Sicurezza (?) delle password

[ZeroUno]

Scusate, questo è solo uno sfogo perché non ne posso più delle paranoie.

C'era una volta..., anzi NON c'era una volta la necessità né l'obbligo di una password sicura, o almeno non c'era la definizione di password sicura.
A quei tempi la password 'pippo' era oltre che sufficiente per proteggere il proprio account su siti non https. E io avevo una password del genere (metà anni 90). E mi ci sono iscritto ad un po' di siti.

Poi sono subentrate le password di 8 caratteri e le autogenerate; all'università me ne hanno assegnata una di 7 consonanti e una vocale tutto minuscolo; un casino per ricordarla perché non era modificabile. E l'ho usata per registrarmi ad altri siti
.

Poi si sono diffuse le carte di credito con il loro pin a 4 o 5 cifre.

Poi sono arrivati i "criteri di sicurezza" con le password che dovevano essere di almeno 8 caratteri, e questa già ce l'avevo e ormai l'avevo imparata bene.

Poi le password dovevano contenere almeno un numero, ed ho sostituito la vocale con il
numero relativo per ricordarla meglio.

Poi le password hanno cominciato a volere le maiuscole E numeri.
E mi sono fatto la mia bella password facile da ricordare.

Poi le password hanno cominciato a richiedere i simboli.
E ho modificato la password di cui sopra.
E quando ne inventi di nuove magari cominci a mettere abbreviazioni per evitare di perdere ore a digitare password, oltre a siti.


E poi sono arrivate le password che richiedono 10 caratteri che poi sono diventati 12 e poi 16.
A quel punto cominci a inventare password che per non dimenticarle sono nomi con le vocali cambiate con simboli e numeri

Poi arriva il controllo che non siano basate su un dizionario (e verifica pure che non bari scrivendo 'c1ao' per fargli pensare che non è basata su un dizionario)

Poi arriva il cambio obbligatorio mensile che non accetta password simili alle 10 precedenti.
E lì non sai più che cosa inventare.

Poi si aggiungono i siti vecchi che NON accettano simboli (solitamente per semplicità di scrittura del codice) e vogliono esattamente 8 caratteri, allora reinizi ad usare le password vecchie.


Non so voi come vi regolate ma io ormai mi sono perso e senza il salva password (tranne per i siti importanti come banche ecc) sono perduto. E quando cambio computer il backup della .firefox è più importante del backup dei documenti. E quando usi il pc di altri non sai che fare.
Ormai per me è continuo digitare password sperando di azzeccare al primo colpo e in aumento il numero di volte che uso il reset password. E anche le domande di sicurezza ormai sono diventate un incubo; puoi scegliere tra una manciata di opzioni tra cui una è il cognome della prima maestra d'asilo o l'amico di infanzia (io non mi ricordo né l'uno né l'altro) o la via della tua prima casa (nome composto.. l'avrò messo completo? Ci avrò messo 'via' davanti?)


Poi ci sono i server, in cui le password devono essere complicate e non puoi usare le tue perché devono essere condivise con i colleghi.
E pure lì tra accessi in ssh con chiave e root con sudo arrivo spesso a non sapere che password digitare quando non uso il mio pc.

E il blocco dell'account al terzo errore?


Non so che ne pensate voi ma per me questa è paranoia che aumentare il numero di utenti che si scrive le password su foglietti, oppure le mette in un file (così quando lo apre tutti lo vedono) o lo cripta con password e scrive la password in un postit che appiccica poi al monitor.


Come vi regolate voi?


Scusate lo sfogo.


Edit: tutto questo poi si è amplificato quando a gennaio mi hanno rubato il portatile e quindi ho dovuto cambiare un sacco di password ad un sacco di siti.

[aschenaz]

Io (che tra l'altro per lavoro sono costretto ad inventare password improponibili, che devono essere cambiate ogni tre mesi e che non possono ripetersi per un certo numero di cicli...) adotto un sistemino:
- Uso una base sempre uguale (facciamo finta che sia pippo);
- se è richiesta una maiuscola, magari scriverò Pippo;
- poi aggiungo un suffisso (ad esempio tre caratteri) che identificano l'applicazione o il sito (ad esempio fac per facebook);
- quindi, in base al numero di caratteri richiesti, aggiungo un progressivo numerico (che torna molto utile per il fatto di dover cambiare sempre la password);
- infine, aggiungo un simbolo, magari scelto con qualche criterio mnemonico (ad esempio, quello sopra l'ultimo numero del progressivo numerico).

La mia password per fb, quindi, potrebbe essere Pippofac000= (tanto io non ci sono su facebook! ).

Sembra cervellotico, ma, una volta presa l'abitudine, diventa meccanico: l'unica piccola difficoltà è ricordare l'eventuale progressivo (ma, nel mio caso, durando tre mesi e utilizzando la pw continuamente, non è un problema).

Certo, il discorso cambia in quelle situazioni in cui le password sono calate dall'alto; ma, in genere, si possono modificare poi, no?

Inoltre, alcuni siti non permettono di inserire simboli (mi viene in mente paypal)...

[nyquist]

Ciao,
non so se possa minimamente essere d'aiuto e non so nemmeno se sia il modo migliore per gestire la cosa, ma per la gestione delle password da parecchio tempo ormai uso Keepassx.
Memorizza le password in un database cifrato. Quando aggiungo/modifico qualcosa mi faccio una copia di backup del file cifrato.
Ti serve ricordare bene solo una "master password" per accedere a tutte le altre (che puoi tranquillamente generare). È un software semplice e fatto bene dal mio punto di vista.

[lablinux]

io ho un sistema semplice (per me). Password richiesta: minuscole / maiuscoloe / numeri / simboli => almeno tre di queste caratteristiche, diverse per 10 cicli, da modificare ogni 3 mesi:
scelgo una lettera (ad esempio la "a") e faccio ASD12asd, al successivo giro scelgo ad esempio la g e la password sarà GHJ12ghj, cosi mi devo solo ricordare una lettera, le altre due sone le successive, poi 12 e poi ripeto le lettere in minusco.

[ponce]

per la gestione delle password da parecchio tempo ormai uso Keepassx

anch'io ho optato per quello.

per la generazione delle password mi affido alle direttive di Randall Munroe, anche se ogni tanto mi tocca metterci numeri/altro.

[conraid]

io usavo una parte comune ed una variabile, ero arrivato a ricordarle quasi tutte ed ad indovinare dopo qualche tentativo quelle che non ricordavo, purtroppo però una decina di giorni fa mi sono arrivate mail da google, facebook e whatsapp di tentativi di intrusioni e secondo google ci sono anche riusciti. Tra l'altro l'account facebook è disattivato da più di un anno ormai.
Quindi le ho cambiate, e da allora vivo nel "reset password", non le ricordo mai e devo ogni volta cambiarle. Anche stamani ho cambiato google, facebook e mi tocca cambiare tumblr.
Tra l'altro ho dimenticato anche quella del router, dopo che l'ho modificata in quanto era troppo semplice.
Una palla immensa, tra l'altro ho dovuto modificare anche quelle di GPG e SSL visto che erano simili.
Alla fine le scrivo su un foglio o su keepassx anche io, ma spesso mi dimentico di aggiornarlo o perdo i fogli. Sono pessimo con le password.

per la gestione delle password da parecchio tempo ormai uso Keepassx

anch'io ho optato per quello.

per la generazione delle password mi affido alle direttive di Randall Munroe, anche se ogni tanto mi tocca metterci numeri/altro.

cioè frasi lunghe piuttosto che mix di caratteri inconprensibili?

[brg]

Giusto qualche settimana fa ho installato OpenBSD su macchina virtuale per vedere se un programma che avevo fatto si compilasse anche lì.
Al primo avvio ti accoglie con un "Welcome to OpenBSD: The proactively secure Unix-like operating system.", dopodiché creo tranquillamente l'account di "root" con una bella password "toor". D'altra parte è su una macchina virtuale che mi serve solo per provare a compilare roba.
Poi provo a creare un utente ordinario ed inizia l'incubo: "inserisci password", inserisco la password "guest", "troppo corta", ne inserisco una nuova, "inserisci maiuscole e minuscole", ne inserisco una nuova, "inserisci numeri e lettere", ne inserisco una nuova e finalmente la prende. Al riavvio me l'ero praticamente scordata, ma per "root" la password "toor" gli andava benissimo al "proactively secure operating system", bah!

Le mie password, usualmente, le creo secondo temi e schemi ricorrenti. Ad esempio, mettiamo che decida di usare il tema calciatori, potrei usare password del tipo: "Comunardo_Niccolai" (un calciatore degli anni '70), "Luis_Silvio" (noto bidone degli anni '80) ecc. Poi magari userei il tema rivoluzioni secondo uno schema diverso: "Rivoluzionedell89" (quella francese), "Motidel48" ecc. Così avrei un account di posta con i calciatori, con il quale mi iscreverei ad un forum usando una passowrd con le rivoluzioni...

cioè frasi lunghe piuttosto che mix di caratteri inconprensibili?

Io mi sono sempre chiesto come facesse un malintenzionato a sapere se avevi usato solo minuscole o maiuscole e minuscole o minuscole e numeri o che cosa. Di certo una password lunga è più complessa di una corta, non importa quanti simboli hai usato: x^n maggiora n^x per n->oo.

[ponce]

per la generazione delle password mi affido alle direttive di Randall Munroe, anche se ogni tanto mi tocca metterci numeri/altro.

cioè frasi lunghe piuttosto che mix di caratteri inconprensibili?

beh, fondamentalmente si: come dice nel fumetto, a prescindere dal fatto che sono piu' sicure e' anche piu' facile ricordarsele.
a volte pero' mi scontro con i limiti di lunghezza delle password e mi tocca accorciarle

[conraid]

beh, fondamentalmente si: come dice nel fumetto, a prescindere dal fatto che sono piu' sicure e' anche piu' facile ricordarsele.
a volte pero' mi scontro con i limiti di lunghezza delle password e mi tocca accorciarle

io solitamente faccio una via di mezzo, mescolo frasi e parole con caratteri strani.

Io mi sono sempre chiesto come facesse un malintenzionato a sapere se avevi usato solo minuscole o maiuscole e minuscole o minuscole e numeri o che cosa.

Penso sia richiesto l'uso di caratteri diversi per vanificare, o almeno rendere difficili, gli attacchi con dizionario.

[ponce]

se metti come password qualcosa del tipo "WindowsFaCaaASpruzzoMaTanto1969" e' difficile che ci arrivino anche con dizionari e brute force.

poi, il digitarla quando ne hai bisogno, ti viene quasi naturale

[conraid]

ora la uso

[hashbang]

Come vi regolate voi?

Quando devo generare password uso questo script che ho creato appositamente:

Codice: Seleziona tutto

#!/bin/sh

# pwdgen - A simple password generator.
# Copyright (c) 2014, 2015, Luca De Pandis. All rights reserved.

# Redistribution and use of this script, with or without modification, is
# permitted provided that the following conditions are met:
#
# 1. Redistributions of this script must retain the above copyright
#    notice, this list of conditions and the following disclaimer.
#
# THIS SOFTWARE IS PROVIDED BY THE AUTHOR ''AS IS'' AND ANY EXPRESS OR IMPLIED
# WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
# MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO
# EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
# PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS;
# OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
# WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
# OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
# ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

export LC_ALL=POSIX

LENGTH="6"
KEYS="1"
PATTERN='a-zA-Z0-9'
CNT="1"

help() {
	printf  '%b\n' "Usage: pwdgen [-h] [-l length] [-k keys] [-s]\
	        \n\nParameters:\n\t-h\t\tShow this help screen\
	        \n\t-l length\tPassword length (default: 6, max: 50)\
	        \n\t-k keys\t\tGenerate multiple passwords (default: 1, max: 10)\
	        \n\t-s\t\tAdd non-alphanumeric characters"
}

die() {
	STRING="$1"
	RETVAL="$2"

	[ -z "$STRING" -o -z "$RETVAL" ] && return 255

	printf '%s\n' "$STRING" > /dev/stderr 2>&1
	exit "$RETVAL"
}

while getopts "dhl:k:s" args; do
	case $args in
		"l" )
			LENGTH="$OPTARG"

			# Set reasonable limits for length
			if [ "$LENGTH" -gt "50" ]; then
				die "pwdgen generates passwords with 50 or less characters" 2
			elif [ "$LENGTH" -lt "6" ]; then
				die "pwdgen generates passwords with at least 6 characters" 3
			fi
		;;

		"k" )
			KEYS="$OPTARG"

			# Set reasonable limits for keys
			if [ "$KEYS" -gt "10" ]; then
				die "pwdgen can generate max 10 passwords" 4
			elif [ "$KEYS" -lt "2" ]; then
				die "Key value cannot be lower than 2" 5
			fi

			CNT="$((KEYS/2))"
		;;

		"s" )
			PATTERN+='-_!@#$%^&*()_+{}|:<>?='
		;;

		"h" )
			help
			exit 0
		;;

		* )
			help
			exit 1
		;;
	esac
done

shift $((OPTIND-1))

dd if=/dev/urandom of=/dev/stdout count="$CNT" status=none | tr -dc "$PATTERN" | fold -w "$LENGTH" | head -n "$KEYS"

printf '\n%s\n' "$KEYS password(s) generated"

exit 0

Per l'archiviazione uso un software che ho scritto io stesso in Ruby (l'ho chiamato rVault) e che salva il tutto in un file YAML cifrato in AES-256-CBC.

[navajo]

io uso delle date modificae in stile "latino con estensioni per i vari servizi tipo:
"01Gennaius@67.fcb" per facebook ecc. ecc
vediamo se ci sono nei vocabolari..

[red]

Io cambio sempre metodo, anche a seconda di quanta sicurezza voglio per quel sito o per quel servizio.
Di solito uso anche io tecniche già citate, o mi affido a tool per linux tipo mkpasswd.

Per essere sicuro però di poterle sempre recuperare tutte, ho creato un file di testo in cui sono elencate (ed ovviamente associate al relativo sito) e l'ho crittografato con GPG e una password molto complicata che ho imparato a memoria . Ovviamente il file è anche in cloud per non rischiare di perderlo!

Se ne dimentico una, male che vada, devo solo aspettare di vedere quel file, però vi assicuro che a forza di dai sto iniziando a ricordare anche le più complesse .