[Vai al menu di navigazione del blog]

[Leggi il post]

Password sicure e usabili

Giovedì 21 Maggio 2009 - 08:19

di Cesare Lamanna

Sicurezza

Può una password essere al tempo stesso sicura e usabile (leggi: facile da ricordare)? Detto altrimenti: per garantirci da attacchi e tentativi di hacking siamo condannati a scegliere cose come “J4fS<2" (che magari siamo costretti ad appuntare su un bel Post-it giallo a sua volta lasciato attaccato in bella mostra sul monitor... l'ho visto, l'ho visto :) )?

Thomas Baekdal prova a fare due conti in questo articolo. Due conti perché sottopone la sicurezza delle password ad un test ben preciso: quanto tempo impiegherebbe un hacker a indovinare la combinazione giusta usando i 3 metodi di attacco più comuni (brute force, attacco basato su parole comuni, attacco basato su tutti i termini contenuti in un dizionario)?

Usando una sola parola, non c’è storia. “J4fS<2", con la sua combinazione di simboli, numeri, lettere maiuscole e minuscole, è praticamente inattaccabile. Ma usando più parole, anche molto comuni e facili da ricordare, lo scenario cambia. Qualcosa come "this is fun" potrebbe impiegare un malintenzionato per ben 2537 anni.

Tutti convinti? O sempre meglio farle strane?

Tags:

Categoria: Sicurezza | Permalink

Commenti

1

Ogni anno mi prendo mezz’ora e genero una password a 18 caratteri randomizzata in un charset di 62 caratteri a massima entropia. In una decina di minuti la imparo a memoria, non lo trovo così difficile.

Quella da 18 caratteri la uso per le cose importanti, poi ne prendo di solito i primi 8 caratteri e quella la uso per i forum etc.

# - postato da Slam - 21 Maggio 2009 - 09:26

2

Si possono sempre “fare strane” ma partendo da quelle semplici … in questo modo si uniscono le due cose … ;)

# - postato da innovatel - 21 Maggio 2009 - 09:49

3

Auguri.
La volta che ci ho provato io, l’ho imparata ma mi sono per punizione divina dimenticato il pin del bancomat, l’ho bloccato nel tentativo di ricordarlo, me l’hanno tagliato in due, e ho dovuto aspettare un mese per avere quello nuovo.

# - postato da William Ghelfi - 21 Maggio 2009 - 09:52

4

le mie password sono un mix di targa auto + nome cane, oppure iniziali + prezzo di un libro, etc.

diventano facilissime da ricordare, ma restano password di 10 o più caratteri (lettere, numeri e segni d’interpunzione).

# - postato da Stefano Gorgoni - 21 Maggio 2009 - 09:54

5

solitamente “genero” password di 8 caratteri perchè è il formato più accettato

uso 5 caratteri per il progetto e 3 per il servizio.
facendo un esempio per l’account twitter di html.it si potrebbe usare:

56htmtwi

due numeri casuali + primi tre caratteri del progetto + i primi tre del servizio

# - postato da Maurizio - 21 Maggio 2009 - 10:08

6

Parole semplici composte in frasi “antiche”.
Il buon caro vecchio Boccaccio aiuta non poco.
od anche “sio fossi fuoco ti brucerei”

# - postato da lordmax - 21 Maggio 2009 - 10:37

7

Segnalo l’articolo http://geekfiles.tv/2009/05/19.....e-segrete/ in linea con il vostro.

# - postato da Gio - 21 Maggio 2009 - 12:12

8

Io sono solito usare pw da 8 caratteri lettere/numeri maiuscole/minuscole generate casualmente. Ne ho due o tre importanti e un altro paio per tutti i servizi online “leggeri” tipo forum, chat, et similia.

Infine ogni tanto (1 volta l’anno diciamo) cambio le pw “importanti” e “declasso” quelle dell’anno prima a “leggere”.
In questo modo, imparandone poche alla volta, ho sempre pw sicure e nuove.

Su Linux esiste un programma che ne genera di “leggibili” (pwgen): una volta provato a leggerle diventa abbastanza facile ricordarle a memoria.

# - postato da Gianluca S. - 21 Maggio 2009 - 14:19

9

Io utilizzo una password “visiva” (nel senso che crea un disegno riconoscibile sulla tastiera) insieme ad un semplice accorgimento: mischio all’interno (ad esempio all’inizio ed alla fine) la lettera iniziale e finale del servizio a cui mi sto iscrivendo.
Tipo Gmail: GpasswordL, così ho una password diversa ma in realtà ne ricordo una sola :D

# - postato da Just - 21 Maggio 2009 - 17:52

10

io uso un algoritmo molto semplice, lo eseguo mentalmente in 0.5 secondi, e mi permette di associare ad ogni dominio una password univoca

# - postato da Mik - 26 Maggio 2009 - 06:52

11

[…] Mi chiedo poi quanti, di fronte ad un messaggio che mette in guardia rispetto alla debolezza di una certa combinazione, modificano la stessa fino ad ottenerne una considerata sicura dal sistema. Personalmente lascio sempre quella che inserisco, a prescindere dal feedback che ricevo, cerco sempre cioè di combinare sicurezza e usabilità della password anche se il risultato finale non corrisponde ai criteri definiti da chi gestisce il meccanismo di iscrizione. […]

# - postato da Sui misuratori di vulnerabilità delle password | Edit - Il blog di HTML.it - 08 Gennaio 2010 - 12:47

12

io uso un algoritmo molto semplice, lo eseguo mentalmente in 0.5 secondi, e mi permette di associare ad ogni dominio una password univoca

questo è interessante… mi opuoi fare un esempio? (ovviamente diverso da quello che usi tu).
Comunque io di password uso sempre la stessa, il problema è la user (che molte volte manco si può recuperare - motivo per il quale nei miei servizi da un po di tempo a questa parte faccio usare l’email)

# - postato da Cristiano - 08 Gennaio 2010 - 16:57

13

Ho scritto un articolo sul mio sito proprio sul problema della sicurezza delle password. Una parte di tale articolo consiglia come concepire una password sicura e allo stesso tempo facile da ricordare.
Se volte potete darci un occhiata:

Password: consigli e puntualizzazioni

# - postato da Marco - 29 Luglio 2010 - 15:19

14

Come bel blog, ma si potrebbe avere creato questo blog più cool, se è possibile configurare il pluigin lingua cambia, ma lo stesso che hai fatto un buon lavoro
giochi casino

# - postato da joys - 02 Febbraio 2011 - 14:50

Inserisci il tuo commento:





(puoi usare i seguenti tag HTML per formattare il testo -
a href, b, i, br/, p, strong, em, ul, ol, li, blockquote, pre):

 

Anteprima del commento