Password complesse? Meglio le frasi, secondo l'FBI

Password complesse? Meglio le frasi, secondo l'FBI

L'FBI diffonde un comunicato in cui afferma che è meglio utilizzare frasi come password, piuttosto che password corte e complesse. Una questione di facilità di memorizzazione, ma anche di maggiore difficoltà nel craccare password lunghe

di pubblicata il , alle 18:21 nel canale Security
 
53 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
YellowT26 Febbraio 2020, 09:17 #11
Non sono un esperto di probabilità ma non sono molto d'accordo con l'fbi.
Usando la logica: password lunghe hanno entropia maggiore solo se consideriamo ogni singolo carattere.
Cosa succede se invece, per il bruteforcing, si usa un dizionario? Ogni termine conterebbe come un singolo carattere e frasi da 4-5 parole potrebbero equivalere a 4-5 caratteri di una password classica.

Sbaglio? Sarebbe così difficile creare un bruteforcing basato su dizionario?
omerook26 Febbraio 2020, 09:34 #12
A me fanno sorridere i caratteri speciali. Per noi sono uno spaccacervelli da ricordare ma per un elaboratore che attacca sono numeri come altri. Meglio le frasi magari in dialetto, escono cose da 30 caratteri facili da ricordare e li buon divertimento per l'attaccante.
biffuz26 Febbraio 2020, 09:53 #13
Conosco davvero uno che usa come password 123456 e non vuole cambiarla.
frank808526 Febbraio 2020, 10:05 #14
Sarebbe così difficile creare un bruteforcing basato su dizionario?

nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche

l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari

Conosco davvero uno che usa come password 123456 e non vuole cambiarla.

appunto chi la vuole cambiare? :xd

è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo
omerook26 Febbraio 2020, 10:17 #15
Si ma non esiste un solo dizionario al mondo . Quale usi? Poi le parole le puoi personalizzare e li non C'è dizionario al mondo che le contenga.

Ilgatttosimangialagattta

credo sia più forte della tua ma si ricorda molto facilmente
marcram26 Febbraio 2020, 10:25 #16
Originariamente inviato da: frank8085
nel caso la cosa non vi avesse ancora raggiunto...
sì più lunghezza più entropia ma c'è un ma:
un algoritmo di brute forcing potrebbe essere ottimizzato tale per cui se superati 3 caratteri (lettere) consecutive, al posto di fare brute forcing di tutte le lettere e numeri per le successive si potrebbe utilizzare parole pescate dal dizionario.
Es: questa_pwd_robusta, dopo aver letto 'que' potrebbe cominciare a scorrere in dizionario per capire che parole inizia per que e provare tutte quelle. le parole che iniziano per que sono poche comparate con il numero (62^3)/2 che sono il numero medio di test per 3 caratteri a...z A...Z 0..9
cercare di capire come ottimizzare l'algo per i caratteri speciali non è semplice ma una cosa che va fatta sicuramente è provare a fare queste sostituzioni/prove 4=a, 1=i... insomma quelle corrispondenze numeri/lettere classiche

l'unica soluzione è fare si che il carattere successivo di una pwd sia imprevedibile e certamente usare una parola di dizionario riduce notevolmente il numero di confronti necessari


appunto chi la vuole cambiare? :xd

è molto meglio una pwd del genere BfO1UyfcLK2b8KoTQJx8 piuttosto che una fatta di parole e lettere di lunghezza maggiore... non serve un genio a capirlo

Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...
La password, per forzarla, devi indovinarla tutta intera in un colpo...
Non c'è modo di sapere se ci sono tre lettere consecutive, e solo dopo decidere di usare un dizionario...
Darkon26 Febbraio 2020, 10:41 #17
Scusate ma perché usare software e casini vari quando google ha il servizio che non solo genera password complesse e in numero infinito, sempre diverse e se le ricorda per te?!

Più semplice di così...
omerook26 Febbraio 2020, 10:46 #18
Originariamente inviato da: marcram
Non credo che funzioni come nei film, che indovini una lettera alla volta e una lucetta verde ti dice che è giusta...
...


Anche perché così potrei fare i bruteforce a mano
Svelgen26 Febbraio 2020, 10:50 #19
Originariamente inviato da: biffuz
Conosco davvero uno che usa come password 123456 e non vuole cambiarla.


Fai due allora...
Io la uso per il mio conto deposito dove puoi accedere in modo definitivo solo dopo aver confermato tramite notifica push su smartphone abilitato.
Una volta dentro poi, se fossi un'hacker al massimo puoi trasferire soldi sul C/C da cui hai aperto inizialmente il conto e che non puoi cambiare se prima non ti identifichi.
Questo per dire che la password alla fine, in certi servizi serve solo per accedere al primo livello. Contano le protezioni che ci sono dopo.
frankie26 Febbraio 2020, 11:05 #20
my 2c
Certo si possono fare i bruteforce con le parole, ma trovato il problema, trovata la soluzione

Passw0rdKeyw0rdM0tdepass

Tre lingue e le parole non sono tali.
Comunque esistono anche le non parole. Cioè sequenze di grafemi o sillabe grammaticalmente legali, ma che non hanno un significato.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^