Dilemma Password

gianco122

Chiedo scusa se l'argomento è stato trattato ma facendo una ricerca non ho trovato niente di specifico, quindi vengo al punto.
Approfittando del periodo di sosta ho cambiato telefonino, ormai il vecchio si bloccava.
Comunque fatto il passaggio di app ed altro dal vecchio al nuovo è sorto il problema delle password causa i vari aggiornamenti, con fatica le ho inserite in modo da poter avviare la app.
Ormai ci stavo ed ho tirato fuori i vecchi pizzini dove avevo scritto le varie password, mi sono accorto che fra importanti, mail, siti vari che frequento abitualmente, ne ho almeno una cinquantina, alcune uguali.
come si fanno a gestire tutte queste password.
Chiedo voi come riuscite a gestire tutto questo, pure voi muniti di pizzini?

xblitz

gianco122 come si fanno a gestire tutte queste password.

keepass + dropbox

giuse56

gianco122 Per questo motivo esistono i gestori di password come 1Password

gotttoesplosivo

password manager tipo bitwarden

Pasknet

Esistono svariati password manager sia Ios che Android che Windows.
C'è solo l'imbarazzo della scelta.
Io ad esempio uso "Safe in Cloud" da anni.

MentalBreach

Io utilizzo una combinazione parola lunga+nome servizio con almeno un numero al posto della prima vocale ed un simbolo, in modo da avere la "stessa" password per ogni servizio, ma diversa.

Ad esempio:
C0ccodrillo%g0ogle
C0ccodrillo%f1braclick
C0ccodrillo%m1crosoft

E così via.

Per evitare problemi di memoria, ho tutte le password salvate in un file Word protetto da password, contenuto all'interno di un archivio Rar (anch'esso protetto da password, ovviamente diversa da quella del documento) e caricato nel cloud.

Un po' macchinoso per salvare le nuove password, ma mi sono trovato bene senza dovermi rivolgere ad un gestore password.

L'alternativa: un gestore password tipo LastPass, 1Password, Dashlane, BitWarden o KeePass.

Marco25

Ammesso ti interessino solo le password, puoi tranquillamente usare il gestore del sistema (Google Password Manager o iCloud Keychain).

MentalBreach Io utilizzo una combinazione parola lunga+nome servizio con almeno un numero al posto della prima vocale ed un simbolo, in modo da avere la "stessa" password per ogni servizio, ma diversa.

Se ci hai pensato tu, ci hanno pensato anche gli hacker che hanno script pronti per provare queste combinazioni di password.

gianco122

MentalBreach non male come idea in pratica ti serve conoscere solo 2 password quella di word e quella del file zippato.
Comunque mi controllo un po tutti quelli che mi avete indicato.

TJL73

MentalBreach

Pessima idea, secondo me, come ti ha già fatto notare anche @Marco25.

Molto meglio un password manager; personalmente, uso KeePass (open source), sia su Win64 che su Android (ma c'è praticamente per ogni piattaforma, forse tranne il C= Vic20 e lo ZX Spectrum, sempre che non supportino J2ME), cui faccio generare le password rigorosamente casuali.
Ovviamente, a protezione del kdbx non ci deve essere la password "pippo" 🤨. Però, almeno, la puoi creare più complessa di "C0cc0dr!ll0" (ad esempio, la puoi generare con PasswordCard e tenerla sempre con te, in totale sicurezza) e te ne devi ricordare poi solo una, mantenendo tutte le altre dedicate ai vari servizi, completamente casuali e differenti l'una dall'altra e sicuramente non affidandoti alla sicurezza fornita da MS Word 😱 e da Rar.

Avendo poi copia sul cloud, posso tenere allineati tutti i miei dispositivi con lo stesso kdbx, avendo sempre tutte le password aggiornate con me.

E poi, l'autocompletamento è impagabile, quanto la modularità dei vari plugin. 😊

TJL73

MentalBreach Ad esempio:
C0ccodrillo%g0ogle
C0ccodrillo%f1braclick
C0ccodrillo%m1crosoft

E così via.

In questo modo, se uno dei servizi che utilizzi (ad esempio, il sito per le prenotazioni delle confessioni della parrocchia) dovesse subire un data breach, l'attaccante avrebbe una tua pass di riferimento da cui partire, rendendo l'attacco a dizionario ancora più istantaneo ed efficace.

Non devi considerare quanto tu tenga blindate le tue password, ma quanto, con queste, lo facciano gli altri. Soprattutto per questo, avere password casuali e completamente differenti per ogni singolo servizio è fondamentale e indispensabile. E l'unico modo per poterle generare e tenere memorizzate sempre "pronte all'uso" è affidarsi ad un pass manager (rigorosamente open source). Ogni altro sistema "casereccio", abbassa notevolmente il livello di sicurezza.

MentalBreach

Marco25 Se ci hai pensato tu, ci hanno pensato anche gli hacker che hanno script pronti per provare queste combinazioni di password.

Buona fortuna a fare bruteforce di una password alfanumerica con simboli lunga oltre 10 caratteri.

Anche ignorando il limite dei tentativi di accesso da parte dei servizi, ci sarebbe l'OTP per i servizi più importanti.

Per trovare e-mail, password e bucare l'OTP ci vuole talmente impegno che sarebbe ingiustificato per i miei account.

xblitz Se gli algoritmi usati da questi 2 software sono closed source io al tuo posto non li prenderei in minima considerazione.

Dipende sempre dall'importanza dell'obiettivo.

Al massimo si può usare 7-Zip per creare archivi protetti da password e non avere paranoie del closed source.

Marco25 Se ci hai pensato tu, ci hanno pensato anche gli hacker che hanno script pronti per provare queste combinazioni di password.

Buona fortuna a fare bruteforce di una password alfanumerica con simboli lunga oltre 10 caratteri.

Anche ignorando il limite dei tentativi di accesso da parte dei servizi, ci sarebbe l'OTP per i servizi più importanti.

Per trovare e-mail, password e bucare l'OTP ci vuole talmente impegno che sarebbe ingiustificato per i miei account.

xblitz Se gli algoritmi usati da questi 2 software sono closed source io al tuo posto non li prenderei in minima considerazione.

Dipende sempre dall'importanza dell'obiettivo.

Al massimo si può usare 7-Zip per creare archivi protetti da password e non avere paranoie del closed source.

TJL73 Pessima idea, secondo me, come ti ha già fatto notare anche @Marco25.

Sarebbe necessario accedere ai file: o accedi ai miei computer, oppure accedi al servizi cloud, capisci quale tra i tanti archivi criptati contiene le password e lo attacchi.

Ritenendomi "una persona qualunque", l'impegno di decrittare archivi cifrati, anche in un eventuale data breach, la vedo improbabile.

Risposta per tutti e tre: ognuno ovviamente sceglie quello che preferisce, la mia non é una soluzione migliore dei gestori di password dedicati.

xblitz

gianco122 quella di word e quella del file zippato

Se gli algoritmi usati da questi 2 software sono closed source io al tuo posto non li prenderei in minima considerazione.

nushuth

gianco122 on male come idea in pratica ti serve conoscere solo 2 password quella di word e quella del file zippato.

pessima, pessima idea.
come suggerito da qualcun altro, usa KEEPASS.
è un password manager, è open source.
nella pratica funziona come il file word+zip con password ma molto piu sicuro.
ti crea un file criptato, con una cifratura molto robusta, che si apre con l'unica password che dovrai ricordare.
oltre a gestire il tuo portafoglio password in modo sicuro, incorpora anche un "password generator" cosi ogni volta che dovrai cambiare password invece di diventare matto a trovarne una nuova chiedi a lui di generartene in automatico una nuova, che conterrà caratteri casuali, e ogni servizio/sito ne avrà una diversa.

questo file criptato se lo desideri puoi condividerlo tra i tuoi dispositivi usando un qualsiasi servizio, dropbox, google one, onedrive..

mark129

TJL73 Pessima idea, secondo me

Il raccontarlo, magari.

Per il resto, tutte le psw non generate casualmente ed al di sotto di una certa lunghezza (importante) pongono simili questioni, mentre tutte quelle meno vulnerabili pongono la questione dell'affidabilità dei vari wallet / manager / keyring (a meno di avere una memoria... "da disturbo dello spettro autistico").

simonebortolin

TJL73 ad esempio, la puoi generare con PasswordCard e tenerla sempre con te, in totale sicurezza

Ha una entropia troppo bassa quella card

xblitz

TJL73 Ovviamente, a protezione del kdbx non ci deve essere la password "pippo"

Io ho scelto una password "banale" come master password, però l'ho affiancata al *.key file - che ovviamente resta su pennetta che mi porto sempre dietro.

xblitz

MentalBreach Al massimo si può usare 7-Zip per creare archivi protetti da password e non avere paranoie del closed source.

