Follow

Uno schema molto chiaro proveniente da questo articolo johnopdenakker.com/every-day-s mostra il rapporto tra complessità di una password e tempo necessario ad un computer per calcolarla

@NicholasLaney Non saprei, ma quel che conta è innanzitutto la proporzionalità tra i dati: se una password di un certo tipo vien indicata come craccabile 'istantaneamente' mentre per una diversa ci vogliono 'mesi' la differenza qualitativa è evidente.

@NicholasLaney
La base matematica sottostante è che un attacco a forza bruta che testi tutte le combinazioni per trovare una password deve effettuare (# caratteri alfabeto)^(lunghezza password) tentativi. Supponendo di usare lettere maiuscole, minuscole e numeri per indovinare una pass di lunghezza 8 servono nel caso peggiore 60^8 tentativi, da cui l'esponenziale. Ma non bisogna farsi confortare, gli attacchi a dizionario violano password malscelte anche li lunghezza elevata
@Ca_Gi

@Ca_Gi
Ci vorrebbe anche uno schema con i minuti necessari per non riuscire più a ricordarsela.

@oloturia @Ca_Gi
Ah bé, oltre ad un certo livello di astrusità do per scontato che si usi un manager. Che ha i suoi difetti, specialmente se sincronizzi più dispositivi, inoltre se non li hai con te non puoi accedere da un dispositivo a caso. Ma l'ultima cosa in realtà è più un bene che un male.

@NicholasLaney @Ca_Gi

Io in realtà ho preso quest'abitudine. Non salvo mai le password, così abituo la mente a ricordarle.

Il problema si pone quando devi loggarti a servizi che si usano pochissimo, tipo Vivaticket. Non vado a teatro così spesso da ricordarmi la password per andare a teatro, è un dannato serpente che si morde la coda.

@NicholasLaney @oloturia Esatto: ad un certo punto un Password manager diventa necessario.

Tuttavia ci sono anche trucchi mnemonici per ricordare password complesse, ad esempio codificando filastrocche:

"Due coccodrilli e un orangotango fanno la nutella" diventa:

2Ccdrl1+1rngtng0=ntll

@Ca_Gi @NicholasLaney
Questa ve la devo raccontare, praticamente per un certo periodo della mia vita ho usato password con bestemmie e robe schifose come muco e merda per due motivi: una le ricordavo bene, due se qualcun me le avesse rubate, avrebbe pensato che io fossi un pericoloso svitato e quindi sarebbe stato meglio lasciarmi stare.

Tutto è andato bene fino a che una volta ho dovuto chiedere A MIA MADRE al telefono di loggarsi nella mia posta...

@oloturia 😂😂😂 una strategia tanto ben pianificata ma poi... @NicholasLaney

@Ca_Gi @oloturia
Sì, anch'io lo facevo, con frasi intere per allungare, es: 2Cazzopolliai4Laghi .
Ma dopo averne generate una ventina me le confondevo sempre, e alla lunga mi sono stufato di riprovare x volte. 😅
E in effetti i punti deboli erano proprio quelle che si usano poco.

@NicholasLaney @oloturia Eh, ognunx dovrebbe trovarsi un proprio metodo tarato sulle esigenze personali. Anche un sistema misto può andar bene (Password poco usate e poco importanti su password manager sincronizzabile ma quelle serie a mente o altrove).

Anche il libretto delle password tenuta al sicuro, tutto sommato, può andar bene in certi casi. Di certo è preferibile ad usare "ciao2020" come password ovunque.

@Ca_Gi
Io uso database Keepass su uno spazio ftp così da mantenerlo sincronizzato fra diversi dispositivi. Devo ricordare solo una manciata di password robuste e la maggior parte le faccio generare casualmente direttamente al software (https://it.m.wikipedia.org/wiki/KeePass_Password_Safe)
@NicholasLaney @oloturia

@Ca_Gi @NicholasLaney @oloturia io utilizzo la mnemotecnica. E ho password che sono papiri. La consiglio a tutti. Utile modo per avere ogni codice al sicuro nella propria testa, allena la mente ed è divertente.

