Password sicure e usabili

giovedì 21 maggio 2009 - 8:19

di Cesare Lamanna

Puà una password essere al tempo stesso sicura e usabile (leggi: facile da ricordare)? Detto altrimenti: per garantirci da attacchi e tentativi di hacking siamo condannati a scegliere cose come “J4fS<2" (che magari siamo costretti ad appuntare su un bel Post-it giallo a sua volta lasciato attaccato in bella mostra sul monitor... l'ho visto, l'ho visto :) )?

Thomas Baekdal prova a fare due conti in questo articolo. Due conti perché sottopone la sicurezza delle password ad un test ben preciso: quanto tempo impiegherebbe un hacker a indovinare la combinazione giusta usando i 3 metodi di attacco più comuni (brute force, attacco basato su parole comuni, attacco basato su tutti i termini contenuti in un dizionario)?

Usando una sola parola, non c’è storia. “J4fS<2", con la sua combinazione di simboli, numeri, lettere maiuscole e minuscole, è praticamente inattaccabile. Ma usando più parole, anche molto comuni e facili da ricordare, lo scenario cambia. Qualcosa come "this is fun" potrebbe impiegare un malintenzionato per ben 2537 anni.

Tutti convinti? O sempre meglio farle strane?

Tags:, ,

Categoria: Sicurezza | Commenta

Commenti per Password sicure e usabili

Ogni anno mi prendo mezz’ora e genero una password a 18 caratteri randomizzata in un charset di 62 caratteri a massima entropia. In una decina di minuti la imparo a memoria, non lo trovo così difficile.

Quella da 18 caratteri la uso per le cose importanti, poi ne prendo di solito i primi 8 caratteri e quella la uso per i forum etc.

# - Postato da Slam 21 maggio 2009 alle 09:26

Si possono sempre “fare strane” ma partendo da quelle semplici … in questo modo si uniscono le due cose … ;)

# - Postato da innovatel 21 maggio 2009 alle 09:49

Auguri.
La volta che ci ho provato io, l’ho imparata ma mi sono per punizione divina dimenticato il pin del bancomat, l’ho bloccato nel tentativo di ricordarlo, me l’hanno tagliato in due, e ho dovuto aspettare un mese per avere quello nuovo.

# - Postato da William Ghelfi 21 maggio 2009 alle 09:52

le mie password sono un mix di targa auto + nome cane, oppure iniziali + prezzo di un libro, etc.

diventano facilissime da ricordare, ma restano password di 10 o più caratteri (lettere, numeri e segni d’interpunzione).

# - Postato da Stefano Gorgoni 21 maggio 2009 alle 09:54

solitamente “genero” password di 8 caratteri perché é il formato più accettato

uso 5 caratteri per il progetto e 3 per il servizio.
facendo un esempio per l’account twitter di html.it si potrebbe usare:

56htmtwi

due numeri casuali + primi tre caratteri del progetto + i primi tre del servizio

# - Postato da Maurizio 21 maggio 2009 alle 10:08

Parole semplici composte in frasi “antiche”.
Il buon caro vecchio Boccaccio aiuta non poco.
od anche “sio fossi fuoco ti brucerei”

# - Postato da lordmax 21 maggio 2009 alle 10:37

Segnalo l’articolo http://geekfiles.tv/2009/05/19/attenzione-alle-domande-segrete/ in linea con il vostro.

# - Postato da Gio 21 maggio 2009 alle 12:12

Io sono solito usare pw da 8 caratteri lettere/numeri maiuscole/minuscole generate casualmente. Ne ho due o tre importanti e un altro paio per tutti i servizi online “leggeri” tipo forum, chat, et similia.

Infine ogni tanto (1 volta l’anno diciamo) cambio le pw “importanti” e “declasso” quelle dell’anno prima a “leggere”.
In questo modo, imparandone poche alla volta, ho sempre pw sicure e nuove.

Su Linux esiste un programma che ne genera di “leggibili” (pwgen): una volta provato a leggerle diventa abbastanza facile ricordarle a memoria.

# - Postato da Gianluca S. 21 maggio 2009 alle 14:19

Io utilizzo una password “visiva” (nel senso che crea un disegno riconoscibile sulla tastiera) insieme ad un semplice accorgimento: mischio all’interno (ad esempio all’inizio ed alla fine) la lettera iniziale e finale del servizio a cui mi sto iscrivendo.
Tipo Gmail: GpasswordL, così ho una password diversa ma in realtà  ne ricordo una sola :D

# - Postato da Just 21 maggio 2009 alle 17:52

io uso un algoritmo molto semplice, lo eseguo mentalmente in 0.5 secondi, e mi permette di associare ad ogni dominio una password univoca

# - Postato da Mik 26 maggio 2009 alle 06:52

Pingback: Sui misuratori di vulnerabilità delle password | Edit - Il blog di HTML.it

io uso un algoritmo molto semplice, lo eseguo mentalmente in 0.5 secondi, e mi permette di associare ad ogni dominio una password univoca

questo é interessante… mi opuoi fare un esempio? (ovviamente diverso da quello che usi tu).
Comunque io di password uso sempre la stessa, il problema é la user (che molte volte manco si può recuperare – motivo per il quale nei miei servizi da un po di tempo a questa parte faccio usare l’email)

# - Postato da Cristiano 8 gennaio 2010 alle 16:57

Ho scritto un articolo sul mio sito proprio sul problema della sicurezza delle password. Una parte di tale articolo consiglia come concepire una password sicura e allo stesso tempo facile da ricordare.
Se volte potete darci un occhiata:

Password: consigli e puntualizzazioni

# - Postato da Marco 29 luglio 2010 alle 15:19

Come bel blog, ma si potrebbe avere creato questo blog più cool, se é possibile configurare il pluigin lingua cambia, ma lo stesso che hai fatto un buon lavoro
giochi casino

# - Postato da joys 2 febbraio 2011 alle 14:50

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>