Elsa Pili

Password č la pių diffusa tra le password

Pubblicata una classifica con le 25 parole segrete pių usate (e dunque inefficaci) del Web. I consigli per sceglierle meglio non mancano

Roma - Che le password siano un problema per molti utenti non è notizia. Le cattive abitudini, comunque, sono dure a morire: esattamente come l'anno scorso, anche quest'anno la classifica delle peggiori scelte degli utenti vede le inimmaginabili "123456" e "12345678" sul podio. Anche se al primo posto rimane "password".

La classifica è stata realizzata da SplashData, estrapolando i dati dai "depositi di password" prodotti dagli hacker.

In Rete ci sono, comunque, diverse liste di buoni consigli per rendere sicura la propria password (e possibilmente non dimenticarla). (E.P.)
Notizie collegate
  • AttualitàUn, due, tre, password!Pubblicato uno studio statunitense che ha preso l'iniziativa dopo l'attacco di un cracker al sito Rockyou. Su 32 milioni di parole chiave svelate, i primi tre posti sono occupati da semplici cifre in sequenza
  • Digital LifePassword, le cattive abitudiniAnalisi effettuate sulle password rubate a Sony e Gawker confermano la noncuranza degli utenti nello scegliere le proprie credenziali. Troppo semplici da indovinare
55 Commenti alla Notizia Password č la pių diffusa tra le password
Ordina
  • la pas che si usa x ogni sito deve essere sempre diversa non riesco mai a ricordare
    non+autenticato
  • Clicca per vedere le dimensioni originali

    In 20 anni di sforzi, siamo riusciti a istruire tutti quanti a usare password difficili da ricordare per gli umani, ma facili da indovinare per i computer.
    Funz
    11673
  • Folcloristico ed errato.
    non+autenticato
  • In realtà ha ragione: quando la password non è una sola parola facile da indovinare, e contiene caratteri non alfabetici (anche solo spazi), l'unico modo sicuro per crackarla è il sistema a forza bruta: e, in tal caso, il tempo che occorre per provare tutte le combinazioni dipende dalla lunghezza della password, e non dalla sua complessità.
    non+autenticato
  • non è così. A parte il tempo necessario per trovare la giusta combinazione di caratteri, che con i pc di oggi potrebbe non essere così elevato, bisogna aggiungere il blocco dell'utenza. Non sto parlando di esercizio di stile nel chi ha la password più bella e in quanto tempo una combinazione casuale di caratteri può essere scoperta, ma di accedere con una utenza tentando di indovinare la password (e lo username). Con una password di 12 caratteri alfanumerici, con caratteri speciali, punteggiatura, maiuscole e minuscole ed utenza bloccata al terzo tentativo di accesso sbagliato, riuscire ad indovinare l'accesso è come vincere una lotteria (una super lotteria).
    non+autenticato
  • Se la matematica non è un'opinione:

    per una sequenza di 12 caratteri scelti tra i 96 disponibili (da 32 a 127, tolgo i caratteri speciali e quelli che potrebbero dare problemi con tastiere diverse) le combinazioni sono 96^12 = 612709757329767363772416 =~ 6 * 10^23.

    per 28 caratteri scelti tra possibili 27 (l'esempio di xkcd, contando gli spazi e con solo lettere minuscole) le combinazioni sono 27^28 = 11972515182562019788602740026717047105681 =~ 10^40

    Poi, che scegliendo parole sensate le combinazioni siano in realtà molte ma molte di meno, ok...
    Ad esempio in italiano, prendendo 10^5 vocaboli, (ma potrebbero essere molti di più contando le possibili variazioni/coniugazioni, etc)
    con 4 parole si avrebbero 10^20 combinazioni, con 5 già 10^25...

    Si potrebbe anche scegliere password ancora più lunghe... (oltre che parole in diverse lingue).
    non+autenticato
  • e lo dici a me?!?
    E perchè eliminare tutti gli speciali, lasciane pure un po'. E perchè mai scegliere tra parole sensate? Una password non deve essere una parola sensata.
    Arrivando al succo, ed xkcd aparte, cosa intendi dire? Volevi rafforzare il mio commento?
    Quante probabilità di riuscita ci sono di indovinare una password di 12 caratteri alfanumerici, con caratteri speciali, punteggiatura, maiuscole e minuscole ed utenza bloccata al terzo tentativo di accesso sbagliato?
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > e lo dici a me?!?
    > E perchè eliminare tutti gli speciali, lasciane
    > pure un po'. E perchè mai scegliere tra parole
    > sensate? Una password non deve essere una parola
    > sensata.

    Ok. Non era questo il punto, tutto era basato sulla vignetta di xkcd...

