info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
password molto usate 2021-2020
33 views
Skip to first unread message
Marcoxxx
Apr 26, 2022, 1:35:52 PM4/26/22
to
Pare che alcune delle password più usate del 2021 siano tra le peggiori.
In particolare 123456 sembra la password "vincente" da vari anni.
https://tru.id/blog/10-worst-passwords-account-security-2021
e nel 2020 non pare andasse meglio
https://tecnologia.libero.it/password-classifica-2020-utilizzata-peggiore-38290
Per la verità è dal lontano 2009-2010 che mi dicevano questa
cosa (anche se all'epoca dicevano "pippo" piuttosto che "123456"), però
pare che ora qualcun altro se ne sia accorto.
E poi ti vengono a scartabellare gli zebedei perché
ci potrebbe essere l'attaccante "in the middle".
--
Questa e-mail è stata controllata per individuare virus con Avast antivirus.
https://www.avast.com/antivirus
rootkit
Apr 26, 2022, 5:26:18 PM4/26/22
to
On Tue, 26 Apr 2022 20:34:06 +0200, Incel wrote:
ù> 1) password da cambiare ogni TOT tempo: secondo me sarebbe piu' utile
> l'obbligo di cambio ogni TOT numero di utilizzi. Se una password in 3
> mesi non è mai stata utilizzata, quale sarebbe il rischio a non
> cambiarla?
in teoria, i caso di furto di credenziali la policy limita il periodo di
tempo oltre il quale il furto è vanificato.
non lo vedo utilissimo se non in caso di data breach (che comunque è un
rischio assai concreto), però sinceramente cambiarla ogni tot utilizzi mi
pare ancora più inutile.
> Mio padre, molto anziano, si trova di fatto TUTTE le poche volte che gli
> serve lo SPID, ad averlo scaduto (con tutte le perdite di tempo del
> caso, magari ti arrivasse un'email preventiva che ti avvisa che è
> scaduto, macché, te ne accorgi quanto ti serve)
a dire il vero aruba lo fa. anche se poi sta interi fine settimana con il
self care fuori servizio, ma questa è un'altra storia.
> 2) richieste assurde per le password: mix di maiuscole e minuscole, no
> dizionario (a volte nemmeno in parte) obbligo di almeno un numero,
> almeno un carattere non standard, almeno un quadribudiùlo di tù mà e non
> uguale alle ultime 10 utilizzate. Per accessi dove poi comunque c'è il
> secondo fattore (sms o token da app) quindi il furto della sola password
> serve a poco.
questo è ver... icchio. in una 2fa hai due cancelli, funziona se li tieni
chiusi tutti e due.
> Poi si chiedono perché la gente le scrive sotto la tastiera
> dell'ufficio. Vero che ci sono trucchi per generare password facilmente
> ricordabili e apparentemente difficili tipo una frase facile da
> ricordare e si prendono le iniziali e un numero a caso in fondo ma
> quando di password ne hai 50 tutte diverse e devi cambiarle ogni 3 mesi
> diventa rognoso.
si però va detto che di quelle 50 a 49 non glie ne frega niente che tu la
cambi periodicamente e la maggioranza probabilmente nemmeno impone una
policy di complessità.
> Io non uso un password manager perché non mi fido ma un
> quadernino cartaceo dove le password sono comunque crittografate con un
> banale algoritmo facilmente eseguibile a mente (ma il ladro non lo sa e
> comunque un ladro d'appartamenti di solito non si interessa alle
> password e un ladro di password di solito non entra negli appartamenti).
io preferisco un password manager. al limite locale, tipo keepass, che al
posto di un algoritmo banale ha un algoritmo coi controcazzi.
poi io uso bitwarden ma non perché mi fido ciecamente, ma perché capito
come funziona lo trovo ragionevolmente sicuro.
> Comunque spero che la "password" come sistema di autenticazione finisca
> presto. O quantomeno venga sostituito con un'unica credenziale con cui
> ti autentichi presso un ente verificatore che poi trasmette il consenso
> al singolo sito (come accade con SPID o con l'autenticazione tramite
> account google o fb)
beh su internet la larga maggioranza dei siti supportano oauth di google
e/o fb. però io sinceramente evito. trovarmi vincolato ad una piattaforma
perché altrimenti rimango fuori da mezzo internet non mi pare il
massimo...
ù> 1) password da cambiare ogni TOT tempo: secondo me sarebbe piu' utile
> l'obbligo di cambio ogni TOT numero di utilizzi. Se una password in 3
> mesi non è mai stata utilizzata, quale sarebbe il rischio a non
> cambiarla?
in teoria, i caso di furto di credenziali la policy limita il periodo di
tempo oltre il quale il furto è vanificato.
non lo vedo utilissimo se non in caso di data breach (che comunque è un
rischio assai concreto), però sinceramente cambiarla ogni tot utilizzi mi
pare ancora più inutile.
> Mio padre, molto anziano, si trova di fatto TUTTE le poche volte che gli
> serve lo SPID, ad averlo scaduto (con tutte le perdite di tempo del
> caso, magari ti arrivasse un'email preventiva che ti avvisa che è
> scaduto, macché, te ne accorgi quanto ti serve)
a dire il vero aruba lo fa. anche se poi sta interi fine settimana con il
self care fuori servizio, ma questa è un'altra storia.
> 2) richieste assurde per le password: mix di maiuscole e minuscole, no
> dizionario (a volte nemmeno in parte) obbligo di almeno un numero,
> almeno un carattere non standard, almeno un quadribudiùlo di tù mà e non
> uguale alle ultime 10 utilizzate. Per accessi dove poi comunque c'è il
> secondo fattore (sms o token da app) quindi il furto della sola password
> serve a poco.
questo è ver... icchio. in una 2fa hai due cancelli, funziona se li tieni
chiusi tutti e due.
> Poi si chiedono perché la gente le scrive sotto la tastiera
> dell'ufficio. Vero che ci sono trucchi per generare password facilmente
> ricordabili e apparentemente difficili tipo una frase facile da
> ricordare e si prendono le iniziali e un numero a caso in fondo ma
> quando di password ne hai 50 tutte diverse e devi cambiarle ogni 3 mesi
> diventa rognoso.
si però va detto che di quelle 50 a 49 non glie ne frega niente che tu la
cambi periodicamente e la maggioranza probabilmente nemmeno impone una
policy di complessità.
> Io non uso un password manager perché non mi fido ma un
> quadernino cartaceo dove le password sono comunque crittografate con un
> banale algoritmo facilmente eseguibile a mente (ma il ladro non lo sa e
> comunque un ladro d'appartamenti di solito non si interessa alle
> password e un ladro di password di solito non entra negli appartamenti).
io preferisco un password manager. al limite locale, tipo keepass, che al
posto di un algoritmo banale ha un algoritmo coi controcazzi.
poi io uso bitwarden ma non perché mi fido ciecamente, ma perché capito
come funziona lo trovo ragionevolmente sicuro.
> Comunque spero che la "password" come sistema di autenticazione finisca
> presto. O quantomeno venga sostituito con un'unica credenziale con cui
> ti autentichi presso un ente verificatore che poi trasmette il consenso
> al singolo sito (come accade con SPID o con l'autenticazione tramite
> account google o fb)
beh su internet la larga maggioranza dei siti supportano oauth di google
e/o fb. però io sinceramente evito. trovarmi vincolato ad una piattaforma
perché altrimenti rimango fuori da mezzo internet non mi pare il
massimo...
Roberto Tempesti
Apr 27, 2022, 4:06:53 AM4/27/22
to
Il 26/04/2022 20:34, Incel ha scritto:
> almeno un quadribudiùlo di tù mà
Attento, con questa espressione sei geolocalizzabile !
> almeno un quadribudiùlo di tù mà
;o)
--
The three most dangerous things in the world are a programmer with a
soldering iron, a hardware type with a program patch and a user with an
idea.
“Alles hat ein Ende, nur die Wurst hat zwei”
rootkit
Apr 27, 2022, 2:22:41 PM4/27/22
to
On Tue, 26 Apr 2022 19:35:44 +0200, Marcoxxx wrote:
> Pare che alcune delle password più usate del 2021 siano tra le peggiori.
beh è una considerazione abbastanza ovvia. se sono quelle più usate sono
> Pare che alcune delle password più usate del 2021 siano tra le peggiori.
anche quelle che vengono in mente a più persone e di conseguenza anche le
peggiori. una password forte, generata con metodi pseudo-random e con 12
caratteri, le probabilità di avere anche un solo duplicato sono zero.
rootkit
Apr 27, 2022, 5:10:53 PM4/27/22
to
On Wed, 27 Apr 2022 17:25:28 +0200, Incel wrote:
>> questo è ver... icchio. in una 2fa hai due cancelli, funziona se li
>> tieni chiusi tutti e due.
>
> Ok, ma mettiamo che io abbia una password IBDTMVDPVCUBMW (è la sigla di
>> questo è ver... icchio. in una 2fa hai due cancelli, funziona se li
>> tieni chiusi tutti e due.
>
> una frase, l'ultima parte sono le prime lettere di "vestito da pirata
> visualizzato come una bmw", quest'ultima sigla per intero)
> non è compliant perché non ha lettere, numeri, caratteri speciali,
> maiuscole e minuscole Invece le password "compliant" che ho visto sono
> state sempre del tipo Pippo01!
> Claudio01!
> col numero in fondo 01 02 03 che ovviamente aumentava di una cifra ad
> ogni cambio password Quale è piu' difficile da crackare?
beh ovvio. però mi chiedo: uno che imposta una password "Pippo01!" se non
fosse obbligato che password imposterebbe? probabilmente "pippo".
>> beh su internet la larga maggioranza dei siti supportano oauth di
>> google e/o fb. però io sinceramente evito. trovarmi vincolato ad una
>> piattaforma perché altrimenti rimango fuori da mezzo internet non mi
>> pare il massimo...
>
> per il fatto che se installo i drivers per il chip ST2021 non vanno piu'
> quelle con sigla AC. E viceversa. Ma probabilmente sono io che non sono
> granché capace.
no tranquillo, è proprio così. prima usavo anch'io la cns per accedere a
vari servizi della pa, è sempre stata una rogna su linux. sia benedetto lo
spid.
Vittorio
May 10, 2022, 5:55:16 PM5/10/22
to
Il 26/04/2022 23:26, rootkit ha scritto:
> in teoria, i caso di furto di credenziali la policy limita il periodo di
> tempo oltre il quale il furto è vanificato.
scusa ma se ha detto PASSWORD NON UTILIZZATA cioè senza utilizzi ,
> in teoria, i caso di furto di credenziali la policy limita il periodo di
> tempo oltre il quale il furto è vanificato.
quindi rubano le credenziali SENZA AVERLE USATE , quindi è come se non
le avessero rubate.
rootkit
May 14, 2022, 9:54:45 AM5/14/22
to
non l'avessero rubata, quindi tuttapposto dormi tranquillo.
0 new messages