Creato da tanksgodisfriday il 26/03/2006
Cose varie al PC, sul Web e nella mente. Puoi scrivermi a: tanksgodisfriday@libero.it
 

 

« La regina dei castelli di cartaVarcando la soglia »

La password? Almeno da 12 caratteri

Post n°1580 pubblicato il 22 Agosto 2010 da tanksgodisfriday
 

Quanto
 tempo impiega un malintenzionato ad imbroccare la password del nostro account, che sia su Facebook, Twitter o che si tratti della casella di posta elettronica? Se la password è di 8 caratteri o meno, bastano poche ore.

Facciamo due conti. Se i caratteri consentiti sono le lettere maiuscole e minuscole, le cifre da 0 a 9 e qualche carattere speciale (es.: punto, trattino e trattino basso), possiamo scegliere tra 26 + 26 + 10 + 3 = 65 caratteri. Supponiamo ancora che il primo carattere non possa essere il punto.
Bene, le possibili combinazioni di 8 caratteri sono: 64 x 65 x 65 x ... x 65 (8 fattori in tutto) = 313.742.585.000.000.
Sembra un'enormità, ma occorre tener conto di due fattori.

Il primo lo riporta un articolo di CNN-Technology, che a sua volta riprende uno studio del Georgia Tech Research Institute: lo sviluppo dei video giochi ha portato a produrre schede per il calcolo grafico con una potenza di calcolo di 1 Tera-Flops, impensabile solo 10 anni fa. Quanto vale 1 Tera-Flops? semplice: 1.000.000.000.000 di operazioni al secondo. Se bastasse una sola operazione per verificare una password, saremmo a 313 secondi per provarle tutte. Non è così, ma non serve molto di più.

Il secondo fattore è che il programma utilizzato dal malintenzionato organizza le possibili password in una sorta di vocabolario, con in cima le combinazioni più ovvie, accorciando quindi ulteriormente il tempo necessario in media.

Il Georgia Tech Research Institute suggerisce allora di utilizzare password più lunghe. Portando i nostri 8 caratteri a 12, ad esempio, si arriva a 5.600.501.231.365.620.000.000 combinazioni possibili, il che porta i 313 secondi di prima a 177 anni.

Piccolo problema: le parole di almeno 12 caratteri non ovvie non sono poi tantissime. Meglio allora ricorrere alle frasi: "bastapassword", ad esempio ha già 13 caratteri. Basterà sistemare qualche maiuscola e convertire qualche lettera in numero (es.: baStapaSSw0rd), per avere una combinazione sufficientemente complicata ma ancora semplice da ricordare.
Però non usate proprio questa! È possibile che, una volta pubblicata come possibile password, finisca nel famoso vocabolario.

Naturalmente vale il solito suggerimento di non utilizzare combinazioni ovvie, tipo: porzioni dell'account, nomi propri di persona, colori.
Date un'occhiata all'immagine: riporta alcune delle combinazioni che Twitter rifiuta come password. Brillano: "password", "password1", "password12" e "password123". Ma anche: "qwertyui" (da dove arriva?), "toyota" e "mercedes". Per non dimenticare "jennifer", "samantha" e "sexsex".

Buona domenica.

[Tutti i post su webberie.]

La URL per il Trackback di questo messaggio è:
https://gold.libero.it/elaborando/trackback.php?msg=9180222

I blog che hanno inviato un Trackback a questo messaggio:
Nessun trackback

 
Commenti al Post:
massimocoppa
massimocoppa il 22/08/10 alle 10:32 via WEB
grazie per averci fornito ulteriori elementi di inquietudine...
 
 
tanksgodisfriday
tanksgodisfriday il 22/08/10 alle 18:06 via WEB
Ma no, basta allungare un po' le nostre password, ed evitare quelle banali.
Altro esempio di password pericolosa: le date. Sono numeri di sei cifre (oppure 8, se si indica l'anno per esteso), ad esempio la mia data di nascita è 270652. Ma le prime quattro cifre possono assumere solo 366 configurazioni diverse, e l'arco di anni interessante arriverà al massimo a 70 anni. Quindi non più di 25.620 (366 x 70) configurazioni differenti.
Poco sicuro, mai usare le date, almeno non da sole.
 