@Ca_Gi @NicholasLaney @oloturia il problema è che NON CONOSCI tante filastrocche per averne una diversa per ogni sito.
e anche se trovi un modo per "personalizzare" la filastrocca "macchiandola" con una parola che corrisponde al sito, finisci con l'avere password tutte simili.
e se un paio di queste pwd vengono "craccate" in qualche modo (es.: perché una viene dal DB di Rousseau e l'altra da qualche altro sito fatto a cazzo...), allora tutte le altre pwd sono a rischio.

come suggeriva Santo @loweel una volta, una misura di sicurezza minima ma molto efficace è hashare le pwd.
ad esempio: puoi fare un bel

> echo quanto è bella la cappella se ci metti la Nutella | md5sum

(perché "echo" e "md5sum" si trovano su tutti i sistemi ormai)

e se vai sul sito del mulino bianco puoi personalizzare la stessa filastrocca senza problemi:

> echo quanto è bella cappella se ci metti la CremaDiPanDiStella | md5sum

e così via.
poi, per quanto riguarda maiuscole e minuscole e simboli, basta cambiare UN carattere dell'hash restituito, per farla breve.

se md5 è troppo demodé, si può usare sha512sum, anche quello sta ovunque ormai.

in questo modo hai un algoritmo facile da ricordare, che sta solo nella tua testa, è facilmente personalizzabile sito per sito, ed è riproducibile ovunque.

@chainofflowers Di certo il metodo delle filastrocche non può essere l'unico usato per l'impossibilità di memorizzarle, ma di certo aiuta ad evitare il 'tic' di usare password semplici per gli accessi più utilizzati.

Detto questo poi è anche questione di fantasia ed abitudine (presente la favola della Volpe e la ricetta della birra rubata al computer di Wargames?)

@loweel @NicholasLaney @oloturia

@Ca_Gi @loweel @NicholasLaney @oloturia no, conosco la volpe e l'uva e wargames a memoria ma la birra rubata mi manca...
racconta racconta! 😃

@chainofflowers @Ca_Gi @NicholasLaney @oloturia

@chainofflowers @Ca_Gi @NicholasLaney @oloturia

uhm. io suggerivo una cosa piu’ semplice:

echo “Chi puote puote e chi non puote se lo scuote sitoA.com” | md5sum

e poi su sitoB fai

echo “Chi puote puote e chi non puote se lo scuote sitoB.com” | md5sum

anche se la maggior parte dell’input e’ uguale, otterrai due hash completamente diversi, con uno mnemonico molto semplice.

Poi vabe’ , oggi sono arrivati i password manager tipo KeepAssXC, quindi puoi tranquillamente fartele generare al momento e salvarle.

@loweel
Io invece uso `openssl rand 16 -base64` per ogni nuova, casuale password. le password vanno in un file che cripto con gpg.

@Ca_Gi @NicholasLaney @oloturia @chainofflowers

@la_r_go Ah sì, il diceware va molto bene perché le parole sono veramente casuali. Ma direi che una password fatta con diceware dovrebbe essere la primaria; la usa per KeepPassX, LUKS, la passphrase per GnuPG, ecc. Ci vuole qualche momento a fare una password via `openssl rand` o `echo blahblah | md5sum` invece di ~10 minuti con diceware.

@loweel @Ca_Gi @NicholasLaney @oloturia @chainofflowers

@desantis hai perfettamente ragone, infatti e' per passphrase, loro usano kpx e sanno cos'e' una gpg, leggevo anche che se le inventi tu alla fine sei prevedibile :P
nella cassettina degli attrezzi ho messo altri modi per la pass per l'email ma non questo. Stavo giusto mandando una email in ML sul pw day cosi' lo aggiugo. Ottimo tempismo.

Ti ringrazio ;))

@loweel @Ca_Gi @NicholasLaney @oloturia @chainofflowers

@Ca_Gi Quando vedo tabelle del genere mi viene inevitabilmente in mente questa "vignetta"
xkcd.com/936/

@Ca_Gi infatti uso password 20 caratteri della 4 categoria memorizzati in keepass.

@Ca_Gi
questo vuol dire la maggior parte degli smartphone sono craccabili tra l'istantaneamente e i 4 giorni 🤔

@Ca_Gi
- tu 928 anni fa hai mandato una mail dove parlavi male di me!

Sign in to participate in the conversation
Mastodon Bida.im

Un'istanza mastodon antifascista prevalentemente italofona con base a Bologna - Manifesto - Cosa non si può fare qui

An antifa mostly-italian speaking mastodon istance based in Bologna - About us - What you can't do here

Tech stuff provided by Collettivo Bida