Password: w£7fRd*T è meglio di "ciao"

PC che si scaldano, programmi che si rompono, trucchi che... ZOT!
User avatar
Beavis
Veteran
Veteran
Posts: 1361
Joined: Oct 2005

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Beavis » 07/06/2011 14:12

Ma anche nel caso sony che la tua password fosse "ciao" o "eijDR34è" cambiava poco tanto l'hanno sgamata e basta, anche se era criptata dipendeva dal loro livello di criptazione e non dalla password.

Salvare le password in un file criptato?
Ma diamine, fai come me, scrivile su un'agendina di carta e stai sicuro che nessun hacker riuscirà mai a entrare li dentro :asd:
Monologhista doc :teach:

User avatar
Mano[FA]
Moderator
Moderator
Posts: 2158
Joined: Oct 2004
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 07/06/2011 17:50

Ma anche nel caso sony che la tua password fosse "ciao" o "eijDR34è" cambiava poco tanto l'hanno sgamata e basta, anche se era criptata dipendeva dal loro livello di criptazione e non dalla password.
Nel caso Sony, come dicevo, poco cambia. Se un sito fa le cose per bene, invece, anche nel malaugurato caso di accesso non autorizzato l'intruso si trova solo password criptate. Ma se hai criptato 'ciao' possono scoprirlo, quindi dipende dal livello di criptazione E dalla password (vedi esempio di Snuffo a inizio post).
Salvare le password in un file criptato?
Ma diamine, fai come me, scrivile su un'agendina di carta e stai sicuro che nessun hacker riuscirà mai a entrare li dentro :asd:
anche questa e' una soluzione, ma io preferisco il file criptato.
- Lo posso copiare facilmente e non "dimenticarlo" a casa
- Se lo perdo (tipo perdo la chiavetta USB o mi rubano il PC) non e' un grande problema. Questo e' il vero rischio dell'agendina. Ci scrivi la password per la banca o l'account paypal? E se la perdi?
- Se un collega vuole farmi uno scherzo, fa piu' fatica a sbirciarmi il file che l'agendina.

User avatar
Beavis
Veteran
Veteran
Posts: 1361
Joined: Oct 2005

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Beavis » 07/06/2011 17:52

Ho guardato come funziona keypass ma mi lascia perplesso.
Se ti fregano quella password te le hanno fregate tutte, certo vorrebbe dire che hai un keylogger sul pc o qualcosa di simile ma è forse più probabile che qualcuno si metta usare la forza bruta contro le tue password.
C'è anche da dire però che se hai un keylogger ti fregano comunque tutte le passord che inserisci.

Si le tue osservazioni su file/agendina sono validi :D
Magari rpendo ad usarlo pure io.
Monologhista doc :teach:

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2447
Joined: Dec 2002
Location: Milano

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Lysor_o.O » 07/06/2011 23:31

Mano[FA] wrote:aspetta aspetta. Di cosa parliamo? Questo vale per craccare " password NTML - lo standard usato da Windows, ritenuto tra i più sicuri."
Sicuro un paio di palle. La stessa Microsoft dice
Implementers should be aware that NTLM does not support any recent cryptographic methods, such as AES or SHA-256. ... therefore, applications are generally advised not to use NTLM
Cazzarola, e io che mi sono fidato dell'articolo! Come non detto allora.
Mano[FA] wrote:Cerchero' la referenza, ma avevo letto che per cracare una password AES 128 bit, se tutti gli abitanti della terra avessero un PC moderno e tutti lo usassero per craccare la tua password e il sistema trovasse la password dopo solo meta' dei tentativi ci vorrebbero decine di anni. O comunque un tempo sproporzionato.
Sì, la cosa è confermata dalla Wikipedia:
If a device existed that could brute-force a 56-bit encryption key in one second, it would take that device 149.7 trillion years to brute force a 128-bit encryption key.
Se contiamo che dal Big Bang a oggi ne sono passati una quindicina, di miliardi di anni, vuol dire che ci vorrebbe 10.000 volte la vita dell'universo. E se non basta ci sono sempre le chiavi a 256 bit...
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
Shauron_o.O
Veteran
Veteran
Posts: 1703
Joined: Jan 2007
Location: Napoli
Contact:

