Dilemma Password

gianco122 · 2023-08-23T14:24:01+00:00

Chiedo scusa se l'argomento è stato trattato ma facendo una ricerca non ho trovato niente di specifico, quindi vengo al punto. Approfittando del periodo di s...

xblitz

MentalBreach Al massimo si può usare 7-Zip per creare archivi protetti da password e non avere paranoie del closed source.

Non è una questione di paranoia o vessillo... ma il semplice dato di fatto che la "security throught obscurity" non funizona.

MentalBreach

xblitz Non è una questione di paranoia o vessillo... ma il semplice dato di fatto che la "security throught obscurity" non funizona.

TJL73 In quel caso, non si agisce per forza bruta, ma tramite attacco a dizionario, molto più rapido ed efficace.

TJL73 In questo modo, se uno dei servizi che utilizzi (ad esempio, il sito per le prenotazioni delle confessioni della parrocchia) dovesse subire un data breach, l'attaccante avrebbe una tua pass di riferimento da cui partire, rendendo l'attacco a dizionario ancora più istantaneo ed efficace.

Rispondendo a tutti e tre: é una questione di distinzione tra attacco massivo ad un servizio e attacco mirato alla persona.

Se anche venisse bucato il sito della parrocchia e trovano pincopallo@mail.it con password B4rcaavela-Ch1esa, un hacker qualsiasi prenderebbe i dati grezzi e li andrebbe a rivendere in blocco.

Nessuno, nel caso di utenti comuni come il sottoscritto, andrebbe a vedere se con pincopallo@mail.it posso accedere a Fibra Click cambiando la password in B4rcaavela-F1bra.

É possibile scardinare le password dell'archivio e del file Word? Si.
É possibile scoprire una password e con quella sbloccare i restanti miei account? Si.
É possibile superare l'OTP? Si.
Tale impegno ad accedere ai MIEI account é giustificato? No.

Mi basta questo.

Uso password complesse, uso una password diversa per ogni servizio, dove possibile ho attivato la 2FA, l'elenco delle password é protetto da due password (non utilizzate altrove) ed é sincronizzato in cloud (per evitare di perderlo).

Non dico che il mio metodo é migliore, soprattutto rispetto ad altri servizi magari più sicuri o comodi (vedi autocompletamento); ma voleva essere un'alternativa ai bigliettini di carta con mille password (il tema iniziale della discussione).

Stefan1578

Io faccio "password dimenticata" tutte le volte... che a pensarci è anche il modo più sicuro perché cambi sempre password

TJL73

MentalBreach fare bruteforce di una password alfanumerica con simboli lunga oltre 10 caratteri

In quel caso, non si agisce per forza bruta, ma tramite attacco a dizionario, molto più rapido ed efficace.

mark129

TJL73 Pessima idea, secondo me

Il raccontarlo, magari.

Per il resto, tutte le psw non generate casualmente ed al di sotto di una certa lunghezza (importante) pongono simili questioni, mentre tutte quelle meno vulnerabili pongono la questione dell'affidabilità dei vari wallet / manager / keyring (a meno di avere una memoria... "da disturbo dello spettro autistico").

TJL73

MentalBreach Ad esempio:
C0ccodrillo%g0ogle
C0ccodrillo%f1braclick
C0ccodrillo%m1crosoft

E così via.

In questo modo, se uno dei servizi che utilizzi (ad esempio, il sito per le prenotazioni delle confessioni della parrocchia) dovesse subire un data breach, l'attaccante avrebbe una tua pass di riferimento da cui partire, rendendo l'attacco a dizionario ancora più istantaneo ed efficace.

Non devi considerare quanto tu tenga blindate le tue password, ma quanto, con queste, lo facciano gli altri. Soprattutto per questo, avere password casuali e completamente differenti per ogni singolo servizio è fondamentale e indispensabile. E l'unico modo per poterle generare e tenere memorizzate sempre "pronte all'uso" è affidarsi ad un pass manager (rigorosamente open source). Ogni altro sistema "casereccio", abbassa notevolmente il livello di sicurezza.

Marco25

TJL73 un pass manager (rigorosamente open source)

Sarebbe più utile se spiegassi quali requisiti dovrebbe avere un password manager, lanciare open source a caso non garantisce nulla di per sé.

angelo1987 Non so se installarla, dal punto di vista della sicurezza non sono convinto e quindi preferisco scrivere a mano ogni volta.

L'estensione può aggiungere una vulnerabilità: https://lock.cmpxchg8b.com/passmgrs.html#hostile-environments, tuttavia è utile avere autofill in quanto digitando a mano potresti inserire la password nel sito sbagliato (cioè phishing). L'autofill inline che sfrutta le API del sistema dovrebbe essere più sicuro https://bitwarden.com/help/auto-fill-android/#inline-autofill

angelo1987

Io ho installato Bitwarden su Android e creato le note sicure in cui ho scritto le password dei servizi che uso. Teoricamente ci sarebbe anche l'estensione su Chrome. Non so se installarla, dal punto di vista della sicurezza non sono convinto e quindi preferisco scrivere a mano ogni volta. Il completamento automatico pero' ammetto sarebbe fantastico, ma secondo me quando si parla di sicurezza bisogna sempre fare compromessi tra sicurezza e comodita'.

angelo1987

Marco25 su Android uso Samsung Pass per quelle poche volte che devo reinserire la password. Su Chrome tu usi l'estensione? Come ti trovi?

xblitz

Marco25 Sarebbe più utile se spiegassi quali requisiti dovrebbe avere un password manager

Semplicemente, un codice che può essere visto da tutti - pure cani e porci - e che non ha padroni è più probabile venga studiato e quindi, se ci sono falle, individuate e corrette. Un codice closed source ti mette nelle mani di chi il codice lo mantiene e non è affatto detto che un malintenzionato vada a segnalare al mantainer di aver trovato una falla.

Con questa storiella della "security throught obscurity" qualcuno c'ha perso una guerra mondiale.

TJL73

Marco25 TJL73 un pass manager (rigorosamente open source)

Sarebbe più utile se spiegassi quali requisiti dovrebbe avere un password manager, lanciare open source a caso non garantisce nulla di per sé.

Non è tanto la sicurezza che ti può dare il codice sorgente analizzabile dal punto di vista crittografico e non solo (non da te o tantomeno da me, quanto da esperti del settore), ma come già ottimamente spiegato da xblitz, la "security throught obscurity" è "il male", in quanto ricade nelle "false sicurezze" (e una falsa sicurezza è molto peggio dell'assenza di sicurezza, poiché ti induce ad abbassare la guardia).

Il problema vero è proprio non sono tanto gli algoritmi utilizzati, quanto le loro implementazioni: una cattiva implementazione di un ottimo algoritmo (e tutti quelli oggi disponibili sono ben più che sicuri, fino a prova tecnica contraria) può rendere tutto vano, abbassando o anche annullandone del tutto l'efficacia.
Quindi, non è tanto quale software/servizio/sistema di password management venga utilizzato, quanto, invece, il fatto che ne dichiari esplicitamente e dettagliatamente il funzionamento e renda disponibile il codice sorgente in modo da poter essere analizzato nel dettaglio da esperti che ne possano trovare vulnerabilità causate soprattutto da una errata implementazione.
Insomma, in una sola parola: гла́сность.
Spero di aver chiarito meglio il mio pensiero. 🙂

Edit:

simonebortolin Ha una entropia troppo bassa quella card

Concordo. Ma, aggiungendo la spunta a "seleziona per includere i simboli" nella sezione sulla destra e scegliendo quindi una lunghezza sufficiente (minimo 20 caratteri), credo che possa diventare "sufficiente". 😉

xblitz Io ho scelto una password "banale" come master password, però l'ho affiancata al *.key file - che ovviamente resta su pennetta che mi porto sempre dietro.

Diciamo che una combinazione tra keyfile più una master password non proprio così "banale" (che poi è ciò che ho fatto anch'io), è già abbastanza per proteggere il kdbx.

MentalBreach Non dico che il mio metodo é migliore, soprattutto rispetto ad altri servizi magari più sicuri

E' proprio poiché non mi fido ciecamente delle mie capacità di gestire la sicurezza ad alti livelli, che non improvviso soluzioni caserecce, ma mi affido a chi questi argomenti li tratta da anni con competenza. Competenza resa pubblica e verificata da una comunità di esperti.

Filippo94

BitWarden, password diverse su ogni sito. Semplice, aggiornabile da ogni dispositivo, open source.

kalipotino

Filippo94 BitWarden, password diverse su ogni sito. Semplice, aggiornabile da ogni dispositivo, open source.

Idem 🙂
Minimo 30 caratteri tra caratteri speciali e tutto il resto.
In più per collegarmi uso una chiavetta Yubikey come 2FA. Una sempre con me e una che rimane a casa come backup.

Marco25

angelo1987 Su Chrome userei autofill inline per i motivi spiegati sopra.

xblitz È corretto in teoria chiaro che se è open l'auditing è più facile, ma nella pratica devi valutare se:

il codice sia effettivamente analizzato (e quando si tratta di centinaia di migliaia di righe di codice o addirittura milioni che sia open o closed fa poca differenza)
segua best practices di sicurezza e le mantenga nel tempo con l'evoluzione dei sistemi operativi e le api di cui dispone
risponda celermente alle segnalazione
qual è il track record in merito ai precedenti

In sostanza abbia un team di sviluppatori a tempo pieno che ci sta dietro, il che è più probabile incontrare in una azienda dove sì, probabilmente il prodotto sarà closed ma hai sviluppatori pagati per mantenere il software e abbiamo visto cosa accade col software open mantenuto male (openssl e log4j).

xblitz

Marco25 sono perfettamente d'accordo, ma al solito è tutta una questione di probabilità e secondo me è più probabile che tutto quello che hai elencato venga svolto se il codice è open source se non altro perché - tendenzialmente - le università usano roba open source come "casi di studio".

simonebortolin

TJL73 ad esempio, la puoi generare con PasswordCard e tenerla sempre con te, in totale sicurezza

Ha una entropia troppo bassa quella card

xblitz

TJL73 Ovviamente, a protezione del kdbx non ci deve essere la password "pippo"

Io ho scelto una password "banale" come master password, però l'ho affiancata al *.key file - che ovviamente resta su pennetta che mi porto sempre dietro.

nushuth

gianco122 on male come idea in pratica ti serve conoscere solo 2 password quella di word e quella del file zippato.

pessima, pessima idea.
come suggerito da qualcun altro, usa KEEPASS.
è un password manager, è open source.
nella pratica funziona come il file word+zip con password ma molto piu sicuro.
ti crea un file criptato, con una cifratura molto robusta, che si apre con l'unica password che dovrai ricordare.
oltre a gestire il tuo portafoglio password in modo sicuro, incorpora anche un "password generator" cosi ogni volta che dovrai cambiare password invece di diventare matto a trovarne una nuova chiedi a lui di generartene in automatico una nuova, che conterrà caratteri casuali, e ogni servizio/sito ne avrà una diversa.

questo file criptato se lo desideri puoi condividerlo tra i tuoi dispositivi usando un qualsiasi servizio, dropbox, google one, onedrive..

magick81

nushuth questo file criptato se lo desideri puoi condividerlo tra i tuoi dispositivi usando un qualsiasi servizio, dropbox, google one, onedrive..

Io lo tengo in un hosting condiviso. La sicurezza non è sicuramente paragonabile a quella di Google o Dropbox, ma d'altro canto questi sono anche piu soggetti ad attacchi. In questo modo evito gli attacchi massivi, rendendo sconveniente un attacco mirato. Ovviamente il database è protetto anche da key file che si trova solo nei pc che uso.

xblitz

MentalBreach si ma la solfa è sempre quella: rendere il proprio portafoglio delle password il meno appetibile possibile e quindi bisogna essere onesti e dire le falle che ci sono... poi si può decidere se accettare o meno il rischio.

mtrabo

MentalBreach

Per me non è troppo una follia quello che dici. L'unico appunto è che non farei troppo affidamento sulla cifratura di Word e dell'archivio RAR. Oltre al fatto che l'algoritmo di cifratura è closed source, l'accoppiata Word+RAR non è così portable. (Inoltre, per me, è molto più scomodo che sicuro avere una doppia cifratura "a cipolla".) Per la parte di cifratura magari mi affiderei a tool diversi, tutto qua

simonebortolin

TJL73 Concordo. Ma, aggiungendo la spunta a "seleziona per includere i simboli" nella sezione sulla destra e scegliendo quindi una lunghezza sufficiente (minimo 20 caratteri), credo che possa diventare "sufficiente". 😉

Quindi è da personalizzare. Poi comunque preferisco almeno per le password da ricordare a memoria una serie di parole con una buona lunghezza ed entropia.

kalipotino Minimo 30 caratteri tra caratteri speciali e tutto il resto.

non servono così tanti caratteri speciali, basta avere già una buona entropia tra le lettere dell'alfabeto e qualche simbolo speciale, anche il l33t non modifica troppo l'entropia.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile