[Gulli] Come testare la sicurezza delle vostre password

Stefano Baldacci stefano.baldacci@gmail.com
Mer 27 Gen 2016 09:14:24 CET 

Ciao a tutti,

un paio di osservazioni:

1) se fate una prova NON usate la vostra vera password. Lo ricordano anche
sul sito ma uno è sempre tentato ....
2) quando dicono che la tua password  può essere crackata in un certo tempo
secondo me si intende con algoritmo di forza bruta ed avendo a disposizioni
lo hash della password stessa. Ora nei sistemi linux esiste il meccanismo
delle "shadow passwords", che di solito è attivo di default, che rende
inaccessibile dall'esterno il file con gli hash delle passwords. In passato
non era cosi ed il file "passwords" che contiene gli hash di tutte le
password degli utenti insieme ad altre info sullo user ID era accessibile
(diventerebbe quindi possibile associare la password eventualmente
 crackata con uno user ID e quindi ottenere l'accesso !).
In questo modo è relativamente facile con un algoritmo a forza bruta
generare passwords casuali (oppure effettuare un attacco a
dizionario/dizionario modificato) e controllare in maniera automatica se
producono uno degli hash presenti nel file. Ma adesso non è più cosi e
quindi anche una password relativamente semplice è praticamente impossibile
da scoprire visto che dopo pochi tentativi di password errata un sistema
normalmente blocca l'account. Il tutto rimane valido ovviamente se ti puoi
fidare  dell'amministratore del sistema su cui hai un account e delle
politiche di sicurezza adottate.

Anche secondo me cmq. rimango valide le raccomandazioni riportate da Njkjta
per la generazione delle proprie passwords.


La cosa assolutamente importante e quella di conservare le password in modo
sicuro in un database criptato (vedi keepass) con una password bella lunga
e complessa. Se tenete le vostre password in un file non criptato sul PC o
sullo SM o TBLT è relativamente semplice per un trojan od altro tipo di
malware individuarlo.


Saluti a tutti
Stefano


Il giorno 23 gennaio 2016 01:08, simone <njkjta@gmail.com> ha scritto:

> Ciao a tutti,
> oggi ho letto un articolo che trattava di sicurezza delle password e
> segnalava uno dei tanti siti utili per testarne l'efficacia:
>
> https://blog.kaspersky.it/password-check/
>
> Riporto il link non tanto per fare pubblicità al produttore, già
> sufficientemente noto, ma perché mi sembra molto efficace la modalità
> (temporale) con la quale viene trasmesso all'utente il livello di
> (in)sicurezza delle proprie password (per i più geek c'è anche la versione
> romulana). Di seguito il test sulla mia master password che utilizzo per
> cifrare il file delle mie password personali:
>
>
>
> Penso che per qualche giorno potrò evitare di aggiornarla. :-D
>
>
> Vi invito a fare il test con le vostre password e capire con un click se
> state utilizzando password valide o troppo deboli per proteggere l'accesso
> ai vostri siti sensibili, tipo l'e-banking. ;-)
>
>
> Quando in ambito informatico si consiglia l'utilizzo di password "robuste"
> si fanno spesso le solite raccomandazioni sui criteri da seguire per la
> loro creazione:
>
> - non riutilizzare le stesse password su diversi accounts;
> - dove possibile utilizzare un password manager (aggiungo open source) con
> una master password *molto* sicura e singole password generate in
> automatico;
> - utilizzare combinazioni di lettere (MAIUSCOLE e minuscole), numeri e
> caratteri speciali;
> - utilizzare combinazioni di *almeno* 8 caratteri (meglio 12 o più);
> - aggiornare periodicamente le password (per pigrizia non seguo molto
> questa regola);
> - non utilizzare password contenenti informazioni personali (date di
> nascita, nomi dei propri cari) o parole comuni (presenti nei vocabolari);
> - non utilizzare informazioni facilmente reperibili da terzi nel caso sia
> necessario rispondere alle domande di sicurezza per il recupero della
> password;
> - TENERE AL SICURO IL BACKUP DELLE PASSWORD: se utilizzate un file per
> memorizzare le password è indispensabile cifrarlo efficacemente e non
> diffonderlo a terzi.
>
> Se avete ancora dei dubbi e non avete idea su che password utilizzare per
> accedere al vostro conto corrente vi consiglio una lista di possibili
> scelte da... evitare
> <http://www.infosecodyssey.com/2015/03/most-common-passwords-of-2015/>.
>
> Buon divertimento.
>
> Njkjta
>
> --
> "La sorveglianza di massa è la definizione stessa di uno stato di polizia,
> ed è per questo che dovremmo difendere la privacy anche quando non abbiamo nulla da nascondere".
>
> Bruce Schneier
>
>
>
>
> --
> Mailing list info: http://lists.linux.it/listinfo/gulli
> Pagina web del GULLI: www.linux.livorno.it
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/gulli/attachments/20160127/9553a8f4/attachment.html>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        image/png
Dimensione:  18294 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/gulli/attachments/20160127/9553a8f4/attachment.png>

Maggiori informazioni sulla lista Gulli