) mi hanno dato una password autogenerata, di 8 caratteri tutta minuscole con una sola vocale.
Sulla maggior parte dei siti dove mi registro uso quella. Per la verità ne ho anche una di 5 caratteri che uso da diverse parti.
Sfido qualunque attacco di brute force, come ha già detto qualcuno, a bucare questa password tramite form di login in http. Per rintracciare una password tipo "ciao" impiegherebbe anni.
E il massimo che può succedere, ora che lo sapete, è che mi cancelliate l'account slacky (beh, si, questo è grave ), o che mi leggiate la posta personale, che non contiene segreti di stato, o robetta simile. Per siti invece più importanti allora uso una password un po' più robusta.
Questo porta un alto vantaggio quando ti iscrivi a numerosi siti.
Più volte mi è capitato di tentare di registrarmi ad alcuni siti ma di trovare il nick già occupato. Più volte mi è capitato di scoprire che quel nick era il mio . Usando una password unica sono entrato subito.
Il guaio è che da un po' di tempo a questa parte i siti cominciano a fare controlli di robustezza password in fase di iscrizione e questa password non sempre passa. Poco male, ho una password alternativa che contiene anche simboli, numeri, maiuscole e 10 caratteri. Il guaio è quando alcuni siti vogliono una password sicura ma non accettano i simboli. Ed ecco che il numero di password da ricordare aumenta.

Paranoia=0: sto facendo un foglio excel (nemmeno protetto da password) contenente siti e password relative e nel farlo ho scoperto di possedere decine di caselle email di cui non ricordavo l'esistenza. Tutte ritrovate grazie all'espediente di provare le poche password che uso. Nel foglio sono escluse le password dei siti importanti, ovviamente.

La verità è che il problema delle password scopribili risiede sul server che le memorizza.
Mi sono ritrovato siti che le memorizzano in chiaro. So per certo, e non cito la fonte (a cui per fortuna non ho accesso) per evidenti motivi di sicurezza e tutela della mia persona, che alcuni enti, anche importanti, salvano le password degli utenti in chiaro sui server. Sfido qualunque programma di brute force a rintracciare la password "B(yb(7yb(7yb)YB9b)b7b9yB9bYb9b9yb9b9)9b76tv/5VC6754D65cd%$£s%£X7x%XC8&RcvCRFC&%3XZz52sz%£4x" in un paio di secoli di elaborazione, ma per chi ha accesso al database di quell'ente gli bastano pochi secondi.

[freefred]

Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android)

Lo uso al posto del pwmanager che usavo ai tempi del KDE 3.
Keepass e' un ottimo programma, tra quelli che ho provato uno dei migliori nel suo genere.
E' vero che vuole le QT ma non vuole il Kde, cioe' puoi usarlo anche con l'XFCE per esempio.
Il pericolo di perdere il database nel caso il programma scompaia e' remoto,
altri programmi aprono il file di keepass e sopratutto puoi esportare e tenere un backup
del database in un file di testo.

bye

[sberla54]

Mamma mia ragazzi quante risposte O_o
Grandissimi!

Sono uscite delle considerazioni interessanti, sulle quali penso che ragionero' un po' prima di ri-modificare alcune password che ho scelto, che sono veramente troppo difficili da ricordare....

Vorrei fare una puntualizzazione: io non mi preoccupo solamente dei bruteforce.
Mi preoccupo anche che qualcuno, conoscendo qualche informazione su di me, riesca ad indovinare (col cervello, non coi calcoli) qualche mia password o peggio ancora la logica di costruzione delle password (se e' sempre uguale e troppo banale). O magari ne scopra una con tecniche tipo "man in the middle" e poi risalga alle altre...
Mi preoccupo anche che, sfruttando qualche bug software, un attaccante riesca ad entrare in un qualche mio sistema e crackare l'hash delle password dal relativo files, dopo esserselo scaricato...

Quindi, mi preoccupo sia di battere una macchina che di battere un umano...

la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.