Non è una questione di paranoia o vessillo... ma il semplice dato di fatto che la "security throught obscurity" non funizona.

TJL73

MentalBreach fare bruteforce di una password alfanumerica con simboli lunga oltre 10 caratteri

In quel caso, non si agisce per forza bruta, ma tramite attacco a dizionario, molto più rapido ed efficace.

MentalBreach

xblitz Non è una questione di paranoia o vessillo... ma il semplice dato di fatto che la "security throught obscurity" non funizona.

TJL73 In quel caso, non si agisce per forza bruta, ma tramite attacco a dizionario, molto più rapido ed efficace.

TJL73 In questo modo, se uno dei servizi che utilizzi (ad esempio, il sito per le prenotazioni delle confessioni della parrocchia) dovesse subire un data breach, l'attaccante avrebbe una tua pass di riferimento da cui partire, rendendo l'attacco a dizionario ancora più istantaneo ed efficace.

Rispondendo a tutti e tre: é una questione di distinzione tra attacco massivo ad un servizio e attacco mirato alla persona.

Se anche venisse bucato il sito della parrocchia e trovano pincopallo@mail.it con password B4rcaavela-Ch1esa, un hacker qualsiasi prenderebbe i dati grezzi e li andrebbe a rivendere in blocco.

Nessuno, nel caso di utenti comuni come il sottoscritto, andrebbe a vedere se con pincopallo@mail.it posso accedere a Fibra Click cambiando la password in B4rcaavela-F1bra.

É possibile scardinare le password dell'archivio e del file Word? Si.
É possibile scoprire una password e con quella sbloccare i restanti miei account? Si.
É possibile superare l'OTP? Si.
Tale impegno ad accedere ai MIEI account é giustificato? No.

Mi basta questo.

Uso password complesse, uso una password diversa per ogni servizio, dove possibile ho attivato la 2FA, l'elenco delle password é protetto da due password (non utilizzate altrove) ed é sincronizzato in cloud (per evitare di perderlo).

Non dico che il mio metodo é migliore, soprattutto rispetto ad altri servizi magari più sicuri o comodi (vedi autocompletamento); ma voleva essere un'alternativa ai bigliettini di carta con mille password (il tema iniziale della discussione).

Stefan1578

Io faccio "password dimenticata" tutte le volte... che a pensarci è anche il modo più sicuro perché cambi sempre password

Marco25

TJL73 un pass manager (rigorosamente open source)

Sarebbe più utile se spiegassi quali requisiti dovrebbe avere un password manager, lanciare open source a caso non garantisce nulla di per sé.

angelo1987 Non so se installarla, dal punto di vista della sicurezza non sono convinto e quindi preferisco scrivere a mano ogni volta.

L'estensione può aggiungere una vulnerabilità: https://lock.cmpxchg8b.com/passmgrs.html#hostile-environments, tuttavia è utile avere autofill in quanto digitando a mano potresti inserire la password nel sito sbagliato (cioè phishing). L'autofill inline che sfrutta le API del sistema dovrebbe essere più sicuro https://bitwarden.com/help/auto-fill-android/#inline-autofill

angelo1987

Io ho installato Bitwarden su Android e creato le note sicure in cui ho scritto le password dei servizi che uso. Teoricamente ci sarebbe anche l'estensione su Chrome. Non so se installarla, dal punto di vista della sicurezza non sono convinto e quindi preferisco scrivere a mano ogni volta. Il completamento automatico pero' ammetto sarebbe fantastico, ma secondo me quando si parla di sicurezza bisogna sempre fare compromessi tra sicurezza e comodita'.

angelo1987

Marco25 su Android uso Samsung Pass per quelle poche volte che devo reinserire la password. Su Chrome tu usi l'estensione? Come ti trovi?

xblitz

Marco25 Sarebbe più utile se spiegassi quali requisiti dovrebbe avere un password manager

Semplicemente, un codice che può essere visto da tutti - pure cani e porci - e che non ha padroni è più probabile venga studiato e quindi, se ci sono falle, individuate e corrette. Un codice closed source ti mette nelle mani di chi il codice lo mantiene e non è affatto detto che un malintenzionato vada a segnalare al mantainer di aver trovato una falla.

