Sperimentatori, entusiasti della tecnologia
Su questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password. Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi … Leggi tutto “Se non password, allora #PassaFrase”
La diffusione sui dispositivi mobili della tecnologia di lettura delle impronte digitali ha reso (di nuovo) famoso questo metodo di identificazione al punto tale che in alcuni contesti lo si vorrebbe sostituire alle password. Prima di adottare allegramente questo metodo di identificazione bisogna capire bene le differenze tra una password (o una passphrase) e un’impronta digitale.
INSERIRE LA PASSWORD ******** PASSWORD ERRATA. INSERIRE LA PASSWORD *********** PASSWORD ERRATA. INSERIRE LA PASSWORD ************* PASSWORD ERRATA. INSERIRE LA PASSWORD **************** PASSWORD ERRATA. INSERIRE LA PASSWORD {esegue la procedura di reset password} ************** ERRORE! LA NUOVA PASSWORD DEVE ESSERE DIVERSA DALLA PRECEDENTE
Assume that your adversary is capable of a trillion guesses per second. Edward Snowden a Laura Poitras, maggio 2013 Come difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata? Un modo efficace è rispolverare cinque cari vecchi dadi da gioco.
Ci sono alcune password che non vanno utilizzate. Ma nemmeno per cinque minuti. E, no, nemmeno come password temporanee. Sono le password che vengono provate per prime quando si attacca un sistema, sono quelle che fanno crollare tutta l’impalcatura di sicurezza di un sistema.
Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti. Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze … Leggi tutto “Heartbleed: anche le password”
Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF]. Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password … Leggi tutto “Le password nel commercio elettronico”
Nicola Porro ha sfogato la sua frustrazione nel suo blog in merito alla complessità delle password imposte. Non essendo un giornalista tecnico che scrive abitualmente in temi di sicurezza, possiamo, con presunzione di innocenza, classificare quell’articolo come uno sfogo a livello di chiacchiera da bar. Purtroppo questo episodio è esemplificativo dell’ignoranza (etimologica) in materia di … Leggi tutto “Password “comuniste””
cavolo La password deve essere almeno di 8 caratteri. cavolo bollito La password deve contenere almeno un carattere numerico. 1 cavolo bollito La password non può contenere spazi. 50cazzodicavolivolliti La password deve contenere almeno un carattere alfabetico maiuscolo. 50DANNATIcazzodibolliti La password non può contenere più di un carattere maiuscolo consecutivo. 50CazzoDiCavoliBollitiInfilatiSuPerIlTuoCulo,SeNonMiFaiAccedereSubito La password non può … Leggi tutto “Specificare una password”
Ogni tanto serve generare un po’ di password casuali, questo è un metodo rapido e, si spera, efficace. Tutto quello che serve è un *NIX e un /dev/urandom con una ragionevole entropia, magari aiutato da un software come haveged. Questa è l’invocazione per richiamare 1024 byte di password casuali (deve essere scritta su una riga sola, … Leggi tutto “Generatore di password via command line”
Mark Burnett ha raccolto nel tempo varie password che sono state pubblicate per buchi nella sicurezza. Adesso ha deciso di pubblicare le 10.000 password più utilizzate, quindi le 10.000 password da non utilizzare mai. Le password sono in un file di testo, che può essere importato in un archivio di black-list per evitare che gli … Leggi tutto “Le diecimila password peggiori”
Sono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica. Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate … Leggi tutto “Userei una password complessa, ma…”
Per vari motivi ho cercato in giro alcune linee guida su come scrivere una buona procedura di reset della password di un account via posta elettronica, ne riassumo qui alcune, in ordine sparso. Non modificare i dati fino alla conferma dell’utente. A meno di necessità specifiche o casi particolari, i dati di autenticazione non devono … Leggi tutto “Reset della password”
Benché il sito non abbia ancora diramato una nota formale, pare che LinkedIn sia stato vittima di un furto di oltre sei milioni di password. Come atto precauzionale è altamente consigliabile modificare immediatamente la propria password di LinkedIn. Avrei dovuto avere dei dubbi quando ieri mi è arrivato l’invito di connessione al network di contatti da … Leggi tutto “Cambiate la password di Linkedin. ADESSO.”
Passfault è un programma open source che verifica la resistenza delle password. Il programma analizza una password e cerca di stabilire quanto tempo sia necessario per crackarla in base ad alcuni parametri definiti. Ovviamente l’analisi che viene fatta è agnostica rispetto all’utente: per ovvi motivi il programma non prova le password che contengono dati correlati … Leggi tutto “Quanto è sicura una password?”
Le password sono una rottura di balle, specialmente per chi non è sensibile al problema della sicurezza. Molte realtà hanno una rete wireless, sia essa collegata alla LAN interna oppure direttamente ad Internet per gli ospiti. In moltissimi di questi casi le password sono scritte in maniera visibile, specialmente quelle degli ospiti perché sembra che … Leggi tutto “La bella idea di appendere le password del WiFi”
Secondo quanto rivela il giornale israeliano Haaretz, la password dell’account mail di Bashar Assad compromesso da Anonymous sarebbe stata 12345. 1 2 3 4 5 Se la notizia fosse vera non ci sarebbe molto da commentare, tranne che solamente l’erede al trono del regno degli incoscienti (per non utilizzare termini ben peggiori) utilizzerebbe una password del genere … Leggi tutto “Voi e le vostre password complicate!”
La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla. Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta. Bisogna chiarire subito che i sistemi attuali … Leggi tutto “La giusta scelta della password”
Ieri le password degli account di WordPress.org sono state resettate e gli utenti devono sceglierne una nuova. La decisione segue una serie inusuale di aggiornamenti di vari plugin molto utilizzati, tra cui AddThis, WPtouch e W3 Total Cache. Un’analisi ha rivelato che tutti questi aggiornamenti contenevano una backdoor e che le nuove versioni non erano state … Leggi tutto “Reset delle password di WordPress.org”
MysqlPasswordAuditor è un tool per crackare verificare la sicurezza di un server MySQL. Questa versione funziona solamente con un dizionario di password, ma nulla impedisce di utilizzare appositi tool per creare il dizionario, specialmente se è nota una parte della password. Il programma necessita solamente l’accesso alla porta TCP di MySQL. La scansione avviene abbastanza velocemente: … Leggi tutto “MysqlPasswordAuditor”