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Shauron_o.O » 15/06/2011 12:12

A proposito di sicurezza informatica, qualche settimana fa è andato in onda un servizio sulla Iene che tratta dell'hacking delle reti Wi-Fi, vi consiglio di vederlo per proteggere la vostra linea:
http://www.video.mediaset.it/video/iene ... -wifi.html
Praticamente funziona così, esiste un'applicazione su Android Market che, in base al numero seriale del vostro router, trova la password pre-inserita in fabbrica. Per quanto ne so io l'applicazione funziona (e bene) con i modem Thomson in Austria e Alice, Fastweb in Italia (l'ho provato a Napoli e ha trovato quasi tutte le password corrette).
Il programma è stato ideato per testare la sicurezza della vostra linea wi-fi quindi ufficialmente non è illegale, se volete testarlo, uno dei migliori è Penetrate.
I malintenzionati usano questo programma per entrare nella vostra rete e una volta dentro utilizzare un altro software, WireShark (credo ce ne siano anche altri) che intercetta i dati che girano per la rete wi-fi, compresi username, password, i siti internet che visitate, le ricerche che effettuate...tutto.

Esiste ancora un altro programma capace di entrare nella vostra rete Wi-Fi anche se non si tratta di modem Thomson, Alice e Fastweb o se avete cambiato nome e password di fabbrica, questo programma funziona come un Brutalforce (prova tutte le combinazioni di password esistenti), si chiama AirCrack (nel caso in cui vorreste provare la sicurezza della vostra linea).

Come spiega l'esperto informatico intervistato da Le Iene, più la password è complessa e più tempo ci vuole per scovarla (possono servire anche mesi).
Il consiglio credo sia cambiare il nome della linea ai vostri router wi-fi ed impostare una password lunga e complessa da cambiare ogni mese...magari potete anche testare la sicurezza della vostra linea con i programmi che vi ho scritto sopra :macho:

Spero che questo reply vi sia utile, molti (soprattutto qui in Austria) non sanno nulla di tutto ciò e mi capita spesso di scroccare qualche linea wi-fi col mio cellulare quando sono in città :alchool:
Image

skazzo
Veteran
Veteran
Posts: 1243
Joined: Aug 2003
Location: Sestri Levante (GE)

Re: Password: w£7fRd*T è meglio di "ciao"

Post by skazzo » 15/06/2011 13:37

non scrivere ste cose che poi non riesco a scroccare il wifi col mio ipod quando sono in giro ...

User avatar
France
Veteran
Veteran
Posts: 2746
Joined: Jun 2003
Location: Zürich, CH

Re: Password: w£7fRd*T è meglio di "ciao"

Post by France » 15/06/2011 15:05

ho inventato una parola che non esiste in nessun dizionario arricchita di numeri e simboli. Insomma dovrei essere sicuro, con maiuscola.
Image

User avatar
Mano[FA]
Moderator
Moderator
Posts: 2158
Joined: Oct 2004
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 15/06/2011 15:15

Altri "hack" di rilievo. Questa volta un istituto bancario, Citibank. Con una debolezza davveo banale

http://www.dailymail.co.uk/news/article ... bsite.html

praticamente mettono il numero della carta nell'indirizzo, e cambiandolo accedi ad altre carte :smoker:

Se pensavate "Vabhe', Sony fa videogiochi, ma le aziende serie avranno sistemi impenetrabili", pensate ancora.
Il programma è stato ideato per testare la sicurezza della vostra linea wi-fi quindi ufficialmente non è illegale
Come dite sopra, puoi testare e craccare la tua rete o quella di chi ti da il consenso, ma quella degli altri e' illegale anche se possibile (come e' vietato entrare in casa altrui usando una chiave passpartout). Probabilmente, in Italia, e' anche vietato usare una connessione aperta, ma cambiargli la password del router...

ma poi come funziona? Devi entrare nelle impostazioni del router e gli leggi la password? O gli apri la connessione per il tempo necessario? O e' tutto in automatico?

