Sicurezza password alle nostre caselle di posta

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
bonaparten
Linux 0.x
Linux 0.x
Messaggi: 42
Iscritto il: gio 15 mag 2008, 18:05

Sicurezza password alle nostre caselle di posta

Messaggio da bonaparten »

Salve avrei una domanda sulla sicurezza forse un pò banale. Da un punto di vista teorico è sensato scrivere tutte le password che si utilizzano sul web in una bozza email della propria casella di posta? ovviamente utilizzando password ASCII a 63 caratteri :D, ricordando quindi solo quella della casella email. Perchè comunque sia tutte le registrazioni, i nickname e le password passano comunque dall'email..programmi come keepass ad esempio in linea di principio non sono tanto piu sicuri di questo sistema..Certo regalare le mie password a google o a messenger ecc non è una bella cosa, ma questi avendo accesso comunque alle caselle di posta riuscirebbe ugualmente ad avere accesso a tutti quei siti in cui siamo registrati! Aspetto risposta

Rosario

Avatar utente
twister
Staff
Staff
Messaggi: 1599
Iscritto il: mar 11 nov 2003, 0:00
Slackware: current
Località: Roma
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da twister »

Il miglior modo è semplicemente uno
La memoria!
Nessuna password scritta da nessuna parte, neanche salvata nel completamento di firefox

Avatar utente
raffaele181188
Packager
Packager
Messaggi: 789
Iscritto il: ven 7 set 2007, 21:40
Nome Cognome: Raffaele
Slackware: current
Kernel: 2.6.29.6
Desktop: KDE 4.3
Distribuzione: Ubuntu
Località: DearSkin (FG)

Re: Sicurezza password alle nostre caselle di posta

Messaggio da raffaele181188 »

L'altra soluzione possibile sarebbe comprarti un novo computer e farne un server di posta... :D :D

Sicuramente Gmail non si azzarda a memorizzare (a leggere non lo so) user e pwd dell'account PayPal... Il punto è che fino a quando il server di posta non è il TUO computer, chiunque abbia accesso (anche fisico) alla macchina può leggere tutto quello che ti arriva

Di solito, comunque, nei siti più seri ti viene impostata una password iniziale che ti viene inviata per posta. Poi tu accedi e la modifichi sul LORO server, così sul server della tua posta non ne resta traccia. Conservare tutte le password sul computer di un altro (pure di un servizio affidabile) non mi sembra il massimo non tanto della sicurezza, quanto piuttosto della praticità... Ci sono tanti programmi per gestire queste cose, e salvano le cose sul TUO hard disk... KWallet mi sembra già uno buono

edit: after twister... Sono d'accordo... Però se si vogliono usare password particolari (alfanumeriche + simboli) la memoria può fare cilecca per servizi usati poco spesso.. meglio non rischiare

Avatar utente
twister
Staff
Staff
Messaggi: 1599
Iscritto il: mar 11 nov 2003, 0:00
Slackware: current
Località: Roma
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da twister »

Io uso alfanumeriche+simboli :D
Come mi sono imparato a memoria alle elementari il 5 Maggio penso mi posso imparare le password

Avatar utente
raffaele181188
Packager
Packager
Messaggi: 789
Iscritto il: ven 7 set 2007, 21:40
Nome Cognome: Raffaele
Slackware: current
Kernel: 2.6.29.6
Desktop: KDE 4.3
Distribuzione: Ubuntu
Località: DearSkin (FG)

Re: Sicurezza password alle nostre caselle di posta

Messaggio da raffaele181188 »

:D :D :D Anch'io ho imparato il 5 maggio a memoria... Ma dopo "come sul capo al naufrago..." ho un vuoto :oops:

Avatar utente
twister
Staff
Staff
Messaggi: 1599
Iscritto il: mar 11 nov 2003, 0:00
Slackware: current
Località: Roma
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da twister »

Dai ti aiuto, l'onda si avvolve e pesa... :D
A parte gli scherzi, se mi devo iscrivere a cose inutili ho 3 password ricorrenti molto mnemoniche che uso a giro, iscrivendomi sempre con una webmail "secchio".
Quindi alla fin fine le password importanti da ricordare non sono moltissime, anche perchè magari se prendi la stessa base e poi inverti e modifichi un po di fattori riesci ad avere una buona varietà

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da masalapianta »

bonaparten ha scritto:Salve avrei una domanda sulla sicurezza forse un pò banale. Da un punto di vista teorico è sensato scrivere tutte le password che si utilizzano sul web in una bozza email della propria casella di posta? ovviamente utilizzando password ASCII a 63 caratteri :D, ricordando quindi solo quella della casella email. Perchè comunque sia tutte le registrazioni, i nickname e le password passano comunque dall'email..programmi come keepass ad esempio in linea di principio non sono tanto piu sicuri di questo sistema..Certo regalare le mie password a google o a messenger ecc non è una bella cosa, ma questi avendo accesso comunque alle caselle di posta riuscirebbe ugualmente ad avere accesso a tutti quei siti in cui siamo registrati! Aspetto risposta

Rosario
scherzi? un servizio che non sia una fetecchia non ti invia le credenziali di accesso via mail, sei tu stesso a impostarle, in una pagina web sotto ssl, al momento della registrazione (al limite via mail ti viene inviato un link per la conferma, ma non la password)

bonaparten
Linux 0.x
Linux 0.x
Messaggi: 42
Iscritto il: gio 15 mag 2008, 18:05

Re: Sicurezza password alle nostre caselle di posta

Messaggio da bonaparten »

Certo, ovvio che non me li manda. Però ipotizziamo di essere inscritto a facebook e non ricordo la password..facebook manda un'email al mio indirizzo email chiedendomi di cliccare il link e impostare la nuova password, con questo metodo comunque gmail ha il completo accesso a praticamente tutte le registrazioni. Io ammetto di essere un po pazzo e quindi sto praticamente cambiando tutte le password con password ascii a 63 caratteri generati a random dai siti generator password. Inoltre sto modificando tutte le risposte alle domande, vedi paypal, msn, ecc.. che di solito vengono chieste quando si dimentica una password sempre con password ascii a 63 caratteri..per esempio ebay mi chiede: "che lavoro faceva tuo nonno?" e la risposta è qualcosa tipofw=ej£r9"58e0rtu94èe50tv££78èaosdmcQaskd+PQELf,+rwjugv9es;;:L... questa cosa è una figata mostruosa :D :D pero il problema che non potendo ricordare tutto questo codice per ogni servizio al quale sono scritto mi serve qualcosa che me le faccia ricordare.. Sicuramente metodi come kwallet o keepass sono molto comodi da usare..ma il problema è: e se voglio accedere da un altro computer non mio dove magari non c'è linux e purtroppo ho scordato la pendrive con dentro il file di keepass..come faccio??Ecco perchè pensavo di imparare una sola volta una password complicata, quella della mia email, dove saranno presenti tutte le altre email..è sicuramente poco pratico ma mi collego a qualsiasi servizio da dove mi pare, senza floppy, penne e cose del genere..la sicurezza cosi non sembra essere minore se si considera che google puo comunque avere accesso ai miei dati paypal, msn, ecc dato che tutti questi servizi hanno bisogno di una casella di posta..E' cosi tanto sbagliata questa cosa? :D :Dcerto se per caso dimentico la password di gmail perdo tutto, forse questo è il punto debole :D :D :D

Avatar utente
raffaele181188
Packager
Packager
Messaggi: 789
Iscritto il: ven 7 set 2007, 21:40
Nome Cognome: Raffaele
Slackware: current
Kernel: 2.6.29.6
Desktop: KDE 4.3
Distribuzione: Ubuntu
Località: DearSkin (FG)

