Robustezza della password: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 17:32, 30 apr 2024 modifica XXxWikipedianxXx (discussione \| contributi) 157 modifiche Riscrittura generale di alcune parti dell'articolo, con aggiunta di informazioni aggiornate e buone pratiche, insieme con le relative fonti. L'articolo dev'essere pesantemente riscritto, sia per svecchiarlo sia per riorganizzarlo presentando prima le informazioni moderne piú rilevanti. Etichetta: Modifica visuale: commutato ← Differenza precedente		Versione attuale delle 12:26, 26 feb 2025 modifica annulla Ferdi2005 (discussione \| contributi) Organizzatori di eventi, Mover, Rollbacker 10 642 modifiche m →Creazione delle parole d'accesso Etichetta: Modifica visuale
(4 versioni intermedie di 4 utenti non mostrate)
Riga 9: I fattori di conoscenza e d'identità sono elementi da evitare, perché, nel caso in cui l'aggressore sia in possesso di alcune di queste informazioni, il compito di decodifica della password sarebbe di gran lunga più semplice. Quindi è buona norma non usare mai informazioni personali, come per esempio date di compleanno (personali o di amici e parenti), nomi di conoscenti, cibi preferiti, ecc. Come per ogni misura di sicurezza, le parole d'accesso possono variare in termini di efficacia: alcune sono "forti", altre meno. I seguenti sono esempi di ''password'' la cui costruzione è debole<ref name="MIT sicurezze delle password">{{Cita news \|url= http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-it-4/s1-wstation-pass.html \|titolo= MIT password security \|autore= Red Hat Enterprise Linux 4: Security Guide \|accesso= 10 luglio 2017 \|dataarchivio= 19 maggio 2016 \|urlarchivio= https://web.archive.org/web/20160519193147/http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-it-4/s1-wstation-pass.html \|urlmorto= sì }}</ref>: * parole d'accesso predefinite (fornite dal sistema e destinate a essere modificate, come "password", "admin" o "0000"); * sostituzioni di caratteri di tipo ''[[leet\|]]''~~leet'']]~~ (p. es. "p4ssw0rd") poiché tutti i programmi di decodifica ormai tengono conto anche di questo tipo di ~~vocabolarî~~vocabolari;<ref name="LEET">{{Cita news\|url= http://www.robertecker.com/hp/research/leet-converter.php?lang=en \|titolo= 1337 LEET \|autore= Robert Ecker \|data= 27 aprile 2015}}</ref> * parole derivate da righe della tastiera (come "qwerty" o "12345678" o "qazwsx"); * solo parole o solo numeri (es. "caterinateresa" oppure "12092972"); * doppie parole (es. "giovannigiovanni"); Riga 28: caratteri non alfanumerici (ad esempio: !, ?, #, ). Per esempio, creando una ''password'' di 8 caratteri seguendo i criteri sopra definiti, formata cioè a partire da 26 lettere minuscole, 26 lettere maiuscole, 10 cifre e 4 caratteri speciali, esisteranno <math>(26 + 26 + 10 + 4)^8 = 66^8 = 360040606269696</math> ~~{{formatnum:360040606269696}}~~ combinazioni possibili; in questo modo un [[Metodo forza bruta\|attacco a forza bruta]] diventa più difficile ma comunque non impossibile. Tuttavia, le summenzionate regole sono ormai superate e obsolete. Oggi è difficile raccomandare la creazione di parole d'accesso più brevi di 12 caratteri,<ref>{{Cita web\|url=https://support.google.com/accounts/answer/32040?hl=it\|titolo=Creare una password efficace e un account più sicuro - Guida di Account Google\|sito=support.google.com\|accesso=2024-04-30}}</ref><ref>{{Cita web\|url=https://security.harvard.edu/use-strong-passwords\|titolo=Use Strong Passwords\|sito=security.harvard.edu\|lingua=en\|accesso=2024-04-30}}</ref> e talvolta molti esperti raccomandano di usare parole più lunghe di 16 caratteri.<ref>{{Cita web\|url=https://www.pluralsight.com/blog/security-professional/modern-password-guidelines\|titolo=Password Best Practices for Today {{!}} Pluralsight\|sito=www.pluralsight.com\|lingua=en\|accesso=2024-04-30}}</ref> Inoltre, le regole ferree dell'utilizzo sistematico di lettere maiuscole e minuscole, numeri e soprattutto caratteri speciali spesso e volentieri rende le ''password'' più insicure, poiché più difficili da ricordare per gli umani, che tenderanno a preferire euristiche che abbassano l'entropia totale della parola d'accesso, rendendola più debole ~~—come~~— come, per esempio, mettendo semplicemente un punto esclamativo alla fine della stringa contenente il proprio nome e la propria data di nascita: "mariorossi1980!"—.<ref>{{Cita web\|url=https://pages.nist.gov/\|titolo=NIST SP 800-63 Digital Identity Guidelines-FAQ\|sito=pages.nist.gov\|accesso=2024-04-30}}</ref> Per questi motivi, le migliori pratiche sono date dall'uso di [[Passphrase\|frasi d'accesso]] (in inglese ''passphrases''), memorizzate in un gestore ''password'', e unite all'autenticazione [[Autenticazione a due fattori\|multifattore]].<ref>{{Cita web\|url=https://cloud.google.com/solutions/modern-password-security-for-users?hl=it\|titolo=Sicurezza con password moderne per gli utenti {{!}} Soluzioni\|sito=Google Cloud\|accesso=2024-04-30}}</ref><ref>{{Cita web\|url=https://www.ncsc.gov.uk/guidance/authentication-methods-choosing-the-right-type\|titolo=Authentication methods: choosing the right type\|sito=www.ncsc.gov.uk\|lingua=en\|accesso=2024-04-30}}</ref> Si vedano i paragrafi più in basso per maggiori dettagli. ==Entropia delle parole d'accesso== Riga 38: === Decrittazione a 64 e 72 bit === {{vedi anche\|EFF DES cracker}} Nel 1998 la [[Electronic Frontier Foundation]] creò l'[[Electronic Frontier Foundation\|EFF]]-[[Data Encryption Standard\|DES]] Cracker, soprannominato "[[EFF DES cracker\|Deep Crack]]", una macchina in grado di rompere a forza bruta l'algoritmo [[Data Encryption Standard\|DES]]. La macchina costò meno di {{formatnum:250000}} dollari e il 15 luglio 1998, l'EFF in collaborazione con [[distributed.net]], riuscì a decriptare una chiave a 56 bit in 22 ore e 15 minuti, vincendo {{formatnum:10000}} dollari. Nel 2002 la rete distributed.net riuscì a rompere una chiave di cifratura a 64 bit effettivi in circa 4 anni.<ref name="bit64">{{Cita news \|url= https://stats.distributed.net/projects.php?project_id=5 \|titolo= 64 bit, statistiche e tempi \|data= distributed.net URL consultato il 9 luglio 2017 \|pubblicazione= \|accesso= 4 maggio 2019 \|urlarchivio= https://web.archive.org/web/20190518175132/http://stats.distributed.net/projects.php?project_id=5 \|dataarchivio= 18 maggio 2019 \|urlmorto= sì }}</ref> In uno documento del 2005 si è presentato uno studio sistematico della scelta delle chiavi e di come generarle con una buona entropia. I risultati variano da 29 bit di casualità, ovvero <math>2^{{29}}</math> tentativi necessari se si prevedono solo [[attacchi ''online'']], a [[128 bit]] in uscita, ricavati da 384 bit di ingresso composti da 128 bit di dati e 256 bit di chiave, per le chiavi di crittografia che fanno riferimento a funzioni di miscelazione per bit multipli più forti.{{chiarire}}<ref name="Randomness Requirements for Security">{{Cita news\|url= https://tools.ietf.org/html/rfc4086 \|titolo= Randomness Requirements for Security 4028 \|autore=J. Schiller, MIT, S. Crocker \|data= giugno 2005}}</ref>