Ovviamente lasciare la password di default e' una pessima idea. Non sono sicuro su quello che ho adesso, ma mi pare che abbia settato che nel mio router si puo' loggare come admin solo da connessioni con cavo...

skazzo
Veteran
Veteran
Posts: 1243
Joined: Aug 2003
Location: Sestri Levante (GE)

Re: Password: w£7fRd*T è meglio di "ciao"

Post by skazzo » 15/06/2011 19:05

funziona che hanno scoperto che la password per i router wifi fastweb e alice si ricava con un algoritmo del nome rete (SSID) e visto che il nome di rete è ovviamente visibile ...
invece aircrack va di attacco bruteforce ma a meno che uno non abbia messo 123456 o ciao ci vuole veramente una vita (a meno di non avere sempre router alice/fastweb e non aver cambiato la password, in quel caso ci sono un elenco di "dizionari" tra i quali cercare e i tempi di ricerca si abbassano in media a 24h)

chiaramente la mia conoscenza è frutto del mio lavoro di assistente alla sicurezza e tutte le prove effettuate sul campo erano per dimostrare ai padroni della rete in questione che io sono necessario ^^

User avatar
CuginoIt
Moderator
Moderator
Posts: 2177
Joined: Dec 2004
Blizzard BattleTag: CuginoIt#2830
Location: München (DE)

Re: Password: w£7fRd*T è meglio di "ciao"

Post by CuginoIt » 16/06/2011 00:03

La vera fregatura è che spesso nei router che Alice o Vodafone ti fornisce in comodato, non hai la possibilità di cambiare la password. Io la trovo una cosa oscena; da un lato è scomodissimo se arriva un amico a casa tua e devi andare a pescare il foglietto con la pass di 24 caratteri o non so quanti, dall'altro se sono costruite con un algoritmo noto sono pure password inutili...

User avatar
Mano[FA]
Moderator
Moderator
Posts: 2158
Joined: Oct 2004
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 28/06/2011 11:30

Ecco un articolo che spiega come funziona in maniera discorsiva e senza eccessivi tecnicismi la crittografia simmetrica e spiega perche' e percome password lunghe e complesse sono difficili da attaccare. Mette anche un po' di numeri e confronta un paio di programmi che comprimono e criptano, piu' o meno come aveva fatto Snuffo nel suo primo post.

L'articolo e' lunghino, ma se vi interessa, puo' essere un buon punto di partenza.

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: Sep 2005
Location: Turin

Re: Password: w£7fRd*T è meglio di "ciao"

Post by mirino » 14/07/2011 23:27

Oltre a tutte queste precauzioni ne suggerisco un'altra.

Bello Firefox. Ma voi sapete esattamente che cosa fanno ESATTAMENTE tutte quelle estensioni carine favolose? Comode, eh? Io, nel dubbio, mi tengo una bella installazione di Opera. Lo tengo "chiuso", senza mettergli plugin, estensioni, widget e quant'altro: quando devo accedere all'home banking utilizzo quello. Solo quello. Per tutto il resto c'è Firefox (o Chrome, o qualsiasi altra cosa).
Ovviamente, sempre per quanto riguarda la connessione all'home banking CONNESSIONE WIRELESS DISATTIVATA. Rigorosamente. Si va online con il cavetto ethernet.

Leggo anche che prima si parlava di router preconfigurati. Io ho un problema: il mio router (mio nel senso che non è in comodato, l'ho proprio acquistato) è del 2006. Vecchio. Supporta esclusivamente WPA e WEP. Nient'altro, e ho l'ultimo firmware disponibile. Avrebbe senso cambiare router per uno più recente, in modo che possa supportare protocolli più recenti e maggiormente sicuri?

