SIAMO GEEK

Risultati della ricerca per: “password”

  • La funzione “password dimenticata” è il male.

    Una delle funzioni meno sicure di qualsiasi sito internet è quella di recupero password, e già questo dovrebbe fare sì che una simile funzione non esista; inoltre essa nasconde altre inside non ovvie…

    (altro…)

  • La password è salvata in chiaro? Semplice test.

    In poche parole, per capire se qualcuno salva la vostra password in chiaro usate questa password:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Spiegazione

  • Se non password, allora #PassaFrase

    PassaFraseIconSu questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
    Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.

    La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela. (altro…)

  • Differenze tra password e impronte digitali

    La diffusione sui dispositivi mobili della tecnologia di lettura delle impronte digitali ha reso (di nuovo) famoso questo metodo di identificazione al punto tale che in alcuni contesti lo si vorrebbe sostituire alle password.

    Prima di adottare allegramente questo metodo di identificazione bisogna capire bene le differenze tra una password (o una passphrase) e un’impronta digitale. (altro…)

  • Password

    INSERIRE LA PASSWORD
********
PASSWORD ERRATA. INSERIRE LA PASSWORD
***********
PASSWORD ERRATA. INSERIRE LA PASSWORD
*************
PASSWORD ERRATA. INSERIRE LA PASSWORD
****************
PASSWORD ERRATA. INSERIRE LA PASSWORD
{esegue la procedura di reset password}
**************
ERRORE! LA NUOVA PASSWORD DEVE ESSERE DIVERSA DALLA PRECEDENTE

  • Giocare la password ai dadi

    Assume that your adversary is capable of a trillion guesses per second.
    Edward Snowden a Laura Poitras, maggio 2013

    Cinque dadiCome difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata?

    Un modo efficace è rispolverare cinque cari vecchi dadi da gioco. (altro…)

  • Queste password proprio no!

    Ci sono alcune password che non vanno utilizzate.

    Ma nemmeno per cinque minuti.

    E, no, nemmeno come password temporanee.

    Sono le password che vengono provate per prime quando si attacca un sistema, sono quelle che fanno crollare tutta l’impalcatura di sicurezza di un sistema.  (altro…)

  • Heartbleed: anche le password

    by heartbleed.comAncora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.

    Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.

    Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.

    Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).

    Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.

    Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?

    Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?

    Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente  (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.

    Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.

    E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.

    L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.

    Fine del pippone.

  • Le password nel commercio elettronico

    Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].

    Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.

    Prima di esaminare la classifica alcuni dati aggregati degni di nota:

    • il 55% dei siti accetta password del tipo 123456 o password;
    • il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
    • il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
    • il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
    • il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
    • 8 siti inviano la password via mail in chiaro.

    Per gli amanti delle top 10 ecco la classifica dei siti migliori. (altro…)

  • Password “comuniste”

    Nicola Porro ha sfogato la sua frustrazione nel suo blog in merito alla complessità delle password imposte.

    Non essendo un giornalista tecnico che scrive abitualmente in temi di sicurezza, possiamo, con presunzione di innocenza, classificare quell’articolo come uno sfogo a livello di chiacchiera da bar.

    Purtroppo questo episodio è esemplificativo dell’ignoranza (etimologica) in materia di sicurezza informatica e di valore dei dati che accomuna molte professioni.

    Il concetto più comune che viene urlato è “l’account è mio e la password la decido io”. (altro…)

  • Specificare una password

    cavolo

    La password deve essere almeno di 8 caratteri.

    cavolo bollito

    La password deve contenere almeno un carattere numerico.

    1 cavolo bollito

    La password non può contenere spazi.

    50cazzodicavolivolliti

    La password deve contenere almeno un carattere alfabetico maiuscolo.

    50DANNATIcazzodibolliti

    La password non può contenere più di un carattere maiuscolo consecutivo.

    50CazzoDiCavoliBollitiInfilatiSuPerIlTuoCulo,SeNonMiFaiAccedereSubito

    La password non può contenere segni di interpunzione.

    AdessoMiStoIncazzando50CazzoDiCavoliBolliti
    InfilatiSuPerIlTuoCuloSeNonMiFaiAccedereSubito

    La password è già stata utilizzata.

  • Generatore di password via command line

    Ogni tanto serve generare un po’ di password casuali, questo è un metodo rapido e, si spera, efficace.

    Tutto quello che serve è un *NIX e un /dev/urandom con una ragionevole entropia, magari aiutato da un software come haveged.

    Questa è l’invocazione per richiamare 1024 byte di password casuali (deve essere scritta su una riga sola, vado a capo per praticità):

    strings /dev/urandom |
tr -c -d '\!-~' |
dd bs=1 count=1k 2>/dev/null |
sed -r 's/(.{12})/\1\n/g' ;
echo

    Quello che fa questa command line è prendere da /dev/urandom solamente i gruppi di byte che corrispondono a caratteri stampabili (prima riga), filtrarli secondo un range ASCII (seconda riga), fermarsi a 1024 caratteri (terza riga), visualizzarli su righe di 12 caratteri l’una (quarta riga) e andare a capo dopo l’ultima password (ultima riga).

    Il range sulla seconda riga è uno dei più ampi possibile nel set ASCII stampabile perché lascia fuori solamente lo spazio e può essere modificato a piacere, ad esempio se si vogliono solamente lettere minuscole e numeri la seconda riga diventa

    tr -c -d 'a-z0-9' |

    Sulla quarta riga si può variare il numero 12 per avere password di lunghezze differenti o sostituire \n con \t per avere le password incolonnate separate da tab.

Altri articoli