    > Arrivando al succo, ed xkcd aparte, cosa intendi
    > dire? Volevi rafforzare il mio
    > commento?
    > Quante probabilità di riuscita ci sono di
    > indovinare una password di 12 caratteri
    > alfanumerici, con caratteri speciali,
    > punteggiatura, maiuscole e minuscole ed utenza
    > bloccata al terzo tentativo di accesso
    > sbagliato?

    È ovvio che le probabilità sono infinitesime, non sto neanche a calcolarle, non ha senso...
    Ma il punto è: sei in grado di ricordarti una password del genere o la devi scrivere da qualche parte?
    Se usi una qualche applicazione che gestisce le password complicate ok, ma se per accedervi utilizzi una password molto più semplice...

    Xkcd voleva dimostrare che si possono "costruire" password efficaci (difficili da indovinare con i metodi brute force) ma facili da ricordare (per l'uomo). Se non sei d'accordo su questo, pace... Tutto il resto è ok...
    non+autenticato
  • - Scritto da: pignolo
    > Se usi una qualche applicazione che gestisce le
    > password complicate ok, ma se per accedervi
    > utilizzi una password molto più
    > semplice...
    >

    keepass su ogni dispositivo. Le mie passwords che conosco saranno 3 o 4. le altre non so nemmeno quali siano. Nemmeno sotto tortura potrei rivelarle!

    > Xkcd voleva dimostrare che si possono "costruire"
    > password efficaci (difficili da indovinare con i
    > metodi brute force) ma facili da ricordare (per
    > l'uomo). Se non sei d'accordo su questo, pace...
    > Tutto il resto è
    > ok...

    sono abbastanza d'accordo, nel senso che è vero che si possono avere password efficaci e facili da ricordare. Ma quando hai una password diversa per ogni accesso e la devi cambiare ogni 40 giorni torna ad essere difficile ricordarsele tutte.
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > keepass su ogni dispositivo. Le mie passwords che
    > conosco saranno 3 o 4. le altre non so nemmeno
    > quali siano. Nemmeno sotto tortura potrei
    > rivelarle!

    ovviamente su keepass password alfanumerica con punteggiatura, caratteri speciali e maiuscole in combinazione con key file. E per gli accounts "caldi" otp (se possibile).
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > non è così. A parte il tempo necessario per
    > trovare la giusta combinazione di caratteri, che
    > con i pc di oggi potrebbe non essere così
    > elevato, bisogna aggiungere il blocco
    > dell'utenza.

    Certo, ma il blocco dell'utenza non è sempre applicabile.
    Pensa al bancomat: sul bancomat c'è... e basta una password con solo 5 cifre numeriche, per avere una buona protezione.

    Ma se io sto cercando di mettere una password per cifrare un documento (o un file compresso), chi vuole craccarlo ha il file sul suo computer: se mette la password giusta ottiene l'accesso, altrimenti non riesce a decifrarlo e ottiene solo bit senza senso. Tuttavia, ha a disposizione infiniti tentativi per risolverlo (e, grazie ai sistemi di checksum, può accorgersi quando ha azzeccato la password giusta)

    L'unico modo per evitare che riesca a cifrare il documento è togliere la possibilità di scoprire se hai indovinato la password o no.

    Mi spiego meglio: mettiamo che tu mi abbia fatto una domanda importante, la cui risposta può essere solo sì o no; io ti mando la risposta cifrata, con un semplice cifrario monoalfabetici (a numero uguale corrisponde lettera uguale)

    La mia risposta è "42".

    Puoi decifrarla? Anche usando un sistema a forza bruta, le combinazioni possibili sono poche... ma non sai qual'è quella giusta.
    Se al 4 corrisponde "s", e al 2 corrisponde la "ì", hai risolto la cifratura, e sai che la mia risposta è "sì".
    Ma se al 4 corrispondesse la "n", ed al 2 corrispondesse la "o"? La mia risposta sarebbe "no"... e tu non puoi sapere quale dei due sistemi di cifratura è quello giusto. E per tirare a indovinare... tanto vale che tu ignori il mio messaggio, e tiri a indovinare la risposta (le probabilità sono le stesse)
    non+autenticato
  • - Scritto da: uno qualsiasi

    > L'unico modo per evitare che riesca a cifrare il
    > documento è togliere la possibilità di scoprire
    > se hai indovinato la password o
    > no.
    >
    > Mi spiego meglio: mettiamo che tu mi abbia fatto
    > una domanda importante, la cui risposta può
    > essere solo sì o no; io ti mando la risposta
    > cifrata, con un semplice cifrario monoalfabetici
    > (a numero uguale corrisponde lettera
    > uguale)
    >
    > La mia risposta è "42".
    >
    > Puoi decifrarla? Anche usando un sistema a forza
    > bruta, le combinazioni possibili sono poche... ma
    > non sai qual'è quella
    > giusta.
    > Se al 4 corrisponde "s", e al 2 corrisponde la
    > "ì", hai risolto la cifratura, e sai che la mia
    > risposta è
    > "sì".
    > Ma se al 4 corrispondesse la "n", ed al 2
    > corrispondesse la "o"? La mia risposta sarebbe
    > "no"... e tu non puoi sapere quale dei due
    > sistemi di cifratura è quello giusto. E per
    > tirare a indovinare... tanto vale che tu ignori
    > il mio messaggio, e tiri a indovinare la risposta
    > (le probabilità sono le
    > stesse)

    L'esempio che hai fatto funziona bene perché è, in pratica, l'applicazione del cifrario di Vernam, ossia una chiave (nel tuo caso una sostituzione lettera-numero, ma cambia poco) lunga quanto il testo da decifrare. Questo sistema è inattaccabile, a patto di non conoscere la chiave...
    non+autenticato
  • Anche secondo me sono statistiche falsate, ma per un altro motivo.

    Sono costretto a registrarmi ad una marea di siti inutili che non contengono nessuna informazione personale (tipo commenti non aperti in un sito, registrazione per un giochino scemo, testare un servizio web che non so se userò, pr0n, etc)
    Per tutti questi siti "minori", uso sempre fondamentalmente la stessa password, facile da ricordare. Per il semplice motivo che non me ne frega nulla se qualcuno "entra" in quell'account! Non c'è niente dentro!

    Invece per i siti "importanti" per via delle informazioni o perchè ci transitano soldi (emails, Facebook, Steam, etc etc), uso password complesse.

    Quindi ecco perchè le statistiche sono falsate! Nel mio caso il 90% delle password che uso sono facilmente intuibili!
    Ma ciò non influisce sulla protezione dei miei dati personali! Occhiolino
    non+autenticato
  • - Scritto da: Joliet Jake
    > Sono costretto a registrarmi ad una marea di siti
    > inutili che non contengono nessuna informazione
    > personale (tipo commenti non aperti in un sito,
    > registrazione per un giochino scemo, testare un
    > servizio web che non so se userò, pr0n,
    > etc)

    Se i siti sono inutili, chi ti costringe?

    > Per tutti questi siti "minori", uso sempre
    > fondamentalmente la stessa password, facile da
    > ricordare. Per il semplice motivo che non me ne
    > frega nulla se qualcuno "entra" in quell'account!
    > Non c'è niente
    > dentro!
    >

    sarebbe meglio usare comunque passwords sicure

    > Invece per i siti "importanti" per via delle
    > informazioni o perchè ci transitano soldi
    > (emails, Facebook, Steam, etc etc), uso password
    > complesse.
    >

    e fai bene.

    > Quindi ecco perchè le statistiche sono falsate!
    > Nel mio caso il 90% delle password che uso sono
    > facilmente
    > intuibili!
    > Ma ciò non influisce sulla protezione dei miei
    > dati personali!
    >Occhiolino

    non influisce sui tuoi dati personali, ma magari sì sulle statistiche.

    E usare una applicazione/manager di passwords sicure a casuali?
    non+autenticato
  • "Se i siti sono inutili, chi ti costringe?"
    Perchè magari voglio ad esempio lasciare un commento in un forum o simili.

    "sarebbe meglio usare comunque passwords sicure"
    Perchè? Cos'ho da perdere? Se "rubano" laccount, ne faccio un altro (sempre con le mail usa e getta tipo Mailinator...)

    "non influisce sui tuoi dati personali, ma magari sì sulle statistiche."
    E infatti è il senso del mio post! Sorride

    "E usare una applicazione/manager di passwords sicure a casuali?"
    Quella potrebbe essere utile appunto per i siti "importanti", ma per gli altri è una perdita di tempo.
    non+autenticato
  • - Scritto da: Joliet Jake
    > "E usare una applicazione/manager di passwords
    > sicure a
    > casuali?"
    > Quella potrebbe essere utile appunto per i siti
    > "importanti", ma per gli altri è una perdita di
    > tempo.

    può essere. Non essendo iscritto a nessun sito inutile, non lo so. Io la utilizzerei anche per i siti inutili. Sarà "deformazione professionale".
    non+autenticato
  • - Scritto da: Joliet Jake
    > Anche secondo me sono statistiche falsate, ma per
    > un altro
    > motivo.

    Già! Faccio esattamente lo stesso e mi pare ovvio.
    non+autenticato
  • ...nessuno ha ancora pensato a qwertyuiop...

    Che io sia l'unico ad usarla? Rotola dal ridere
    non+autenticato
  • La statistica è plausibile, infatti molta gente usa password semplicissime e legate ai propri dati personali: date di nascita, nomi di parenti ecc...

    Però ritengo che questa statistica sia falsata.
    Mi spiego: i dati provengono da archivi che vari hacker hanno già bucato, quindi si presume che siano password di per sè semplici.
    Non è una statistica riferita alle password in genere, ma solo a quelle che vengono bucate.

    Sarebbe come dire "la maggior parte della gente usa lucchetti mod. xyz", che sono anche i più facilmente scassinabili".
    Ma in realtà si dovrebbe dire "la maggior parte dei lucchetti scassinati è del mod. xyz" che non implica che la maggior parte della gente usa lucchetti mod. xyz.

    Nicola
  • - Scritto da: ottomano
    > La statistica è plausibile, infatti molta gente
    > usa password semplicissime e legate ai propri
    > dati personali: date di nascita, nomi di parenti
    > ecc...
    >
    > Però ritengo che questa statistica sia falsata.
    > Mi spiego: i dati provengono da archivi che vari
    > hacker hanno già bucato, quindi si presume che
    > siano password di per sè
    > semplici.
    > Non è una statistica riferita alle password in
    > genere, ma solo a quelle che vengono
    > bucate.
    >
    > Sarebbe come dire "la maggior parte della gente
    > usa lucchetti mod. xyz", che sono anche i più
    > facilmente
    > scassinabili".
    > Ma in realtà si dovrebbe dire "la maggior parte
    > dei lucchetti scassinati è del mod. xyz" che non
    > implica che la maggior parte della gente usa
    > lucchetti mod.
    > xyz.
    >
    > Nicola

    Quoto.
    E' a stessa cosa che volevo dire io
    non+autenticato
  • falsata, forse, ma molto realistica. Chi ha accesso a db di password sa quante password banali siano utilizzate.
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > falsata, forse, ma molto realistica. Chi ha
    > accesso a db di password sa quante password
    > banali siano
    > utilizzate.

    Si ma la statistica parla di password trovate... quindi mi sembra normale che in prima posizione ci sia "password"... ma cio' non vuol dire che sia la più diffusa ma semplicemente la piu' facile da trovare
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione

    > La più diffusa è
    > Aºãd£$9(/éçà+CCwe}~Ç?

    Accidenti a te! Adesso mi toccherà cambiare password...Occhiolino
    non+autenticato
  • - Scritto da: pignolo
    > - Scritto da: unaDuraLezione
    >
    > > La più diffusa è
    > >
    > Aºãd£$9(/éçà+CCwe}~Ç?
    >
    > Accidenti a te! Adesso mi toccherà cambiare
    > password...
    >Occhiolino

    Wow! Sono entrato nell'account di panda rossa!
    Che scherzo potrei combinargli?
  • - Scritto da: sbrotfl
    > - Scritto da: mcmcmcmcmc

    > Si ma la statistica parla di password trovate...
    > quindi mi sembra normale che in prima posizione
    > ci sia "password"... ma cio' non vuol dire che
    > sia la più diffusa ma semplicemente la piu'
    > facile da
    > trovare

    statisticamente:
    una password fatta bene è difficile da imbroccare, ed è difficile che si trovino tante passwords fatte bene uguali tra loro. Per cui, se password è la più trovata tra quelle banali, è per forza di cose la più diffusa.
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > falsata, forse, ma molto realistica. Chi ha
    > accesso a db di password sa quante password
    > banali siano
    > utilizzate.

    Chi ha accesso ai db di password dove le password sono memorizzate in chiaro allora e' un servizio inutile.

    In uno dei server che amministro c'e' una mezza milionata di account, con tanto di password.
    Criptate in modo forte.

    Se nel 2011 ci sono ancora in giro sistemi che memorizzano le password in chiaro, poveri noi.
  • - Scritto da: panda rossa
    > - Scritto da: mcmcmcmcmc
    > > falsata, forse, ma molto realistica. Chi ha
    > > accesso a db di password sa quante password
    > > banali siano
    > > utilizzate.
    >
    > Chi ha accesso ai db di password dove le password
    > sono memorizzate in chiaro allora e' un servizio
    > inutile.
    >
    > In uno dei server che amministro c'e' una mezza
    > milionata di account, con tanto di
    > password.
    > Criptate in modo forte.
    >
    > Se nel 2011 ci sono ancora in giro sistemi che
    > memorizzano le password in chiaro, poveri
    > noi.

    Sono d'accordo con te ma... chi ci assicura di come vengono criptate le password dei servizi online a cui siamo registrati?
    In questo caso, anche se usassero software open source non cambierebbe niente perché potrebbero sempre cambiare il codice...

    L'unica è usare una password diversa per ogni sito ma... secondo te, quanti lo fanno?
    non+autenticato
  • contenuto non disponibile
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)