Comunque ho risolto il problema delle password. Boom, definitivo. Niente gestori di password, niente foglietti sparsi per casa, niente file (sicurissimi 🤣) dai nomi improbabili... Tutto dint'a capa!
E potete risolverlo anche voi. Sul serio. Ora vi dico come.
Prendete l'URL della pagina di login. Giusto la parte principale: nome e dominio (es.: poliverso.org). Ecco qua, avete tutti gli ingredienti.
Ora dovete inventarvi una ricetta. E questa è la parte divertente (e importante).
La vostra ricetta deve produrre una stringa non troppo corta e non troppo lunga (diciamo 10-15 caratteri), che contenga minuscole, maiuscole, numeri e almeno un carattere speciale (punteggiatura e trattini sono i più sicuri, non le barre o altri caratteri che qualche sito non accetta).
E allora, sbizzarritevi! Volete partire dal numero di caratteri dell'URL? Ok, magari aggiungendo o sottraendo un numero fisso? Scritto in numero, in lettere, o in quale lingua? Con delle maiuscole... messe dove? Stessa regola per tutti i numeri o variabile a seconda del numero?... Volete partire da alcune lettere in posti precisi dell'URL? Ottimo, spostandosi magari lungo l'alfabeto però, decidendo un ordine... Qualche carattere extra, deciso in base a...?
Come vedete, lavorando di fantasia le potenzialità diventano infinite ed è virtualmente impossibile risalire dall'URL alla vostra password senza conoscere le vostre regole.
Qualche suggerimento importante:
1) regole "speciali" ma semplici da ricordare per voi
2) regole sequenziali, cioè fatte in modo che possiate scrivere un pezzetto per volta senza dover inserire caratteri nella parte già scritta
3) testate le vostre regole su tanti URL diversi per controllare che le password generate siano coerenti come numero di caratteri ma abbiano varietà
4) se volete, appuntatevi qualche indizio per ricordare le regole (ma possibilmente non le regole stesse)
E potete risolverlo anche voi. Sul serio. Ora vi dico come.
Prendete l'URL della pagina di login. Giusto la parte principale: nome e dominio (es.: poliverso.org). Ecco qua, avete tutti gli ingredienti.
Ora dovete inventarvi una ricetta. E questa è la parte divertente (e importante).
La vostra ricetta deve produrre una stringa non troppo corta e non troppo lunga (diciamo 10-15 caratteri), che contenga minuscole, maiuscole, numeri e almeno un carattere speciale (punteggiatura e trattini sono i più sicuri, non le barre o altri caratteri che qualche sito non accetta).
E allora, sbizzarritevi! Volete partire dal numero di caratteri dell'URL? Ok, magari aggiungendo o sottraendo un numero fisso? Scritto in numero, in lettere, o in quale lingua? Con delle maiuscole... messe dove? Stessa regola per tutti i numeri o variabile a seconda del numero?... Volete partire da alcune lettere in posti precisi dell'URL? Ottimo, spostandosi magari lungo l'alfabeto però, decidendo un ordine... Qualche carattere extra, deciso in base a...?
Come vedete, lavorando di fantasia le potenzialità diventano infinite ed è virtualmente impossibile risalire dall'URL alla vostra password senza conoscere le vostre regole.
Qualche suggerimento importante:
1) regole "speciali" ma semplici da ricordare per voi
2) regole sequenziali, cioè fatte in modo che possiate scrivere un pezzetto per volta senza dover inserire caratteri nella parte già scritta
3) testate le vostre regole su tanti URL diversi per controllare che le password generate siano coerenti come numero di caratteri ma abbiano varietà
4) se volete, appuntatevi qualche indizio per ricordare le regole (ma possibilmente non le regole stesse)
reshared this
Max 🇪🇺🇮🇹
in reply to Tiziano :friendica: • — (Firenze) •@Tiziano :friendica:
E poi, quando dopo qualche mese il sito ti dice che devi cambiare la password?
Devi inventare una regola nuova.
Secondo me nel giro di un paio d'anni devi ricordarti così tante regole che sei punto e a capo.
E comunque anche dover applicare (oltre che ricordare) una regola complicata (perché per essere sicure devono essere complicate) ogni volta che vuoi accedere ad un sito mi sembra un bel dispendio di energie.
Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Max 🇪🇺🇮🇹
in reply to Tiziano • •@Tiziano @Tiziano :friendica:
Ma io non penso che il password manager del browser possa essere più sicuro di un software che faccia solo il password manager.
È vero che un hacker che vuole rubare password ci prova sul server di un password manager, non sul PC di un privato, perché lì può trovarne molte di più ma è anche vero che il server di un password manager tendenzialmente ha un livello di sicurezza molto più alto di quello che ha un PC privato.
Insomma...confrontare i livelli di rischio di queste due scelte mi sembra parecchio arduo.
Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Sì verissimo, ma la sicurezza non era il mio focus principale. Come ho scritto, ero stufo di richiedere le password di tutti i siti. Già che c'ero, ho inventato un metodo che mi permettesse anche di non dovermele annotare (il password manager più sicuro sono i foglietti, ma tanto li perdo). E il fatto di salvarle sul browser dipende dal mio personale compromesso tra comodità e sicurezza (potrei anche decidere di calcolarmi ogni volta la password... prima o poi alcune le ricorderei pure)
informapirata ⁂
in reply to Max 🇪🇺🇮🇹 • • •@max se un sito/servizio ti chiede di cambiare la password, è un sito di merda gestito da un it manager che al massimo ha preso l'ECDL alla scuola serale 🤣
@tizianomattei
reshared this
ricci e Marco Bresciani reshared this.
Max 🇪🇺🇮🇹
in reply to informapirata ⁂ • •@informapirata ⁂
Eppure quasi tutti lo fanno.
informapirata ⁂ reshared this.
informapirata ⁂
in reply to Max 🇪🇺🇮🇹 • • •Ivan Bk
in reply to informapirata ⁂ • • •informapirata ⁂ reshared this.
Marco Bresciani
in reply to Ivan Bk • • •Uhm... io cambierei banca.
@informapirata @max @tizianomattei
informapirata ⁂ reshared this.
La Ba
in reply to informapirata ⁂ • • •informapirata ⁂
in reply to La Ba • • •@BarbaraF Deve essere chiaro che qualsiasi operazione non necessaria e che non aggiunge sicurezza e per forza di cose oun'operazione che diminuisce la sicurezza. Il cambio della password non aggiunge mai sicurezza a meno che il sistema non sia già di per sé insicuro. In tal caso l'aggiunta di sicurezza è irrilevante rispetto alla insicurezza del sistema
@max @tizianomattei
La Ba
in reply to informapirata ⁂ • • •@informapirata @max si, certo, però credo che in un'azienda complessa dove esistono molte password diverse per sistemi diversi, imporre tutti questi cambi password secondo me si traduce nella proliferazione di posti impropri in cui vengono conservate
E poi finisce che leggi circolari in cui si ricorda ai dipendenti che non devono mettere sullo SharePoint aziendale documenti che contengano password
reshared this
informapirata ⁂ e Sabrina Web 📎 reshared this.
nicolaottomano
in reply to informapirata ⁂ • • •@informapirata
Io ho il mio "algoritmo" mentale che ha anche la gestione del cambio password.
Il problema è che ormai sono arrivato ad avere qualcosa come 600 (seicento!) password diverse per vari servizi, applicazioni, siti, forum e quant'altro.
Alla fine un buon password manager è la soluzione più comoda e sicura al momento.
@max @tizianomattei
informapirata ⁂ reshared this.
El Salvador
in reply to informapirata ⁂ • • •informapirata ⁂ reshared this.
ricci
in reply to Tiziano :friendica: • • •1/3
ricci
in reply to ricci • • •In pratica ti sei inventato la tua personale key derivation function di scarsa qualità, che opera su un input pubblico. È "security through obscurity".
2/3
ricci
in reply to ricci • • •Potrebbe interessarti questo xkcd.com/936/.
Il metodo proposto consiste nella scelta totalmente casuale di un certo numero di parole da una lista che può anche essere pubblica. Il risultato è una password sia sicura che facile da ricordare.
explainxkcd.com/wiki/index.php…
C'è un programma che implementa questo metodo (anche con parole italiane): github.com/redacted/XKCD-passw….
Io comunque preferisco i password manager (offline) o le chiavi hardware, per i siti che le supportano.
3/3
GitHub - redacted/XKCD-password-generator: Generate secure multiword passwords/passphrases, inspired by XKCD
GitHubNicola
in reply to Tiziano :friendica: • • •Tutto molto bello, ma come fai a rinunciare alle funzionalità di un password manager?
- Generazione automatica di password e passphrase sicure e casuali senza algoritmi.
- Devi ricordare una sola password principale.
- Compilazione automatica dei campi di accesso.
- Auto‑type programmabile per gestire login complessi a più passaggi.
- Generazione dei codici 2FA.
- Avvisi per la scadenza delle password.
- Possibilità di salvare altre informazioni legate a un sito: codice cliente, codici di backup 2FA, chiavi SSH, ecc.
Io uso questo, te lo consiglio: keepassxc.org/
KeePassXC Password Manager
keepassxc.orgMax 🇪🇺🇮🇹 likes this.
ildave
in reply to Tiziano :friendica: • • •ricci
in reply to ildave • • •E poi ti serve una CPU per calcolare l'hash, a questo punto conviene un password manager.
Marco Bresciani
in reply to Tiziano :friendica: • • •🤦🏻♂️
No.
Ci sono passato anche io, tanti anni fa.
No.
Password manager.
Password diverse, illeggibili e non ricordabili per ogni sito.
Lunghe 20-25 caratteri o 4-5 parole (Cfr. it.m.wikipedia.org/wiki/Dicewa…).
Password più complessa ma ricordabile (Diceware, 7-8 parole) per il password manager stesso.
Se, invece, vuoi proprio proprio (ma vuoi proprio?!) andare verso la strada delle regole, almeno usa LessPass (Cfr. github.com/lesspass/lesspass/) o simili generatori di password senza stati.
GitHub - lesspass/lesspass: :key: stateless open source password manager
GitHubSabrina Web 📎
in reply to Marco Bresciani • • •Sabrina Web 📎
in reply to Sabrina Web 📎 • • •Marco Bresciani
in reply to Sabrina Web 📎 • • •Di solito funzionano: non fanno copia-incolla ma scrivono nel campo.
@tizianomattei
Giovanni
in reply to Tiziano :friendica: • • •Il problema principale, a mio avviso, sono i siti che non implementano 2FA con TOTP