Re: [ml] standard creazione password

Il 23/04/07, rino lo turco<rino@xxxxxxxxxx> ha scritto:
> Spank ha scritto:
> > Il 15/04/07, Davide Denicolo<davide@xxxxxxxxxxxxxxxxx> ha scritto:
> >> 3) cambio della stessa ogni N giorni ( dove N dovrebbe essere in genere
> >> minore dei giorni necessari ad effettuare un brute forcing della
> >> password )
> >
> > Una piccola nota: qualche tempo fa ho letto un documento, che non
> > riesco più a trovare, in cui spiegava che attualmente, con le
> > tecnologie che ci sono ora in giro, cambiare password regolarmente può
> > rivelarsi addirittura controproducente.
> assurdo! mi domando su quali reali basi si possano fare simili affermazioni.

E' il motivo per cui sto tuttora cercando questo cappero di articolo...
Il problema e' che non mi riesce di ricordare proprio dove l'ho letto...

> > Personalmente cambiare la
> > password ad intervalli (regolari o meno) non ritengo porti un
> > significativo aumento di sicurezza: ormai quasi tutti i provider di
> > posta e i siti che trattano informazioni personali usano la
> > crittografia asimmetrica almeno a 1024 bit (vedi per dire il primo che
> > mi viene in mente, meebo), la quale richiede, per essere forzata,
> > tempi decisamente improponibili... Stare a cambiare la password, a
> > parte quella iniziale, non mi pare sia un gran guadagno. Anche perchè,
> > ripeto, il tempo di brute forcing di una password crittografata a 1024
> > bit o più è dell'ordine di anni.
> >
> peccato che:
> 1) esiste una legge, che finchè non viene modificata va  rispettata e
> non solo per le eventuali conseguenze penali ma anche per le conseguenze
> civili in tema di danno.

Questa mi mancava... non sapevo che cambiare la pwd regolarmente fosse
imposto per legge... buono a sapersi...

>  2) in tema di sicurezza e sopra tutto nell'ambito dell'intercettazione
> della pwd non esiste solo il lato prettamente informatico ma anche
> l'aspetto umano.
> il social engineering è il sistema di gran lunga più utilizzato per
> intercettare informazioni "riservate". Credo non sia necessario spiegare
> la continua commistiona tra mondo analogico e digitale ma parlare di
> sicurezza dimenticoando cio' è un gravissimo errore.
Non avevo alcuna intenzione di tralasciare il social engineering...
anzi, da un certo punto di vista, volendo fare i paranoici, non serve
a nulla cambiare la pwd... un malintenzionato potrebbe benissimo
filmarti dalla finestra mentre digiti la tua pwd e trovarla in quel
modo... :)
E' un po' esagerato, ma considerto che stavano sviluppando un affare
che riconosceva i tasti premuti in base al rumore, mi pare che non ci
sia da sorprendersi... :)

@Ermini:
"Non capisco a cosa tu ti stia riferendo. A quale criptazione ti
riferisci? Quella dell'HTTPS? per tua informazione lo standard oggi è
quando meno TLSv3 e criptazione a 2048 bit, tutto il resto NON è
nell'ordine degli anni (forse non hai delle fonti aggiornate...)."

No? Io sapevo che 2^1024 valori da testare non richiedano un tempo
esattamente nullo. Il mio era un esempio, mi riferivo infatti a
meebo.com che critta con RSA a 1024...


"In ogni caso, per fare il brute force di una password non devi
decriptare proprio nulla, devi "semplicemente" provare un sacco di
combinazioni - utilizzando o meno un dizionario. Ed è estremamente
utile avere una convention per le password, perché che tu la cripti a
1024 o 10240 bit, quando la indovini la indovini - non fa differenza
.-)"

Un momento, qui tu stai parlando di indovinare una pwd attraverso un
dizionario, che ppotrebbe non avere nemmeno quella pwd. E se fai un
brute force odl style, senza dizionario, provando tutte le
combinazioni, ti ci vogliono qualcosa come 70^n tentativi, con n
numero di caratteri usati. Quella e' la complessita' (sto parlando di
una attacco che provi tutte le combinazioni di maiuscole, minuscole,
cifre e caratteri speciali... forse sono anche piu' di 70...). Ora,
certo che quando la indovini la indovini, ma seriamente, piu' che un
brute force, magari ci metti molto meno ad indovinarla facendo appunto
un po' di social engineering. Il fatto e' che anche cambiandola, se
tenti di indovinarla a bruteforce ti puo' andar bene e magrai la
prendi al primo tentativo, ma in generale ci metti cmq parechcio se la
pwd e' scelta con un minimo di criterio...




---
Blackstorm
*Con due angeli ed un'amica al seguito*

Datemene uno con un browser testuale, un eroe fuori dal cinema alle tre di
notte. Datemelo che ti accompagni sempre a casa, anche se piove, anche se fa
freddo, anche se un passo più in là finisce il mondo. Datemelo che scriva
lettere belle non a me, e se poi le leggo va be', mica è colpa mia.{Angelus}

God saves. (And take only half damage.)

[ICQ #116647346]