Password: w£7fRd*T è meglio di "ciao"

PC che si scaldano, programmi che si rompono, trucchi che... ZOT!
User avatar
snuffz
Veteran
Veteran
Posts: 4380
Joined: 07/01/2003 14:09
Location: Torino
Contact:

Password: w£7fRd*T è meglio di "ciao"

Post by snuffz » 28/03/2006 15:09

Spesso mi dicono che sono fissato. Per le password. Che le faccio troppo complesse, difficili da ricordare, e poi "che diavolo avrò mai da proteggere"? Dall'altra parte spesso mi ritrovo persone che si chiamano Mario Rossi, e che utilizzano come password "mario" oppure "rossi". :bzzt:
Non so se si tratti di paranoia la mia, ma l'idea che qualcuno possa entrare nella mia posta o leggere i miei dati o dare un'occhiata alle mie foto, non mi piace per niente.
Per questo proteggo i miei dati, e ricorro a password complesse e alla crittografia.

Visto che spesso viene sottovalutata l'importanza di una password (e ne viene sopravvalutata l'efficacia), ho pensato di mostrarvi le differenze fra una password semplice ed una complessa.
Per l'esperimento, la forzatura di una password, non mi avvarrò di alcuno strumento illegale, ma di un semplice programma di recovery password per zip.
Scopo dell'esperimento è mostrare la differenza di affidabilità fra password semplici (tipo "ciao") e password complesse (tipo "C*a0") :D
Come molti di voi sapranno, è possibile proteggere i propri file zippati con una password. Ecco. Esistono dei software assolutamente legali, che permettono, in caso di smarrimento, di recuperare la password ed aprire quindi gli zip.
Questi software "attaccano" lo zip, provando tutte le combinazioni possibili.
Ad esempio comincerà con: a, b, c, d, .... fino a "z", e poi proseguirà tentando password di due lettere: aa, ab, ac, ..... e via di questo passo.
Fra le opzioni del software, potrò andare a configurare di attaccare lo zip provando lettere, numeri, caratteri speciali e lettere maiuscole. Naturalmente più variabili metterò più sarà lungo l'attacco.
:laugh:

Prendiamo quindi un file zip protetto e vediamo la differenza fra le diverse password. Per semplificare le cose scegliamo una password di soli 6 caratteri.

Postulato numero uno: la maggior parte delle persone utilizza password letterali. Il nome del cane, della figlia, del fidanzato, di un cantante famoso.
Quindi nel mio primo attacco, setterò il software in modo che cerchi provando solo le lettere.

Un esempio di password di sei lettere può essere: andrea, catena, papero, flauto. Io ho scelto di proteggere lo zip con una password di sei lettere senza senso compiuto: dokqbu
Che ne dite? Una bella password, vero? Non è una parola di senso compiuto, non ha a che vedere con nome e cognome, insomma: non è possibile tirare a indovinare e azzeccarla. Ma vediamo quanto ci mette un programma a forzarla.

Image
48 secondi. Il software ci ha impiegato 48 secondi.
Naturalmente io ho cercato partendo dal postulato numero uno, ossia ho detto al programmino di cercare utilizzando solo le lettere.

Beh, quarantotto secondi sono davvero pochini.
Okay, passiamo al secondo attacco.

Postulato numero due: dopo le password "solo lettere", le persone sono solite usare password con lettere+numeri.
esempi di password lettere e numeri: gemelli78, fede74, luca123

Utilizziamo la password di prima (in modo da rimanere sempre sui 6 caratteri) e sostituiamo una lettera con un numero: dokqb3
Applichiamo il postulato numero due e attacchiamo lo zip :diablo:
Image
Questa volta ci ha messo 6 minuti (circa). E' sempre una tempo molto basso, ma il rapporto fra una password solo lettere e una lettere+numeri fa riflettere.

Okay, adesso prendiamo la stessa password e mettiamoci lettere+numeri+simboli+maiuscolo: quindi la password sarà: Dokq5*
Ripeto: la password è SEMPRE di 6 caratteri.
Attacchiamo :diablo:

Image
Come da figura, dopo ben 4 ore e 26 minuti, la password non è ancora stata trovata (e dallo scorrere del Count posso stimare che girerà ancora per parecchie ore :nod: )


Note e conclusioni
Abbiamo lavorato sempre su una password di sei caratteri. Ottenendo 3 risultati diversi (48 secondi, 6 minuti, ??? ore...). Naturalmente per una password di sette caratteri, i tempi si allungheranno esponenzialmente (pensate a tutte le combinazioni possibili), e via via con otto, nove, dieci caratteri, fino a rendere il recupero così lungo da essere impossibile (settimane, mesi, anni).