Con questa storiella della "security throught obscurity" qualcuno c'ha perso una guerra mondiale.

TJL73

Marco25 TJL73 un pass manager (rigorosamente open source)

Sarebbe più utile se spiegassi quali requisiti dovrebbe avere un password manager, lanciare open source a caso non garantisce nulla di per sé.

Non è tanto la sicurezza che ti può dare il codice sorgente analizzabile dal punto di vista crittografico e non solo (non da te o tantomeno da me, quanto da esperti del settore), ma come già ottimamente spiegato da xblitz, la "security throught obscurity" è "il male", in quanto ricade nelle "false sicurezze" (e una falsa sicurezza è molto peggio dell'assenza di sicurezza, poiché ti induce ad abbassare la guardia).

Il problema vero è proprio non sono tanto gli algoritmi utilizzati, quanto le loro implementazioni: una cattiva implementazione di un ottimo algoritmo (e tutti quelli oggi disponibili sono ben più che sicuri, fino a prova tecnica contraria) può rendere tutto vano, abbassando o anche annullandone del tutto l'efficacia.
Quindi, non è tanto quale software/servizio/sistema di password management venga utilizzato, quanto, invece, il fatto che ne dichiari esplicitamente e dettagliatamente il funzionamento e renda disponibile il codice sorgente in modo da poter essere analizzato nel dettaglio da esperti che ne possano trovare vulnerabilità causate soprattutto da una errata implementazione.
Insomma, in una sola parola: гла́сность.
Spero di aver chiarito meglio il mio pensiero. 🙂

Edit:

simonebortolin Ha una entropia troppo bassa quella card

Concordo. Ma, aggiungendo la spunta a "seleziona per includere i simboli" nella sezione sulla destra e scegliendo quindi una lunghezza sufficiente (minimo 20 caratteri), credo che possa diventare "sufficiente". 😉

xblitz Io ho scelto una password "banale" come master password, però l'ho affiancata al *.key file - che ovviamente resta su pennetta che mi porto sempre dietro.

Diciamo che una combinazione tra keyfile più una master password non proprio così "banale" (che poi è ciò che ho fatto anch'io), è già abbastanza per proteggere il kdbx.

MentalBreach Non dico che il mio metodo é migliore, soprattutto rispetto ad altri servizi magari più sicuri

E' proprio poiché non mi fido ciecamente delle mie capacità di gestire la sicurezza ad alti livelli, che non improvviso soluzioni caserecce, ma mi affido a chi questi argomenti li tratta da anni con competenza. Competenza resa pubblica e verificata da una comunità di esperti.

Filippo94

BitWarden, password diverse su ogni sito. Semplice, aggiornabile da ogni dispositivo, open source.

kalipotino

Filippo94 BitWarden, password diverse su ogni sito. Semplice, aggiornabile da ogni dispositivo, open source.

Idem 🙂
Minimo 30 caratteri tra caratteri speciali e tutto il resto.
In più per collegarmi uso una chiavetta Yubikey come 2FA. Una sempre con me e una che rimane a casa come backup.

Marco25

angelo1987 Su Chrome userei autofill inline per i motivi spiegati sopra.

xblitz È corretto in teoria chiaro che se è open l'auditing è più facile, ma nella pratica devi valutare se:

il codice sia effettivamente analizzato (e quando si tratta di centinaia di migliaia di righe di codice o addirittura milioni che sia open o closed fa poca differenza)
segua best practices di sicurezza e le mantenga nel tempo con l'evoluzione dei sistemi operativi e le api di cui dispone
risponda celermente alle segnalazione
qual è il track record in merito ai precedenti

In sostanza abbia un team di sviluppatori a tempo pieno che ci sta dietro, il che è più probabile incontrare in una azienda dove sì, probabilmente il prodotto sarà closed ma hai sviluppatori pagati per mantenere il software e abbiamo visto cosa accade col software open mantenuto male (openssl e log4j).

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile