Scegli una password qualunque

« Older Newer »

stef72

Posted on 11/5/2021, 07:54

Esperto

Group:: Moderatori

Posts:: 993

Reputation:: +177

Status:

Non riesco a capire una cosa: capita a anche a voi di dover scegliere una password e il sistema impone che questa debba avere una certa struttura?
Secondo voi a cosa serve ciò?

esempio--------------------------------------------------------------------------------------------------------------:
png

--------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------

esempio--------------------------------------------------------------------------------------------------------------:

png

Lui_da@…more

Posted on 12/5/2021, 10:09 -1

Esperto

Group:: Member

Posts:: 219

Reputation:: -31

Status:

La password è personale, se la componi bene, rispettando i parametri consigliati, sarà più complessa, ma meno riproducibile per gli altri.

stef72

Posted on 13/5/2021, 06:39 +1

Esperto

Group:: Moderatori

Posts:: 993

Reputation:: +177

Status:

Mistero.
Penso che ci sia qualche valida ragione dietro questo sistema di sicurezza.
Anche io so che è un modo per evitare che gli utenti scelgano password troppo semplici, come ad esempio il proprio nome oppure "1234" oppure "password" ecc...
Ma imponendo le regole sui caratteri si sta dando anche informazione su quelle che NON possono essere la password scelta dall'utente.

Se si pensa a due amici e che uno dei due dica all'altro: "prova a indovinare la parola che ho pensato" e poi, lo stesso, aggiunga anche: "Guarda che la parola che ho pensato ha certamente più di 7 caratteri, non sono caratteri tutti maiuscoli e nemmeno tutti minuscoli, e contiene almeno uno tra questi dieci caratteri speciali % $ & @ # é * [ ] £ ?"; A questo punto chi deve indovinare la parola inizierebbe a scartare tutti quei tentativi che non rispettano le regole date.
E se volesse provare tutte le password possibili in maniera euristica (forza bruta),sarebbe avvantaggiato.

E' un po' come se, a priori, si sapesse che la ventina della prossima estrazione del 10elotto conterrà...
a) non meno di 8 numeri pari
b) almeno un numero primo
c) almeno uno tra i dieci numeri seguenti ...
Magari a SISAL desse qualche indizio

Maniscalco

Posted on 13/5/2021, 20:49

Adolescente

Group:: Member

Posts:: 98

Reputation:: +4

Status:

QUOTE (stef72 @ 13/5/2021, 07:39)

Non credo tu sia Stef72

Il concetto è il contrario di quello che dici e in un forum sistemistico dove si parla di probabilità trovo strano quello che riporti.
Proprio in termini di forza bruta imporre i seguenti vincoli alla generazione di una password diminuisce di molto la probabilità di scassinamento
Le regole sono almeno 1 carattere maiuscolo, almeno 1 carattere minuscolo, etc etc
Pensali come domini per le permutazioni posizionali e genera il numero e fai la stessa cosa senza
Un generatore di forza bruta parte dal basso iterando.
È come dire che hai 90 numeri e non mettere condizioni al fatto che devi giocarli in decine anziché in terzine, ecco qui che coprire le terzine si fa subito e se poi hai messo 123 che è la prima del generatore di forza bruta hai bello che perso

stef72

Posted on 14/5/2021, 07:44

Esperto

Group:: Moderatori

Posts:: 993

Reputation:: +177

Status:

CITAZIONE (Maniscalco @ 13/5/2021, 21:49)

Non credo tu sia Stef72
...

Anche a me a volte vengono questi dubbi.

Per il reso del tuo post dico semplicemente che fissando una lunghezza massima per la password, ad esempio 50 (tra caratteri, numeri e simboli speciali)
e ponendo che i caratteri utilizzabili siano:
lettere minuscole (a-z) =26
lettere Maiuscole (A-Z) =26
carattere spazio =1
numeri (0-9) =10
caratteri seciali (£ $ % & @ #) =6

(totale 26+26+1+10+6 = 69 simboli)

allora si ha che:
- l'insieme N delle password libere, di qualsiasi lunghezza e senza regole sui caratteri, avrà una certa cardinalità (non sono sicuro, ma dovrebbe essere la sommatoria delle combinazioni con ripetizioni di 69 caratteri + le permutazioni possibili di queste, + le combinazioni con ripetizioni di 68 caratteri + le permutazioni possibili di queste , + le combinazioni con ripetizioni di 67...ecc...+ i singoli caratteri presi uno per uno).

- mentre N1= l'insieme delle password che rispettano determinate regole (lunghezza minima, almeno un simbolo tra maiuscole, minuscole, numeri e caratteri speciali)
è più piccolo di N
Quindi è statisticamente più semplice indovinare una password di N1 che una password di N.

Con un esempio più concreto:
se sei libero di scegliere una password (senza nessuna regola) devi considerare anche password ad esempio come
abcd
01010101010101
abc%&%&&&&
eccetera
(una password qualsiasi insomma)

mentre, con le regole imposte hai un campo ristretto su cui poter prendere la tua password

Maniscalco

Posted on 15/5/2021, 00:01

Adolescente

Group:: Member

Posts:: 98

Reputation:: +4

Status:

QUOTE (stef72 @ 14/5/2021, 08:44)

Tutto corretto quanto riportato.
La teoria però non tiene conto del fattore umano.
Se ad un UTONTO non poni limiti o dai regole lui tenderà a fare il minimo indispensabile per cui dell'insieme N tenderà ad usare password semplici e corte che sono quelle riportate nei dizionari usati dai cracker per accedere.
Anche se le password generabili da N1 sono molto di meno di N non conta perché per trovarne una è talmente complesso che anche se sono meno è meno probabile rispetto ad indovinare una password più semplice dell'insieme N

Su questi temi ci si sono fatti diverse seghe mentali gli esperti di sicurezza

5 replies since 11/5/2021, 07:54 292 views