User avatar
Mano[FA]
Moderator
Moderator
Posts: 2158
Joined: Oct 2004
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 15/07/2011 10:07

mirino wrote: Avrebbe senso cambiare router per uno più recente, in modo che possa supportare protocolli più recenti e maggiormente sicuri?
A quel che ne so io WPA e' ancora considerato ampiamente sicuro. Lascia stare WEP (comunque per entrare in una rete WEP ci vuole qualcuno di tecnico che ha tempo e voglia) ma WPA va benone. Non so neppure se essere d'accordo con te sul "cavetto ethernet". Secondo me se hai messo in sicurezza il router e' l'ultimo dei problemi. E se il router non e' in sicurezza, ti entrano e poi sniffano le comunicazioni che passano dalla tua porta ethernet.

Piu' d'accordo con la questione plugin e "browser dedicato". Usare Opera, che e' poco diffuso, mi sembra una buona idea. Non si sentono di exploit per Opera. Sono comunque dell'idea che queste sono finezze prossime alla paranoia. Le falle da sistemare sono ben altre: Sistemi operativi e browser non aggiornati, password "facili" e riutilizzate o elementi di social engineering (la moglie che sa le password, o salvate su un file excel che tengo sul PC del lavoro o su una pennina USB e cose del genere)

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: Sep 2005
Location: Turin

Re: Password: w£7fRd*T è meglio di "ciao"

Post by mirino » 15/07/2011 19:28

Mah, per quanto riguarda WPA avevo letto in giro che negli ultimi anni erano riusciti a craccarlo abbastanza rapidamente, e quindi si consigliava a medio-lungo termine di passare a WPA2. Ammetto comunque la mia ignoranza in merito all'argomento :roll:

Sono naturalmente d'accordo per quanto riguarda sistemi operativi e software non aggiornato

User avatar
Mano[FA]
Moderator
Moderator
Posts: 2158
Joined: Oct 2004
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 16/08/2011 13:01

analisy della sicurezza di WPA/WPA2. (in inglese)

Nell'articolo (lungo) non fanno differenza tra WPA e WPA2 e le conclusioni sono che e' estremamente sicuro e che anche una password di 8 caratteri (seguendo le solite precauzioni di mischiare i tipi di caratteri e non usare parole di vocabolario o derivate 733t) rendono un brute force attack poco sensato anche usando hardware di tutto rispetto tipo cloud computing.

Se qualcuno vuole accesso alla tua rete o al tuo PC, e' piu' facile che usi metodi alternativi

invece, NON usate WEP

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: Sep 2005
Location: Turin

Re: Password: w£7fRd*T è meglio di "ciao"

Post by mirino » 23/08/2011 18:52

Confermo, mi ero confuso tra WPA e WEP. WPA con una password adeguatamente complessa è ancora sicuro (almeno allo stato attuale delle cose, finché non scopriranno nuove debolezze).
Recentemente ho fatto una prova impostando WEP sul mio router, con una password abbastanza banale (che però ora non ricordo, era tre settimane fa circa).
Con il mio eeePC, che ha una "potenza di fuoco" davvero misera, sono riuscito ad auto-craccarmi e collegarmi alla mia rete in non più di 6-7 minuti. Sbalorditivo!
Tristemente, sbalorditivo.....

User avatar
Bubillus
o.O Styler
o.O Styler
Posts: 684
Joined: Aug 2011
Blizzard BattleTag: Bubillus#2227