Un metodo simile a questo lo usiamo dove lavoro!
E' sicuramente molto comodo ed abbastanza resistente ai brute-force, ma mi sembra poco resistente ad un umano: difatti, tra colleghi conosciamo tutti le password degli altri e per ognuno di noi e' molto facile indovinare le password dei vari sistemi, conoscendo la logica di fondo...

Certo che se la logica cambia sempre, tipo a volte e' "Mi piace una community come Slacky.eu, la trovo interessante" altre volte e' "questo sito si chiama slacky.eu e questa e' la sua password" (QsscseqelsP), gia' il gioco si complica...

la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.

Ecco, il mio punto era proprio questo!
Continuo a complicarmi la vita con password piu' corte ma piu' ricche di maiuscole/simboli/numeri o mi invento 5 o 6 frasi mediamente lunghe da utilizzare sempre?

Forse la cosa migliore e' inventarmi 5 o 6 frasi e condirle di simboli e numeri

Tipo, per i forum: "mi_piacciono_i_forum_con*le*patate"

Faccio un esempio che è più chiaro:
_ scelgo una parola comune: settembre;
_ la scompongo e la mischio con caratteri alfanumerici e simboli: <<StTb7: (notare che sono già 8 caratteri di base);
_ aggiungo l'identificativo del sito al quale la password appartiene, ovvero: - per facebook: <<StTb7:fbk - per twitter: <<StTb7:twt e così via..

Questo e' un metodo che usa un mio amico!
Direi che e' ottimo contro i brute-force un po' meno contro gli umani. Pero' se la parola comune mischiata ed incasinata cambia abbastanza spesso (basta averne 4 o 5) gia' diventa un metodo ottimo in tutti i sensi...

In tutti i casi, pero', quando si lavora con combinazioni poco sensate contenenti numeri e simboli bisogna avere una buona memoria o poche variabili, altrimenti si fa presto a scordarsi qual'era l'esatto ordine, se c'era un asterisco piuttosto che un underscore ecc...
E' quel che sta succedendo a me con le mie nuove password

Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.

Io lo uso da parecchio!
Cioe', uso KeepassX: http://www.keepassx.org/
Ce l'ho sul computer come sul cellulare Android.
Ho i portachiavi (2 o 3 separati per ambiti di importanza, con master password diverse) su Dropbox, cosi' ho sempre un piano di emergenza se sono fuori casa e devo accedere alle mie cose.
Scarico (o apro) i portachiavi da Dropbox col client del cellulare e li apro con KeepassX, sempre sul cellulare.
Oppure posso utilizzare un qualsiasi pc, anche non mio...

A me questi portachiavi piacciono molto.
Uso delle master password veramente sicure, piu' di 15 caratteri con minuscole, maiuscole, simboli e numeri e comunque anche le altre password sono abbastanza complesse, seppur piu' facili da ricordare.
Con i portachiavi, inoltre, elimino il problema di ricordare quale delle mie varie password e' associata al tal sito/sistema/apparecchio in cui devo entrare...

Personalmente uso anche LastPass per Firefox: https://lastpass.com/
Un'estensione per Firefox che e' una specie di KeepassX integrato nel browser, con master password da inserire per aprire il portafoglio (non ogni giorno, ogni tot...) ed autocompletamento dei login.
Le password sono salvate nella cloud ed accessibili dal loro sito, cosi' come sono sincronizzate fra tutti i miei browser. Inoltre la sicurezza e' garantita da un sistema che non usa solo una master password ma anche delle specie di chiavi crittografiche salvate in locale ed in remoto (non mi e' del tutto chiaro...)

