<div dir="ltr">Ciao a tutti,<div><br></div><div>un paio di osservazioni:</div><div><br></div><div>1) se fate una prova NON usate la vostra vera password. Lo ricordano anche sul sito ma uno è sempre tentato ....</div><div>2) quando dicono che la tua password può essere crackata in un certo tempo secondo me si intende con algoritmo di forza bruta ed avendo a disposizioni lo hash della password stessa. Ora nei sistemi linux esiste il meccanismo delle "shadow passwords", che di solito è attivo di default, che rende inaccessibile dall'esterno il file con gli hash delle passwords. In passato non era cosi ed il file "passwords" che contiene gli hash di tutte le password degli utenti insieme ad altre info sullo user ID era accessibile (diventerebbe quindi possibile associare la password eventualmente crackata con uno user ID e quindi ottenere l'accesso !). </div><div>In questo modo è relativamente facile con un algoritmo a forza bruta generare passwords casuali (oppure effettuare un attacco a dizionario/dizionario modificato) e controllare in maniera automatica se producono uno degli hash presenti nel file. Ma adesso non è più cosi e quindi anche una password relativamente semplice è praticamente impossibile da scoprire visto che dopo pochi tentativi di password errata un sistema normalmente blocca l'account. Il tutto rimane valido ovviamente se ti puoi fidare dell'amministratore del sistema su cui hai un account e delle politiche di sicurezza adottate. </div><div><br></div><div>Anche secondo me cmq. rimango valide le raccomandazioni riportate da <span style="font-size:12.8px">Njkjta per la generazione delle proprie passwords.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">La cosa assolutamente importante e quella di conservare le password in modo sicuro in un database criptato (vedi keepass) con una password bella lunga e complessa. Se tenete le vostre password in un file non criptato sul PC o sullo SM o TBLT è relativamente semplice per un trojan od altro tipo di malware individuarlo.</span></div><div> </div><div><br></div><div>Saluti a tutti</div><div>Stefano</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 23 gennaio 2016 01:08, simone <span dir="ltr"><<a href="mailto:njkjta@gmail.com" target="_blank">njkjta@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div text="#000000" bgcolor="#FFFFFF">
Ciao a tutti,<br>
<div> oggi ho letto un articolo che
trattava di sicurezza delle password e segnalava uno dei tanti
siti utili per testarne l'efficacia:<br>
<br>
<a href="https://blog.kaspersky.it/password-check/" target="_blank">https://blog.kaspersky.it/password-check/</a><br>
<br>
Riporto il link non tanto per fare pubblicità al produttore, già
sufficientemente noto, ma perché mi sembra molto efficace la
modalità (temporale) con la quale viene trasmesso all'utente il
livello di (in)sicurezza delle proprie password (per i più geek
c'è anche la versione romulana). Di seguito il test sulla mia
master password che utilizzo per cifrare il file delle mie
password personali:<br>
<br>
<img src="cid:part2.08040306.08090406@gmail.com" alt="" height="147" width="381"><br>
<br>
Penso che per qualche giorno potrò evitare di aggiornarla. <span><span> :-D</span></span><br>
<br>
<br>
Vi invito a fare il test con le vostre password e capire con un
click se state utilizzando password valide o troppo deboli per
proteggere l'accesso ai vostri siti sensibili, tipo l'e-banking. <span><span> ;-) </span></span><br>
<br>
<br>
Quando in ambito informatico si consiglia l'utilizzo di password
"robuste" si fanno spesso le solite raccomandazioni sui criteri da
seguire per la loro creazione:<br>
<br>
- non riutilizzare le stesse password su diversi accounts;<br>
- dove possibile utilizzare un password manager (aggiungo open
source) con una master password <u>molto</u> sicura e singole
password generate in automatico;<br>
- utilizzare combinazioni di lettere (MAIUSCOLE e minuscole),
numeri e caratteri speciali;<br>
- utilizzare combinazioni di <u>almeno</u> 8 caratteri (meglio 12
o più);<br>
- aggiornare periodicamente le password (per pigrizia non seguo
molto questa regola);<br>
- non utilizzare password contenenti informazioni personali (date
di nascita, nomi dei propri cari) o parole comuni (presenti nei
vocabolari);<br>
- non utilizzare informazioni facilmente reperibili da terzi nel
caso sia necessario rispondere alle domande di sicurezza per il
recupero della password;<br>
- TENERE AL SICURO IL BACKUP DELLE PASSWORD: se utilizzate un file
per memorizzare le password è indispensabile cifrarlo
efficacemente e non diffonderlo a terzi.<br>
<br>
Se avete ancora dei dubbi e non avete idea su che password
utilizzare per accedere al vostro conto corrente vi consiglio una
lista di possibili scelte da... <big><big><a href="http://www.infosecodyssey.com/2015/03/most-common-passwords-of-2015/" target="_blank">evitare</a></big></big>.<br>
<br>
Buon divertimento.<br>
<br>
Njkjta<span class="HOEnZb"><font color="#888888"><br>
<pre cols="72">--
"La sorveglianza di massa è la definizione stessa di uno stato di polizia,
ed è per questo che dovremmo difendere la privacy anche quando non abbiamo nulla da nascondere".
Bruce Schneier</pre>
<br>
</font></span></div>
<br>
</div>
<br>--<br>
Mailing list info: <a href="http://lists.linux.it/listinfo/gulli" rel="noreferrer" target="_blank">http://lists.linux.it/listinfo/gulli</a><br>
Pagina web del GULLI: <a href="http://www.linux.livorno.it" rel="noreferrer" target="_blank">www.linux.livorno.it</a><br></blockquote></div><br></div>