Sicurezza (?) delle password

Area di discussione libera.

Moderatore: Staff

Regole del forum
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5197
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Sicurezza (?) delle password

Messaggioda ZeroUno » mer mag 27, 2015 23:06

Scusate, questo è solo uno sfogo perché non ne posso più delle paranoie.

C'era una volta..., anzi NON c'era una volta la necessità né l'obbligo di una password sicura, o almeno non c'era la definizione di password sicura.
A quei tempi la password 'pippo' era oltre che sufficiente per proteggere il proprio account su siti non https. E io avevo una password del genere (metà anni 90). E mi ci sono iscritto ad un po' di siti.

Poi sono subentrate le password di 8 caratteri e le autogenerate; all'università me ne hanno assegnata una di 7 consonanti e una vocale tutto minuscolo; un casino per ricordarla perché non era modificabile. E l'ho usata per registrarmi ad altri siti
.

Poi si sono diffuse le carte di credito con il loro pin a 4 o 5 cifre.

Poi sono arrivati i "criteri di sicurezza" con le password che dovevano essere di almeno 8 caratteri, e questa già ce l'avevo e ormai l'avevo imparata bene.

Poi le password dovevano contenere almeno un numero, ed ho sostituito la vocale con il
numero relativo per ricordarla meglio.

Poi le password hanno cominciato a volere le maiuscole E numeri.
E mi sono fatto la mia bella password facile da ricordare.

Poi le password hanno cominciato a richiedere i simboli.
E ho modificato la password di cui sopra.
E quando ne inventi di nuove magari cominci a mettere abbreviazioni per evitare di perdere ore a digitare password, oltre a siti.


E poi sono arrivate le password che richiedono 10 caratteri che poi sono diventati 12 e poi 16.
A quel punto cominci a inventare password che per non dimenticarle sono nomi con le vocali cambiate con simboli e numeri

Poi arriva il controllo che non siano basate su un dizionario (e verifica pure che non bari scrivendo 'c1ao' per fargli pensare che non è basata su un dizionario)

Poi arriva il cambio obbligatorio mensile che non accetta password simili alle 10 precedenti.
E lì non sai più che cosa inventare.

Poi si aggiungono i siti vecchi che NON accettano simboli (solitamente per semplicità di scrittura del codice) e vogliono esattamente 8 caratteri, allora reinizi ad usare le password vecchie.


Non so voi come vi regolate ma io ormai mi sono perso e senza il salva password (tranne per i siti importanti come banche ecc) sono perduto. E quando cambio computer il backup della .firefox è più importante del backup dei documenti. E quando usi il pc di altri non sai che fare.
Ormai per me è continuo digitare password sperando di azzeccare al primo colpo e in aumento il numero di volte che uso il reset password. E anche le domande di sicurezza ormai sono diventate un incubo; puoi scegliere tra una manciata di opzioni tra cui una è il cognome della prima maestra d'asilo o l'amico di infanzia (io non mi ricordo né l'uno né l'altro) o la via della tua prima casa (nome composto.. l'avrò messo completo? Ci avrò messo 'via' davanti?)


Poi ci sono i server, in cui le password devono essere complicate e non puoi usare le tue perché devono essere condivise con i colleghi.
E pure lì tra accessi in ssh con chiave e root con sudo arrivo spesso a non sapere che password digitare quando non uso il mio pc.

E il blocco dell'account al terzo errore?


Non so che ne pensate voi ma per me questa è paranoia che aumentare il numero di utenti che si scrive le password su foglietti, oppure le mette in un file (così quando lo apre tutti lo vedono) o lo cripta con password e scrive la password in un postit che appiccica poi al monitor.


Come vi regolate voi?


Scusate lo sfogo.


Edit: tutto questo poi si è amplificato quando a gennaio mi hanno rubato il portatile e quindi ho dovuto cambiare un sacco di password ad un sacco di siti.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
aschenaz
Staff
Staff
Messaggi: 4603
Iscritto il: mer lug 28, 2004 0:00
Nome Cognome: Nino
Slackware: current
Kernel: 4.14.x
Desktop: KDE
Località: Reggio Calabria
Contatta:

Re: Sicurezza (?) delle password

Messaggioda aschenaz » gio mag 28, 2015 8:33

:)
Io (che tra l'altro per lavoro sono costretto ad inventare password improponibili, che devono essere cambiate ogni tre mesi e che non possono ripetersi per un certo numero di cicli...) adotto un sistemino:
- Uso una base sempre uguale (facciamo finta che sia pippo);
- se è richiesta una maiuscola, magari scriverò Pippo;
- poi aggiungo un suffisso (ad esempio tre caratteri) che identificano l'applicazione o il sito (ad esempio fac per facebook);
- quindi, in base al numero di caratteri richiesti, aggiungo un progressivo numerico (che torna molto utile per il fatto di dover cambiare sempre la password);
- infine, aggiungo un simbolo, magari scelto con qualche criterio mnemonico (ad esempio, quello sopra l'ultimo numero del progressivo numerico).