I vantaggi sono chiari: i database/portafoglio sono criptati ed anche se rubati, con una buona master password, ci vogliono anni per decriptarli. Ho le mie password ovunque ed ho tutto il mio software sincronizzato

Ah, tra parentesi LastPass ha anche uno strumento interno che valuta la robustezza delle vostre password! Mi fido poco dei vari tool online che fanno lo stesso...non so mai se poi si tengono la mia password

[lennynero]

Io lo uso da parecchio!
Cioe', uso KeepassX: http://www.keepassx.org/
Ce l'ho sul computer come sul cellulare Android.

Mi sono pacchettizzato la versione che è sul repo 32 per la mia leet64 senza problemi, adesso sto dando uno sguardo. La prima impressione è molto positiva, il mio obiettivo è proprio quello di modificare le mie password dei vari account usando l'approccio: radice complessa e suffisso descrittivo, e poi usare una masterpass combinando un pò tutti gli spunti che avete sapientemente snocciolato. Mi associo a sberla54 nei complimenti a tutti voi; in questi threads rivedo la community Slacky che mi ha fatto scegliere definitivamente questa Distro

[sberla54]

Riguardo a LastPass mi e' d'obbligo, per onesta' e completezza, citare questo: https://lastpass.com/status.php
Praticamente a maggio scorso gli admin del servizio hanno avuto l'impressione che qualcuno sia riuscito ad entrare in una parte dei sistemi e scaricare una parte dei dati. Non ne sono sicuri e non sanno cosa sia stato scaricato.
Hanno comunque fatto la scelta, onesta e trasparente, di informare la comunita', cosi' che potesse decidere come muoversi.
Io l'avevo appena iniziato ad usare ed ho ricambiato tutte le password.
Comunque, assicuravano che non ci fossero rischi per la sicurezza...ma meglio non fidarsi

[navajo]

Io ho usato Keepass ed era buono, ma mi trovo meglio con un foglio.txt in una partizione criptata con Truecrypt.

[lennynero]

Ragazzi, per quelli che usano/hanno usato KeePassX, mi chiedevo: ma il "Collegamento Auto Digitazione globale" come funziona? La comodità di usare un password manager del genere sta proprio nel fatto di non dover salvare nessuna pass nel browser..., ma a me sembra che questa feature non funzioni. Inoltre mi sono accorto che spesso se vado su un sito in cui devo autenticarmi, per esempio per accedere al forum(vale anche per Slacky), all'url viene accodato un hashcode, quindi, come posso configurare l'autodigitazione in questi casi? non si basa sull'url(esatta)?

[navajo]

Ragazzi, per quelli che usano/hanno usato KeePassX, mi chiedevo: ma il "Collegamento Auto Digitazione globale" come funziona? La comodità di usare un password manager del genere sta proprio nel fatto di non dover salvare nessuna pass nel browser..., ma a me sembra che questa feature non funzioni. Inoltre mi sono accorto che spesso se vado su un sito in cui devo autenticarmi, per esempio per accedere al forum(vale anche per Slacky), all'url viene accodato un hashcode, quindi, come posso configurare l'autodigitazione in questi casi? non si basa sull'url(esatta)?

non ricordo se ho fatto alcun settaggio particolare, ma a me andava... sorry

[navajo]

altra password facile da ricordare e abbastanza dura è il codice fiscale con simboli speciali in aggiunta.

[sberla54]

Ragazzi, per quelli che usano/hanno usato KeePassX, mi chiedevo: ma il "Collegamento Auto Digitazione globale" come funziona? La comodità di usare un password manager del genere sta proprio nel fatto di non dover salvare nessuna pass nel browser..., ma a me sembra che questa feature non funzioni. Inoltre mi sono accorto che spesso se vado su un sito in cui devo autenticarmi, per esempio per accedere al forum(vale anche per Slacky), all'url viene accodato un hashcode, quindi, come posso configurare l'autodigitazione in questi casi? non si basa sull'url(esatta)?

Non ho mai capito neanche io come funzionava quella cosa li...per quello per Firefox uso LastPass o le metto a manina

[targzeta]

Scusate, ma firefox non memorizza già di suo le password? Io me le ritrovo sempre pronte.

Emanuele