Utente non iscritto alla Community di Libero
peppe il 23/08/10 alle 07:09 via WEB
beh, stai descrivendo un attacco mirato a individuare la password in chiaro avendo a disposizione la password "cifrata" (un digest). solitamente gli attacchi a forza bruta non hanno a disposizione la pass cifrata, quindi il malintenzionato deve provare le varie pass del dizionario sul sistema di autenticazione del servizio, che dovrebbe ragionevolmente disabilitare automaticamente l'account dopo un certo numero di tentativi falliti. un consiglio che mi sembra importante e' di configurare il browser a comunicare con la pagina di autenticazione in https. Libero lo fa di default. con altri bisogna scegliere esplicitamente. per esempio hotmail.com ha un link "Use enhanced security (SSL) / Usa protezione avanzata (SSL)" in fondo alla pagina per decidere il tipo di accesso (una volta per tutte: il tipo di autenticazione viene scritto in un cookie). ciao peppe
 
 
tanksgodisfriday
tanksgodisfriday il 23/08/10 alle 08:52 via WEB
Hai perfettamente ragione, è impraticabile provare in linea tutte le combinazioni possibili di 8 caratteri. Il rischio maggiore rimane legato ancora all'ovvietà della password.
Direi che non guasta, allora, passare ad almeno 12 caratteri, giocando su "MAIU-minu-scole" e "c1fr3--v4r1e" :-)))
p.
 
an520
an520 il 23/08/10 alle 10:01 via WEB
grazie,PASQUALE,da quel ke dici deduco ke la mia me la rubano,se vogliono.. ma per ora non è successo..8 cifre le ha...
 
 
tanksgodisfriday
tanksgodisfriday il 23/08/10 alle 10:40 via WEB
Anche se non è poi così semplice rubarla, meglio cambiarla con una un po' meno ovvia.
E poi è meglio non lasciare indizi!
 
Utente non iscritto alla Community di Libero
Mario il 23/08/10 alle 11:03 via WEB
Meglio anche aggiungere dei segni di punteggiatura, per rendere la password più difficile da indovinare.
 
 
tanksgodisfriday
tanksgodisfriday il 23/08/10 alle 11:13 via WEB
Si!
 
elena.sidoli0
elena.sidoli0 il 27/08/10 alle 14:16 via WEB
ti hanno linkato sulla hp di Libero! complimenti!! :-)
 
maulinux
maulinux il 27/08/10 alle 14:38 via WEB
C'è il fattore tempo, che rende la vita un po' più complicata agli hacker e ci fa stare un po' più tranquilli. Mi spiego meglio: è improbabile che un sistema consenta di sbagliare così tante volte la password in un periodo così breve di tempo. Supponendo che sia consentito sbagliare la password 10.000 volte al giorno, l'hacker dovrebbe attendere il giorno successivo per fare altri 10.000 tentativi. Servirebbero 31.374.258.500 giorni per tovare la password (sperando che non venga mai cambiata nel frattempo!) Tempo fa si trovava facilmente in rete qualche programmino con già un dizionario di parole incluso...
 
Utente non iscritto alla Community di Libero
Bimbo74 il 27/08/10 alle 16:26 via WEB
A titolo info questa password "cassata" da Twitter "qwertyui" (da dove arriva?) sono semplicemente le prime 8 lettere in alto a sinistra di una tastiera "qwerty" appunto ;-)
 
Utente non iscritto alla Community di Libero
franci il 29/08/10 alle 19:16 via WEB
una password di quindici lettere quanto tempo impiegherebbe un PC per scoprirla?
 
 
tanksgodisfriday
tanksgodisfriday il 30/08/10 alle 07:42 via WEB
Con le stesse premesse scritte nel post (65 caratteri possibili per ogni posizione, 64 per la prima, scheda grafica da 1 Tera-Flops, una sola operazione per ogni combinazione), ci verrebbe la bellezza di 48.770.854 di anni.
Sempre che la password non sia:
- 111111111111111, oppure
- 123456789012345, oppure
- aaaaaaaaaaaaaaa, o roba così,
perché in questo caso basta molto, ma molto meno.
Il punto è: password non banali e abbastanza lunghe, senza esagerare in lunghezza e originalità :-)
 
Gli Ospiti sono gli utenti non iscritti alla Community di Libero.
 

Area personale

 

Ultimi commenti

Grazie, Maria! Un abbraccio.
Inviato da: tanksgodisfriday
il 17/01/2023 alle 18:30
 
Visitato il nuovo sito. Come sempre interessante e...
Inviato da: Fajr
il 17/01/2023 alle 17:14
 
Ho visitato il sito, è carino....peccato che non si può...
Inviato da: Mr.Loto
il 07/01/2023 alle 18:09
 
In realtà, "mi tawa" significa "io mi...
Inviato da: Marco Rossi
il 18/08/2019 alle 21:27
 
Tanti auguri di buone feste da kepago
Inviato da: amandaclark82
il 30/12/2016 alle 15:48
 
 

Translate!

 

Ultime visite al Blog

ossimoratanksgodisfridaycassetta2Fajrdue.pifupietrosparusolazzqqjigendaisukegiannigarzottocatone6565lilith_0404pavpaoCinziaBlackgore
 
 

networkedblogs.com

 
 

© Italiaonline S.p.A. 2024Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963