La mia password per fb, quindi, potrebbe essere Pippofac000= (tanto io non ci sono su facebook! :lol: ).

Sembra cervellotico, ma, una volta presa l'abitudine, diventa meccanico: l'unica piccola difficoltà è ricordare l'eventuale progressivo (ma, nel mio caso, durando tre mesi e utilizzando la pw continuamente, non è un problema).

Certo, il discorso cambia in quelle situazioni in cui le password sono calate dall'alto; ma, in genere, si possono modificare poi, no?

Inoltre, alcuni siti non permettono di inserire simboli (mi viene in mente paypal)...

Avatar utente
nyquist
Linux 2.x
Linux 2.x
Messaggi: 266
Iscritto il: sab ago 02, 2008 16:02
Nome Cognome: Cristiano Urban
Slackware: 14.2 multilib
Kernel: 4.4.190
Desktop: KDE
Località: Gonars (UD)
Contatta:

Re: Sicurezza (?) delle password

Messaggioda nyquist » gio mag 28, 2015 8:47

Ciao,
non so se possa minimamente essere d'aiuto e non so nemmeno se sia il modo migliore per gestire la cosa, ma per la gestione delle password da parecchio tempo ormai uso Keepassx.
Memorizza le password in un database cifrato. Quando aggiungo/modifico qualcosa mi faccio una copia di backup del file cifrato.
Ti serve ricordare bene solo una "master password" per accedere a tutte le altre (che puoi tranquillamente generare). È un software semplice e fatto bene dal mio punto di vista.

Avatar utente
lablinux
Linux 4.x
Linux 4.x
Messaggi: 1126
Iscritto il: gio nov 27, 2008 12:23
Desktop: Gnome
Distribuzione: Debian testing
Località: Rho

Re: Sicurezza (?) delle password

Messaggioda lablinux » gio mag 28, 2015 11:04

io ho un sistema semplice (per me). Password richiesta: minuscole / maiuscoloe / numeri / simboli => almeno tre di queste caratteristiche, diverse per 10 cicli, da modificare ogni 3 mesi:
scelgo una lettera (ad esempio la "a") e faccio ASD12asd, al successivo giro scelgo ad esempio la g e la password sarà GHJ12ghj, cosi mi devo solo ricordare una lettera, le altre due sone le successive, poi 12 e poi ripeto le lettere in minusco.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2636
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 5.3.2
Desktop: lxde
Località: Pisa
Contatta:

Re: Sicurezza (?) delle password

Messaggioda ponce » gio mag 28, 2015 11:58

nyquist ha scritto:per la gestione delle password da parecchio tempo ormai uso Keepassx

anch'io ho optato per quello.

per la generazione delle password mi affido alle direttive di Randall Munroe, anche se ogni tanto mi tocca metterci numeri/altro.

Avatar utente
conraid
Staff
Staff
Messaggi: 13305
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Sicurezza (?) delle password

Messaggioda conraid » gio mag 28, 2015 13:33

io usavo una parte comune ed una variabile, ero arrivato a ricordarle quasi tutte ed ad indovinare dopo qualche tentativo quelle che non ricordavo, purtroppo però una decina di giorni fa mi sono arrivate mail da google, facebook e whatsapp di tentativi di intrusioni e secondo google ci sono anche riusciti. Tra l'altro l'account facebook è disattivato da più di un anno ormai.
Quindi le ho cambiate, e da allora vivo nel "reset password", non le ricordo mai e devo ogni volta cambiarle. Anche stamani ho cambiato google, facebook e mi tocca cambiare tumblr.
Tra l'altro ho dimenticato anche quella del router, dopo che l'ho modificata in quanto era troppo semplice.
Una palla immensa, tra l'altro ho dovuto modificare anche quelle di GPG e SSL visto che erano simili.
Alla fine le scrivo su un foglio o su keepassx anche io, ma spesso mi dimentico di aggiornarlo o perdo i fogli. Sono pessimo con le password.

ponce ha scritto:
nyquist ha scritto:per la gestione delle password da parecchio tempo ormai uso Keepassx

anch'io ho optato per quello.

per la generazione delle password mi affido alle direttive di Randall Munroe, anche se ogni tanto mi tocca metterci numeri/altro.


cioè frasi lunghe piuttosto che mix di caratteri inconprensibili?

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 466
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.172
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Sicurezza (?) delle password

Messaggioda brg » gio mag 28, 2015 14:02

Giusto qualche settimana fa ho installato OpenBSD su macchina virtuale per vedere se un programma che avevo fatto si compilasse anche lì.
Al primo avvio ti accoglie con un "Welcome to OpenBSD: The proactively secure Unix-like operating system.", dopodiché creo tranquillamente l'account di "root" con una bella password "toor". D'altra parte è su una macchina virtuale che mi serve solo per provare a compilare roba.
Poi provo a creare un utente ordinario ed inizia l'incubo: "inserisci password", inserisco la password "guest", "troppo corta", ne inserisco una nuova, "inserisci maiuscole e minuscole", ne inserisco una nuova, "inserisci numeri e lettere", ne inserisco una nuova e finalmente la prende. Al riavvio me l'ero praticamente scordata, ma per "root" la password "toor" gli andava benissimo al "proactively secure operating system", bah!

Le mie password, usualmente, le creo secondo temi e schemi ricorrenti. Ad esempio, mettiamo che decida di usare il tema calciatori, potrei usare password del tipo: "Comunardo_Niccolai" (un calciatore degli anni '70), "Luis_Silvio" (noto bidone degli anni '80) ecc. Poi magari userei il tema rivoluzioni secondo uno schema diverso: "Rivoluzionedell89" (quella francese), "Motidel48" ecc. Così avrei un account di posta con i calciatori, con il quale mi iscreverei ad un forum usando una passowrd con le rivoluzioni...

conraid ha scritto:cioè frasi lunghe piuttosto che mix di caratteri inconprensibili?


Io mi sono sempre chiesto come facesse un malintenzionato a sapere se avevi usato solo minuscole o maiuscole e minuscole o minuscole e numeri o che cosa. Di certo una password lunga è più complessa di una corta, non importa quanti simboli hai usato: x^n maggiora n^x per n->oo.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2636
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 5.3.2
Desktop: lxde
Località: Pisa
Contatta:

Re: Sicurezza (?) delle password

Messaggioda ponce » gio mag 28, 2015 15:38

conraid ha scritto:
per la generazione delle password mi affido alle direttive di Randall Munroe, anche se ogni tanto mi tocca metterci numeri/altro.

cioè frasi lunghe piuttosto che mix di caratteri inconprensibili?

beh, fondamentalmente si: come dice nel fumetto, a prescindere dal fatto che sono piu' sicure e' anche piu' facile ricordarsele.
a volte pero' mi scontro con i limiti di lunghezza delle password e mi tocca accorciarle ;)

Avatar utente
conraid
Staff
Staff
Messaggi: 13305
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Sicurezza (?) delle password

Messaggioda conraid » gio mag 28, 2015 18:04

ponce ha scritto:beh, fondamentalmente si: come dice nel fumetto, a prescindere dal fatto che sono piu' sicure e' anche piu' facile ricordarsele.
a volte pero' mi scontro con i limiti di lunghezza delle password e mi tocca accorciarle ;)


io solitamente faccio una via di mezzo, mescolo frasi e parole con caratteri strani.

brg ha scritto:
Io mi sono sempre chiesto come facesse un malintenzionato a sapere se avevi usato solo minuscole o maiuscole e minuscole o minuscole e numeri o che cosa.


Penso sia richiesto l'uso di caratteri diversi per vanificare, o almeno rendere difficili, gli attacchi con dizionario.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2636
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 5.3.2
Desktop: lxde
Località: Pisa
Contatta:

Re: Sicurezza (?) delle password

Messaggioda ponce » gio mag 28, 2015 18:09

se metti come password qualcosa del tipo "WindowsFaCaaASpruzzoMaTanto1969" e' difficile che ci arrivino anche con dizionari e brute force.

poi, il digitarla quando ne hai bisogno, ti viene quasi naturale :D

Avatar utente
conraid
Staff
Staff
Messaggi: 13305
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Sicurezza (?) delle password

Messaggioda conraid » gio mag 28, 2015 18:14

ora la uso :D

hashbang
Packager
Packager
Messaggi: 1975
Iscritto il: ven giu 04, 2010 10:27
Nome Cognome: Luca De Pandis
Distribuzione: macOS Catalina
Località: Lecce / Bergamo / Milano
Contatta:

Re: Sicurezza (?) delle password

Messaggioda hashbang » ven mag 29, 2015 17:41

ZeroUno ha scritto:Come vi regolate voi?
Quando devo generare password uso questo script che ho creato appositamente:

Codice: Seleziona tutto

#!/bin/sh

# pwdgen - A simple password generator.
# Copyright (c) 2014, 2015, Luca De Pandis. All rights reserved.

# Redistribution and use of this script, with or without modification, is
# permitted provided that the following conditions are met:
#
# 1. Redistributions of this script must retain the above copyright
#    notice, this list of conditions and the following disclaimer.
#
# THIS SOFTWARE IS PROVIDED BY THE AUTHOR ''AS IS'' AND ANY EXPRESS OR IMPLIED
# WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
# MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO
# EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
# PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS;
# OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
# WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
# OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
# ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

export LC_ALL=POSIX

LENGTH="6"
KEYS="1"
PATTERN='a-zA-Z0-9'
CNT="1"

help() {
   printf  '%b\n' "Usage: pwdgen [-h] [-l length] [-k keys] [-s]\
           \n\nParameters:\n\t-h\t\tShow this help screen\
           \n\t-l length\tPassword length (default: 6, max: 50)\
           \n\t-k keys\t\tGenerate multiple passwords (default: 1, max: 10)\
           \n\t-s\t\tAdd non-alphanumeric characters"
}

die() {
   STRING="$1"
   RETVAL="$2"

   [ -z "$STRING" -o -z "$RETVAL" ] && return 255

   printf '%s\n' "$STRING" > /dev/stderr 2>&1
   exit "$RETVAL"
}

while getopts "dhl:k:s" args; do
   case $args in
      "l" )
         LENGTH="$OPTARG"

         # Set reasonable limits for length
         if [ "$LENGTH" -gt "50" ]; then
            die "pwdgen generates passwords with 50 or less characters" 2
         elif [ "$LENGTH" -lt "6" ]; then
            die "pwdgen generates passwords with at least 6 characters" 3
         fi
      ;;

      "k" )
         KEYS="$OPTARG"

         # Set reasonable limits for keys
         if [ "$KEYS" -gt "10" ]; then
            die "pwdgen can generate max 10 passwords" 4
         elif [ "$KEYS" -lt "2" ]; then
            die "Key value cannot be lower than 2" 5
         fi

         CNT="$((KEYS/2))"
      ;;

      "s" )
         PATTERN+='-_!@#$%^&*()_+{}|:<>?='
      ;;

      "h" )
         help
         exit 0
      ;;

      * )
         help
         exit 1
      ;;
   esac
done

shift $((OPTIND-1))

dd if=/dev/urandom of=/dev/stdout count="$CNT" status=none | tr -dc "$PATTERN" | fold -w "$LENGTH" | head -n "$KEYS"

printf '\n%s\n' "$KEYS password(s) generated"

exit 0


Per l'archiviazione uso un software che ho scritto io stesso in Ruby (l'ho chiamato rVault) e che salva il tutto in un file YAML cifrato in AES-256-CBC.

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio gen 08, 2004 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: Sicurezza (?) delle password

Messaggioda navajo » dom mag 31, 2015 11:06

io uso delle date modificae in stile "latino con estensioni per i vari servizi tipo:
"01Gennaius@67.fcb" per facebook ecc. ecc
vediamo se ci sono nei vocabolari..:)

Avatar utente
red
Linux 3.x
Linux 3.x
Messaggi: 792
Iscritto il: gio gen 20, 2005 0:00
Slackware: 13.0
Kernel: 2.6.33.4
Desktop: fluxbox
Località: Verona
Contatta:

Re: Sicurezza (?) delle password

Messaggioda red » dom giu 14, 2015 15:33

Io cambio sempre metodo, anche a seconda di quanta sicurezza voglio per quel sito o per quel servizio.
Di solito uso anche io tecniche già citate, o mi affido a tool per linux tipo mkpasswd.

Per essere sicuro però di poterle sempre recuperare tutte, ho creato un file di testo in cui sono elencate (ed ovviamente associate al relativo sito) e l'ho crittografato con GPG e una password molto complicata che ho imparato a memoria :). Ovviamente il file è anche in cloud per non rischiare di perderlo!

Se ne dimentico una, male che vada, devo solo aspettare di vedere quel file, però vi assicuro che a forza di dai sto iniziando a ricordare anche le più complesse ;).