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Bubillus » 12/04/2012 14:20

Mi sono letto tutto il topic su suggerimento di Mano ed è tutto estremamente interessante. Lavorando anche io nel campo mi sono scontrato più volte con i problemi di sicurezza delle password e delle applicazioni in generale. Negli ultimi anni c'è stato un aumento della sensibilità a riguardo della protezione dei dati ma, ancora oggi, per alcuni dei miei affezionati utenti di rete ricordare una password più lunga di 4 lettere sembra una impresa titanica e, ovviamente, il metodo più comodo per non dimenticarsela è appuntarla su un postit che va obbligatoriamente appiccicato al monitor. E bastasse questo, il collega della scrivania a fianco è immancabilmente il frate confessore di turno al quale confidare tutte le proprie password (rete, applicazioni, email) "perché non si sa mai".
Al di là della teoria, di WPA WPE 64bit algoritmi di crittazione ... mi scontro quotidianamente con questi problemi. La rete è protetta (o meglio, spero che lo sia almeno fino a prova contraria :asd: ) ma poi al suo interno vige l'anarchia. Una statistica di qualche tempo fa ha dimostrato che la maggior parte degli attacchi (furti di dati) proviene dall'interno e non da ipotetici hackeroni russi o cinesi.
Come evitare che un boss che guadagna 5000 euri al mese usi "abcd1234" come password per l'accesso al programma di contabilità? Devo togliergli la possibilità di modificare la password e assegnarne una generata apposta che abbia un livello di sicurezza più elevato? In ogni caso quella password dopo 10 minuti sarebbe già stata appuntata sulla sua agenda e comunicata alla segretaria.
Avvilente.

P.S. mi viene in mente ora che la mia banca ha recentemente attivato una nuova piattaforma di home banking. La mia vecchia password di accesso era composta da numeri e lettere, quella nuova è vincolata a una stringa di 6 numeri. Lo stesso per la password dispositiva: era composta da lettere maiuscole e minuscole e da numeri mentre ora è una stringa di 5 numeri. L'innovazione per quanto riguarda l'accesso è che c'è da inserire anche una data (gajardo) e che per il codice di 6 numeri non si può usare la tastiera ma c'è un tastierino da utilizzare con il mouse. Chissà perché per quello temono i keylogger ma per tutto il resto no. Mistero. Come interpretare tutto ciò?
"Secondo le leggi della fisica e dell'aerodinamica, la struttura alare del calabrone in relazione al suo peso non è adatta al volo. Ma lui non conosce queste leggi e vola"

User avatar
Bubillus
o.O Styler
o.O Styler
Posts: 684
Joined: Aug 2011
Blizzard BattleTag: Bubillus#2227

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Bubillus » 07/06/2012 16:13

A quanto pare l'italiano è una delle lingue più facili da "bucare" quando viene utilizzata per le password. In effetti la nostra è una lingua bella proprio perché è lineare e semplice, ma evidentemente poco adatta per certi utilizzi.
Image

P.S. Oppure siamo noi che abbiamo poca fantasia?
"Secondo le leggi della fisica e dell'aerodinamica, la struttura alare del calabrone in relazione al suo peso non è adatta al volo. Ma lui non conosce queste leggi e vola"

User avatar
Derek_o.O
o.O Styler
o.O Styler
Posts: 1103
Joined: Jul 2005
Blizzard BattleTag: Derek#2521

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Derek_o.O » 08/06/2012 09:37

Sarà più facile perché non abbiamo le lettere k,j,x,y,w
Di conseguenza il programma ci impiega di meno avendo meno combinazioni disponibili.

Resta il fatto che usare una parola come password non é la cosa più intelligente del mondo :asd:
Image

User avatar
Bubillus
o.O Styler
o.O Styler
Posts: 684
Joined: Aug 2011
Blizzard BattleTag: Bubillus#2227

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Bubillus » 08/06/2012 10:05

Derek_o.O wrote:Resta il fatto che usare una parola come password non é la cosa più intelligente del mondo :asd:
Vero, e magari allora la graduatoria potrebbe essere letta anche in questo modo: quanti utenti di lingua X usano come passwords parole di senso compiuto che si trovano nei rispettivi dizionari? I più sgamati (semplificando: quelli dotati di maggiore cultura e consapevolezza nell'uso degli strumenti informatici) sarebbero quindi gli anglosassoni, i tedeschi, i coreani ed i cinesi. Non farei fatica a crederci.
"Secondo le leggi della fisica e dell'aerodinamica, la struttura alare del calabrone in relazione al suo peso non è adatta al volo. Ma lui non conosce queste leggi e vola"

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest