Mamma mia ragazzi quante risposte O_o
Grandissimi!
Sono uscite delle considerazioni interessanti, sulle quali penso che ragionero' un po' prima di ri-modificare alcune password che ho scelto, che sono veramente troppo difficili da ricordare....
Vorrei fare una puntualizzazione: io non mi preoccupo solamente dei bruteforce.
Mi preoccupo anche che qualcuno, conoscendo qualche informazione su di me, riesca ad indovinare (col cervello, non coi calcoli) qualche mia password o peggio ancora la logica di costruzione delle password (se e' sempre uguale e troppo banale). O magari ne scopra una con tecniche tipo "man in the middle" e poi risalga alle altre...
Mi preoccupo anche che, sfruttando qualche bug software, un attaccante riesca ad entrare in un qualche mio sistema e crackare l'hash delle password dal relativo files, dopo esserselo scaricato...
Quindi, mi preoccupo sia di battere una macchina che di battere un umano...
la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.
Un metodo simile a questo lo usiamo dove lavoro!
E' sicuramente molto comodo ed abbastanza resistente ai brute-force, ma mi sembra poco resistente ad un umano: difatti, tra colleghi conosciamo tutti le password degli altri e per ognuno di noi e' molto facile indovinare le password dei vari sistemi, conoscendo la logica di fondo...
Certo che se la logica cambia sempre, tipo a volte e' "Mi piace una community come Slacky.eu, la trovo interessante" altre volte e' "questo sito si chiama slacky.eu e questa e' la sua password" (QsscseqelsP), gia' il gioco si complica...
la password "Mi piace una community come Slacky.eu, la trovo interessante" ha 61 caratteri e una base di almeno 42 (maiuscole e minuscole) + 2 (. e ,) caratteri secondo quello che dice boh la sua "difficoltà" è di 42^62 che è circa 10 elevato alla 100 !!! la password "Mp1ccS.e,lti" è lunga 12 e una base, diciamo, di 100 quindi "vale" 100^12 che vale 10 elevato alla 24. Pare che la password lunga ma facile da ricordare sia enormemente più sicura di quella corta e difficile da ricordare.
Ecco, il mio punto era proprio questo!
Continuo a complicarmi la vita con password piu' corte ma piu' ricche di maiuscole/simboli/numeri o mi invento 5 o 6 frasi mediamente lunghe da utilizzare sempre?
Forse la cosa migliore e' inventarmi 5 o 6 frasi e condirle di simboli e numeri
Tipo, per i forum: "mi_piacciono_i_forum_con*le*patate"
Faccio un esempio che è più chiaro:
_ scelgo una parola comune: settembre;
_ la scompongo e la mischio con caratteri alfanumerici e simboli: <<StTb7: (notare che sono già 8 caratteri di base);
_ aggiungo l'identificativo del sito al quale la password appartiene, ovvero: - per facebook: <<StTb7:fbk - per twitter: <<StTb7:twt e così via..
Questo e' un metodo che usa un mio amico!
Direi che e' ottimo contro i brute-force un po' meno contro gli umani. Pero' se la parola comune mischiata ed incasinata cambia abbastanza spesso (basta averne 4 o 5) gia' diventa un metodo ottimo in tutti i sensi...
In tutti i casi, pero', quando si lavora con combinazioni poco sensate contenenti numeri e simboli bisogna avere una buona memoria o poche variabili, altrimenti si fa presto a scordarsi qual'era l'esatto ordine, se c'era un asterisco piuttosto che un underscore ecc...
E' quel che sta succedendo a me con le mie nuove password
Non so se vado offtopic ma volevo provare keepass, qualcuno lo usa? Volevo qualcosa di multipiattaforma(Linux/Win/Android), sapete suggerirmi di meglio? Grazie.
Io lo uso da parecchio!
Cioe', uso KeepassX:
http://www.keepassx.org/
Ce l'ho sul computer come sul cellulare Android.
Ho i portachiavi (2 o 3 separati per ambiti di importanza, con master password diverse) su Dropbox, cosi' ho sempre un piano di emergenza se sono fuori casa e devo accedere alle mie cose.
Scarico (o apro) i portachiavi da Dropbox col client del cellulare e li apro con KeepassX, sempre sul cellulare.
Oppure posso utilizzare un qualsiasi pc, anche non mio...
A me questi portachiavi piacciono molto.
Uso delle master password veramente sicure, piu' di 15 caratteri con minuscole, maiuscole, simboli e numeri e comunque anche le altre password sono abbastanza complesse, seppur piu' facili da ricordare.
Con i portachiavi, inoltre, elimino il problema di ricordare quale delle mie varie password e' associata al tal sito/sistema/apparecchio in cui devo entrare...
Personalmente uso anche LastPass per Firefox:
https://lastpass.com/
Un'estensione per Firefox che e' una specie di KeepassX integrato nel browser, con master password da inserire per aprire il portafoglio (non ogni giorno, ogni tot...) ed autocompletamento dei login.
Le password sono salvate nella cloud ed accessibili dal loro sito, cosi' come sono sincronizzate fra tutti i miei browser. Inoltre la sicurezza e' garantita da un sistema che non usa solo una master password ma anche delle specie di chiavi crittografiche salvate in locale ed in remoto (non mi e' del tutto chiaro...)
I vantaggi sono chiari: i database/portafoglio sono criptati ed anche se rubati, con una buona master password, ci vogliono anni per decriptarli. Ho le mie password ovunque ed ho tutto il mio software sincronizzato
Ah, tra parentesi LastPass ha anche uno strumento interno che valuta la robustezza delle vostre password! Mi fido poco dei vari tool online che fanno lo stesso...non so mai se poi si tengono la mia password