Re: Sicurezza password alle nostre caselle di posta

Messaggio da raffaele181188 »

Il punto debole??? :D :D :D
Quindi vorresti farti per la tua Gmail una password di 64 caratteri ascii e memorizzarla? :D

E' sempre bene tenere d'occhio la sicurezza, ma secondo me stai esagerando un po'... Scegli password complicate giusto per quei pochi servizi dove rischi di perderci qualcosa (di patrimoniale, intendo) da non più di otto caratteri che sono più che sufficienti... Per facebook puoi pure mettere il tuo nome al contrario!!! Male che vada qualcun altro accede al tuo profilo.. Non vedo chi e per fare cosa, certo i furti di identità ci sono però ;) non esageriamo.. E poi salvare tutto in una casella di posta... Visto che ci stiamo facendo paranoie megagalattiche non mi sembra il caso!!!

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: Sicurezza password alle nostre caselle di posta

Messaggio da navajo »

io utilizzo un sistema semplice.
uso un insieme di caratteri speciali per la spaziatura e le preposizioni, misti a frasi "latinizzate"
per esempio, dovendo usare come password una data di nascita, facile da ricordare, faccio cosi: sono nato il 1 luglio 1967. diventa cosi:
s#n#il#01#Julius@1967. Certo non è magari equivalente a quelle descritte sopra, ma credo che sia abbastanza robusta e facile da ricordare.

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da masalapianta »

bonaparten ha scritto:Certo, ovvio che non me li manda. Però ipotizziamo di essere inscritto a facebook e non ricordo la password..
quindi ti preoccupi per la sicurezza e poi ti scordi le password?
Io ammetto di essere un po pazzo e quindi sto praticamente cambiando tutte le password con password ascii a 63 caratteri generati a random dai siti generator password.
quindi ti preoccupi per la sicurezza e le tue password le fai generare a terzi in rete (magari senza magari neanche ssl, esponendoti cosi' a quarti, quinti, ecc...); viste le premesse che senso ha utilizzare password di 63 caratteri?
pero il problema che non potendo ricordare tutto questo codice per ogni servizio al quale sono scritto mi serve qualcosa che me le faccia ricordare.. Sicuramente metodi come kwallet o keepass sono molto comodi da usare..ma il problema è: e se voglio accedere da un altro computer non mio dove magari non c'è linux e purtroppo ho scordato la pendrive con dentro il file di keepass..come faccio??
un file di testo crittato con gpg (algoritmo simmetrico) che puoi portarti dietro su una pendrive o tenerlo online su uno spazio web o come allegato di una mail (se non vuoi portarti dietro la pendrive); in questo modo ti basta ricordarti solo la passphrase utilizzata per crittare il file.
In ogni caso non e' una buona idea accedere a servizi delicati (paypal, servizi bancari online, ecc..) da computer non tuoi.
Ecco perchè pensavo di imparare una sola volta una password complicata, quella della mia email, dove saranno presenti tutte le altre email..è sicuramente poco pratico ma mi collego a qualsiasi servizio da dove mi pare, senza floppy, penne e cose del genere..la sicurezza cosi non sembra essere minore se si considera che google puo comunque avere accesso ai miei dati paypal, msn, ecc dato che tutti questi servizi hanno bisogno di una casella di posta..E' cosi tanto sbagliata questa cosa?
dal punto di vista della sicurezza e' una follia e comunque google non ha alcun accesso a paypal, visto che la password non ti viene inviata via mail

P.S. password di 8 caratteri, se ben scelte, vanno piu' che bene per servizi ove il bruteforcing e' lento (autenticazione su un form http ad esempio); per la generazione affidati a tool come apg

Avatar utente
Blizzard
Master
Master
Messaggi: 1509
Iscritto il: mar 2 gen 2007, 22:53
Nome Cognome: Giovanni Santostefano
Slackware: 12.2
Kernel: 2.6.27.7-smp
Desktop: Fluxbox
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da Blizzard »

Le mie password solitamente sono solo nel mio cervello.
Quando devo cambiarla ne creo una.
Se la creo random di una lunghezza che mi piace (di solito non affido ad un pc questa operazione) la scrivo su un foglio e la memorizzo. Poi brucio il foglio. Nei giorni successivi effettuo spesso dei login.

Per quanto riguarda libero, lo scorso cambio di password mi ha deluso tantissimo. Anzichè incitare la sicurezza ha delle limitazioni.

Per quanto riguarda windows lo evito. Se non posso (internet point) porto con me un software che ho fatto per tenermi un portachiavi criptato che comunque non uso più perchè odio l'idea che una mia password sia presente in una certa forma su un supporto, anche se criptata.
Altro metodo è portare in giro un bigfile di caratteri. Li copio ed incollo uno ad uno o in sequenze per formare la password. Lo uso solo se sono nascosto altrimenti devo ricorrere al programmino sopracitato che mi consente il copia incolla senza mai mostrare una forma comprensibile della password.

Sotto linux sono tranquillo e non ho ancora visto un internet point altrimenti provvederei ad una versione simile java.

La mia è divenuta non una fissazione ma una forma-mentis. Anche se nessuno è interessato ai miei dati o password mi tengo legato a questo modus operandi in modo che nel momento in cui avrò bisogno di sicurezza il tutto verrà spontaneo.

ciao
Gio

P.S.
sono un puntino della rete eppure un c*****e mi rubò la password dell'email (internet point) e andò a scrivere idiozzie su gazzetta dei maghi e delle streghe.it :doubt:
Se devono far danno non lo fanno solo a bill.gates@microsoft.com

Offtopic: Che poi
Windows Vista ~10 GB --> Microsoft??? :-k
Vedete che è sbagliato di principio

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun 27 giu 2005, 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da Luci0 »

Certo che se qualcuno può accedere all' hash della password la può craccare con semplici tecniche di Rainbow crack http://en.wikipedia.org/wiki/RainbowCrack quindi man mano che la potenza elaborativa dei processori e dei database aumenta più sarà facile "indovinare" la password...

Avatar utente
Blizzard
Master
Master
Messaggi: 1509
Iscritto il: mar 2 gen 2007, 22:53
Nome Cognome: Giovanni Santostefano
Slackware: 12.2
Kernel: 2.6.27.7-smp
Desktop: Fluxbox
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da Blizzard »

Sinceramente il brute force non è la mia prima preoccupazione.
Penso che per essere esposti ad un bf, il pirata deve avercela con te. Altrimenti anche se dovesse metterci 5 minuti a craccare la tua password questa cosa non è applicabile massivamente.
Quello che mi impensierisce è, invece, il keylogging. Semplice ed efficace e se fatto via hardware ai voglia a metter su os sicuri!

IMHO almeno...

ciao
Gio

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: Sicurezza password alle nostre caselle di posta

Messaggio da masalapianta »

Luci0 ha scritto:Certo che se qualcuno può accedere all' hash della password la può craccare con semplici tecniche di Rainbow crack http://en.wikipedia.org/wiki/RainbowCrack quindi man mano che la potenza elaborativa dei processori e dei database aumenta più sarà facile "indovinare" la password...
se qualcuno puo' accedere ai server dei servizi in questione (per poter leggere gli hash delle password), puo' benissimo vedere la password in chiaro mentre la inserisci (mettendo sotto ptrace() l'applicativo che la legge o in mille altri modi); ovviamente tutto il discorso fatto fino ad ora si regge sul fatto che ti fidi di chi gestisce il servizio, altrimenti non ha proprio senso parlare di sicurezza in quest'ambito (quello in cui un servizio, o una parte di esso, e' gestito da terzi e non da te)

Rispondi