Senza necessariamente stare quindi a impazzire con programmi di crittografia (come fa il sottoscritto :xmas: ), il mio consiglio è quindi di scegliere sempre password di ALMENO otto caratteri, e mescolare lettere, numeri, simboli e maiuscolo.

pot
FoOrum PRO
FoOrum PRO
Posts: 849
Joined: 25/04/2003 05:09

Post by pot » 28/03/2006 17:01

Impressionante, non pensavo che il divario fosse così ampio.

Il controsenso più fondamentale è però il server che non ti permette di utilizzare determinati caratteri o più di X caratteri per la pass...

Pensando alle password trovate a caso, mi vengono alla mente due esempi, uno stupido tratto dal film Hackers, e l'altro da fatti di cronaca di vent'anni fa.
Nel lungometraggio, questi ragazzi smanettoni, accedono al server di una banca provando le tre password più comuni: "I", "sex" o "computer". E ovviamente...
Nella realtà degli anni '80 invece, quando la Germania stava lavorando su una rete detta BTX (Bildschirmtext, testo su schermo) per avere un sistema di pagamento e trasferimento dati centralizzato, come è oggi la parte finanziaria di internet, un ometto, tale Wau Holland, a un convegno di sicurezza nazionale ha esposto alcuni problemi di sicurezza relativi al sistema. Venne preso a pesci in faccia. Screditava quest'orgogliosa creazione tutta tedesca! Non credono alle parole? Dimostriamo coi fatti. Wau e un suo amico hanno fatto visita al centro di sicurezza del BTX, hanno trovato il numero da comporre per collegarsi e si son trovati di fronte alla fatidica richiesta: PASSWORD. Mh... Proviamo il numero di telefono del centro...


...funziona...

Riuscendo a entrare, sfruttando quei DUE KILOBYTE (!!) a disposizione, i due hanno fatto sì che a ogni collegamento venissero versati circa 5 marchi su un loro conto fasullo. Il mattino dopo avevano circa 200'000 marchi... Senza rubare, hanno annunciato con che semplicità hanno truffato, con tanto di registrazione televisiva. La Deutsche Post (detentrice del BTX): "sapevamo già di questi bug"... E i due sono stati messi sotto processo, nonostante avessero fatto una scottante dimostrazione solo per favorire il miglioramento del sistema.

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Post by Lysor_o.O » 28/03/2006 17:59

'Azzarola, anche io non pensavo che la differenza fosse così tanta, e soprattutto che una password di sole lettere saltasse così in fretta!
Però vorrei dire che il caso dello zip è particolare, perché permette di fare tentativi alla massima velocità consentita dal processore. Le password che ho io non sono sul singolo file, ma per loggarmi a qualche cosa su Internet (come questo forum). Lì, di solito il server rifiuta richieste troppo frequenti. Che so, dopo 5 tentativi si blocca per un minuto. E se le cose stanno così, hai voglia a beccare una password di 6 lettere.

Con questo... La tua dimostrazione mi ha comunque convinto. D'ora in poi vedrò di allungare e di mettere almeno dei numeri. Per ora la password più sicura che ho sono 10 caratteri lettere/numeri...
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2162
Joined: 24/10/2004 15:47
Location: UK

Post by Mano[FA] » 29/03/2006 10:18

Lysor_o.O wrote:'... per loggarmi a qualche cosa su Internet (come questo forum). Lì, di solito il server rifiuta richieste troppo frequenti. Che so, dopo 5 tentativi si blocca per un minuto. E se le cose stanno così, hai voglia a beccare una password di 6 lettere.
questa è una cosa che mi sono chiesto anch'io: sembrerebbe logica per bloccare i tentativi a forza bruta, ma avrebbero alcuni inconvenienti tipo che io potrei utilizzare questo approcio per bloccare un sito. Un sistema di accesso a login (un sito o un collegamento ssh hanno effettivamente dei sistemi "temporizzati"?

Comunque mi hai convinto a cambiare alcune mie password un po' più importatanti inserendo numeri e simboli.

il bepi
Veteran
Veteran
Posts: 1427
Joined: 27/03/2003 10:25

Post by il bepi » 29/03/2006 10:35

Beh, io ho 2 tipi di concezione di password: quelle idiote per cose futili e quelle serie. Nel primo caso mi limito al numero elevato di lettere che porterebbe ad almeno alcuni giorni di ricerca prima di trovarla (per poi trovare magari una mail dell'oroscopo :gnegne: ). Nel secondo caso ho numeri, lettere (maiuscole e minuscole) e simboli speciali, ma in genere le utilizzo per banche o cose del genere :king:
In effetti è notevole la differenza tra cercare una password localmente e trovarla via web. Nel primo caso la potenza del processore permette in pochissimo tempo di trovarla senza problemi, nel secondo caso ci sono diverse variabili: connessione, blocco da parte del sistema dopo un tot di tentativi, etc. Io consiglio sempre solo una cosa: per le cose serie utilizzate sempre e solo vostri pc ben controllati e protetti. Purtroppo negli altri (internet point, lavoro, aeroporti, etc.) sniffer o keylogger possono inificiare qualsiasi tipo di sicurezza sulle password.

Bepi :bepi: & Banana :banana:

User avatar
Nyarlath
FoOrum PRO
FoOrum PRO
Posts: 589
Joined: 08/03/2004 13:11

Post by Nyarlath » 29/03/2006 10:57

Io di solito una virgola ce la metto dentro alle password, anche se altre voltre mi capita di usarne di 4 lettere di sole minuscole... :coltello:
(ma non ditelo in giro se no mi vengono subito a fottere l'account bnet e hattrick!)
Image
- Due lettere ripetute due volte @ Horror Gaming!

User avatar
mirino
Veteran
Veteran
Posts: 1314
Joined: 07/09/2005 09:50
Location: Turin

Post by mirino » 29/03/2006 11:21

Un'altra cosa da fare sarebbe quella di cambiarla periodicamente, ma a questo punto subentra il problema (per me grave :coltello:) di ricordare queste password.
Che fare? Appuntarsele da qualche parte no, metterle sul PC ? No, sono a rischio lo stesso, memorizzarsele in forma criptata con qualche programmino e proteggerle a loro volta con una password? Per carità, se poi qualcuno la scopre sono cavoli acidi......se poi la dimentico IO sono spacciato. Datemi una dritta ! Come fate a tenere traccia delle vostre password? Non ditemi che siete in grado di ricordare !rt$48zDD3£ a memoria :no:

L'argomento crittografia mi ha sempre incuriosito, e mi piacerebbe saperne di più. Visto che però non ho voglia di leggere a video, forse in futuro mi comprerò un libro.....spero di venirne a capo senza essere un mostro in matematica.
E' qua che dovrei scrivere qualcosa di furbo... ?

User avatar
Maloghigno
Administrator
Administrator
Posts: 4576
Joined: 06/12/2002 19:23
Blizzard BattleTag: Maloghigno#2220
Contact:

Post by Maloghigno » 29/03/2006 11:41

Cerco di rispondere brevemente al problema sollevato da Davide, quello di ricordarsi la password...
Un metodo potrebbe essere quello di riscrivere, usando dei simboli, una parola "normale" o la propria password abituale:

mario :arrow: m4r|0

Ricordarla così dovrebbe risultare più facile :smoker: ...

User avatar
snuffz
Veteran
Veteran
Posts: 4380
Joined: 07/01/2003 14:09
Location: Torino
Contact:

Post by snuffz » 29/03/2006 13:29

Concordo con quanto già detto.

Ho usato l'attacco verso lo zip solo per spiegare un paio di cose.
Anzitutto per evidenziare la differenza abissale fra le diverse password (secondi nel primo caso, minuti nel secondo, ore nel terzo).
E poi il tipo di attacco: i postulati nell'esperimento non sono scritti a caso ma mettono in evidenza che la persona che attacca ha un minimo di sale in zucca. Quindi anzitutto comincerà col vostro nome e cognome, con la data di nascita, col nome della fidanzata o del cane. Poi attaccherà con password solo lettere, lettere+numeri e via di questo passo.
Tenete conto di un'altra cosa: siamo pigri. La maggior parte di noi utilizza 3-4 password al massimo, sempre le stesse, sia per il forum, che per la posta, che per l'accesso a windows. Quindi, lanciato un programmino pirata che cattura la password dello screensaver, il "ladro" avrà magari beccato anche la password che usate per la posta.
Questo non per creare dell'allarmismo, ma solo per dire: spendete qualche secondo in più per creare e memorizzare la vostra password, un asterisco o un numero nella vostra password possono fare la differenza.


Non è il caso di fare complicate formule f2G£$-@3ae4, come già detto da 7ede basta un po' di fantasia.

6+fortedim3 ----------> (sei più forte di me)
s8è+bello -----------> (sotto è più bello)
wl@f1g@ -----------> ( :) )

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Post by Lysor_o.O » 29/03/2006 18:41

Mano[FA] wrote:
Lysor_o.O wrote:'... per loggarmi a qualche cosa su Internet (come questo forum). Lì, di solito il server rifiuta richieste troppo frequenti. Che so, dopo 5 tentativi si blocca per un minuto. E se le cose stanno così, hai voglia a beccare una password di 6 lettere.
questa è una cosa che mi sono chiesto anch'io: sembrerebbe logica per bloccare i tentativi a forza bruta, ma avrebbero alcuni inconvenienti tipo che io potrei utilizzare questo approcio per bloccare un sito. Un sistema di accesso a login (un sito o un collegamento ssh hanno effettivamente dei sistemi "temporizzati"?
Proprio per questo, il blocco del login non è permanente (ossia, fino a quando passa un amministratore a sbloccare a mano) ma temporizzato. Altrimenti avresti perfettamente ragione!
Poi, beh, va detto che non so quanto questo sia effettivamente implementato. Per dirne una, su questo stesso forum come funziona? Se faccio login tot volte di fila con una password sbagliata succede qualcosa? Non ne ho la più pallida idea... Diciamo che non mi sono mai preoccupato della cosa, perché credo che a ben pochi possa fregare qualcosa di leggere i miei PM o di entrare nel privato. E per l'email? Idem, non ne ho idea, e quella in effetti è più importante...

Infine un suggerimento a Mirino, sul come ricordare le password: scegliere le iniziali di qualche frase! "Scmfqec" è un casino da ricordare. Ma "Sempre caro mi fu quest'ermo colle" proprio no! Tra l'altro, se non sbaglio, Snuffz stesso aveva suggerito questo consiglio, un po' di tempo fa.
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
phoenix
Veteran
Veteran
Posts: 457
Joined: 29/12/2004 20:03
Location: Savvvona

Post by phoenix » 29/03/2006 18:50

mio padre quando deve mettere una password scrive dei num a lettere!!
ad esempio una volta ha messo duemiliaduecentoventidue!
diecimilauno e così via!
poi se bisogan difendersi x me la cosa migliore è mettere una passwrod buoan ad esempio il proprio nome!
tutti penseranno che è una cavolata mettere il proprio noem come pass è troppo stupido e facile, ma io... :D
Mauro ma tu sei me? O io sono te? O siamo un'unico noi? per tutte queste domande c'è un'unica risposta
"sommo!"
Image

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Post by Lysor_o.O » 29/03/2006 19:10

Non ho capito se è ironico o meno... Mettere il proprio nome E' una cavolata. L'attacco non viene sempre da un anonimo su Internet, che non ti conosce, ma può venire da qualcuno che ti conosce di persona... E allora il tuo nome lo sa fin troppo bene!
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
France
Veteran
Veteran
Posts: 2746
Joined: 10/06/2003 22:03
Location: Zürich, CH

Post by France » 31/03/2006 16:22

un sistema comodo per ricordarsi puo' essere anche mettere il numero in und data posizione e farlo seguire subito dal simbolo sottostante tipo 5% oppure 1+ e cosi via. Poi si puo' benissimo avere un nome lungo letterale tipo sugli 8 spazzi + 2 di di numero e simbolo.

Una simile strategia puo' dare frutti oppure e' piu' attaccabile di una password con i caratteri messi in maniera casuale?
Image

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2162
Joined: 24/10/2004 15:47
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 06/06/2011 18:43

Risollevo questo topic mandandovi ad un sito che analizza le password rubate da Sony nel recente attacco rivelatosi scandaloso per la mancanza di basilari forme di protezione.

Quello che emerge e' come ci sia una grande superficilita' nello scegliere password che evidentemente sono corte, scontate, facili da indovinare e, cio' che e' peggio, utilizzate per piu' di un sito.

Ammetto che e' comunque un problema difficile perche' richiede il giusto compromesso tra sicurezza e praticita'.

Io, per chi fosse interessato, uso KeypassX con una master password che uso SOLO per quel file. E ho due files: uno lavoro e uno personale (ovviamente due password diverse). Per praticita' lo tengo sincronizzato usando Dropbox
7ede_o.O wrote: mario :arrow: m4r|0.
La seconda meglio della prima ma di poco. 1337 speak e' noto a tutti, e se mario e' in un dizionario, tutte le varianti 1337 vengono provate.

User avatar
Lysor_o.O
Veteran
Veteran
Posts: 2448
Joined: 12/12/2002 00:31
Location: Milano

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Lysor_o.O » 07/06/2011 00:09

Grande Mano, quel link è davvero interessante!

Già che ci siamo, posto un link anch'io. E' un articolo di oggi (anche se in realtà l'argomento non è nuovo), e parla dell'incredibile velocità delle schede video nel craccare una password:
http://www.tomshw.it/cont/news/schede-g ... 831/1.html

Riporto solo una frase:
In pratica con una Radeon HD 5770 il tempo per estrarre una password di "media sicurezza" (nove caratteri, con simboli, maiuscole e minuscole) passa da 43 anni a 48 giorni, mentre una password alfanumerica di cinque caratteri cede in soli 3,3 secondi, a fronte dei 24 secondi che ci vorrebbero con la sola CPU.
E faccio presente che una Radeon 5770 non è esattamente così cara che se la può permettere solo la NASA, dato che costa poco più di 100€.
Image
Tu vedi delle cose e chiedi: perché? Ma io sogno di cose che non ci sono mai state, e che forse non ci saranno mai, e dico: perché no?
--- Wolfgang Güllich

User avatar
France
Veteran
Veteran
Posts: 2746
Joined: 10/06/2003 22:03
Location: Zürich, CH

Re: Password: w£7fRd*T è meglio di "ciao"

Post by France » 07/06/2011 00:09

mi sono letto l'articolo e ho una domanda: Ma bisogna avere una certa proporzione fra tutti i tipi di caratteri o basta averne uno per ogni tipo e per il resto usare lettere?
Image

User avatar
Beavis
Veteran
Veteran
Posts: 1361
Joined: 08/10/2005 15:18

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Beavis » 07/06/2011 10:12

Quindi se consideriamo che con una hd5770 che non è manco sta cosa fantascentifica di beccano una password complessa in 48 giorni e che esistono cose simili http://www.businessmagazine.it/news/opt ... 36944.html che è 32000 volte più veloce (44petaflops contro 1.36tflops della 5770) tanto vale usare "ciao" come password :asd:

Chiaro che qui parlo di cosa da nasa, cose che costano cifre a 7 zeri, ma mica di cose supersegrete come nei libri di Dan Brown, sono cose commerciali che chiunque può avere (soldi permettendo) :nod:
Monologhista doc :teach:

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2162
Joined: 24/10/2004 15:47
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 07/06/2011 11:00

France wrote:mi sono letto l'articolo e ho una domanda: Ma bisogna avere una certa proporzione fra tutti i tipi di caratteri o basta averne uno per ogni tipo e per il resto usare lettere?
Non e' tanto una questione di proporzione, ma piuttosto un modo per rendere gli attacchi molto piu' difficili. Chi tenta di craccarti una password, non lo fa alla cieca, ma in maniera mirata. Prima usa parole di vocabolario (sono "poche") poi combinazioni di sole lettere (la maggior parte delle password,come dimostra questo studio, ha un solo tipo di caratteri) poi due tipi di caratteri e cosi' via. E siccome il tempo richiesto tende all'infinito, devono avere un modo per dire "OK, questa password e' difficile, proviamo con il prossimo utente". Quindi se la tua password e' lunga con 4 tipi di caratteri e non estraibile da un dizionario (quindi m4r|0 non va bene) probabilmente gli fai "passar la voglia"
In pratica con una Radeon HD 5770 il tempo per estrarre una password di "media sicurezza" (nove caratteri, con simboli, maiuscole e minuscole) passa da 43 anni a 48 giorni, mentre una password alfanumerica di cinque caratteri cede in soli 3,3 secondi, a fronte dei 24 secondi che ci vorrebbero con la sola CPU.
aspetta aspetta. Di cosa parliamo? Questo vale per craccare " password NTML - lo standard usato da Windows, ritenuto tra i più sicuri."
Sicuro un paio di palle. La stessa Microsoft dice
Implementers should be aware that NTLM does not support any recent cryptographic methods, such as AES or SHA-256. ... therefore, applications are generally advised not to use NTLM
Non sono un esperto di criptografia, ma un sistema criptografico con le palle, (tipo KeepassX) usa AES che, secondo wikipedia "The AES cipher is specified as a number of repetitions of transformation rounds that convert the input plaintext into the final output of ciphertext. Each round consists of several processing steps, including one that depends on the encryption key. A set of reverse rounds are applied to transform ciphertext back into the original plaintext using the same encryption key."
Quindi prende la tua password, la trasforma in qualosa 128 o 256 bits (16 o 32 caratteri) e poi, usando la tua password, la trasforma ancora e ancora e ancora. Alla fine produce una stringa di 16 o 32 caratteri usata per codificare/decodificare il file. Per l'utente la cosa e' veloce, pochi miliisecondi immagino, ma se devi provare miliardi di combinazioni, allora la tua scheda video ci mette anni.
Certo se usi come password 'ciao', comunque ci arriva in fretta, ma se e' anche solo e7^geRi mi sa che ci mette un po'.
Ovviamente dipende da che tipo di encription usa il server! Se le mantiene in chiaro anche 8jUg3^%n00(jazV|e non e' per nulla sicura, se gli fa un round di MD5 te la trovano easy easy, se ne fa 1000 devono pensarci, se usano AES provano solo con i dizionari...

Cerchero' la referenza, ma avevo letto che per cracare una password AES 128 bit, se tutti gli abitanti della terra avessero un PC moderno e tutti lo usassero per craccare la tua password e il sistema trovasse la password dopo solo meta' dei tentativi ci vorrebbero decine di anni. O comunque un tempo sproporzionato.

User avatar
Beavis
Veteran
Veteran
Posts: 1361
Joined: 08/10/2005 15:18

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Beavis » 07/06/2011 11:18

Cmq secondo me il pnto fondamentale è un altro.
Il punto è che di tutte le password che usiamo quotidianamente quante possono essere attaccate con la forza bruta?
Pochissime.

Tutte quelle per accedere a siti, e-mail (accesso all'account intendo), account di giochi, ecc. hanno un numero limitato di tentativi poi si bloccano e vanno riattivate con e-mail, domande segrete, i cosi visuali che non ricordo come si chiamano.
Anche le password di accesso ai pc dopo x tentativi si bloccano per alcuni minuti.

Attacchi di forza bruta sono possibili solo sui file criptati come zip o le email (che però prima vanno intercettate in qualche modo).
Per tutto il resto basta che non sia "ciao", il proprio nome o una cosa veramente banale e non è facile trovarla.
Monologhista doc :teach:

User avatar
Mano[FA]
oO Team
oO Team
Posts: 2162
Joined: 24/10/2004 15:47
Location: UK

Re: Password: w£7fRd*T è meglio di "ciao"

Post by Mano[FA] » 07/06/2011 11:48

No, no. Il problema qui e' un altro. E prendi l'esempio Sony.
Gli sono entrati nel sito, hanno trovato i dettagli personali e le password (non criptate!) e possono usarle per fare login nella email (una buona parte usa stessa password) e fare danni a volonta' (tipo chiedere il reset di password piu' importanti ad altri siti). O fare il login in Sony e usare loro account

Sony e' idiota a non criptarle, ma anche se fossero state criptate, i cracker le scaricano e poi fanno force brute attack sulle versione criptate. A quel punto la sicurezza della password e' importante.

Il consiglio comunque e' avere una password diversa per ciascun sito e poi tenerle al sicuro ben criptate (perche' se ti beccano quel file, sei in mutande)

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest