Pagina 1 di 2

Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 4:01 pm
da Frency
La classifica delle peggiori password 2019

Immagine

E poi ci si chiede perché gli hacker continuino ad agire indisturbati... Ecco a voi la classifica delle peggiori password dell'anno appena trascorso: per il sesto anno consecutivo, al primo posto troviamo l'originalissima 123456, seguita a ruota da 123456789. Scoprite insieme a noi da chi sono occupate le restanti posizioni [continua..]

Inserite di seguito i vostri commenti.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 4:41 pm
da leofelix
le 100 peggiori password si possono trovare in questa pagina
https://sec.hpi.uni-potsdam.de/ilc/statistics
al terzo paragrafo.
Anche io come il tizio di cui si tratta nell'articolo penso che sia necessario usare un gestore di password, questo minimizza le possibilità che la eventuale password rubata venga decriptata e usando password diverse e complesse per ogni sito dove si ha un account si impedisce il credential stuffing

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 4:49 pm
da Frency
Grazie leofelix, ma che classifica è la tua? Riguarda il 2019? vedo che è un po' diversa dalla mia...

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 4:54 pm
da leofelix
Frency ha scritto: ven dic 20, 2019 4:49 pm Grazie leofelix, ma che classifica è la tua? Riguarda il 2019? vedo che è un po' diversa dalla mia...
Di niente Frency, questa è una classifica di tutti i tempi, tranne una le password sono sempre le stesse, qui le prime dieci (con percentuale al lato)
1 123456 8.10‰
2 123456789 3.89‰
3 password 1.89‰
4 qwerty 1.85‰
5 12345 1.38‰
6 12345678 1.17‰
7 111111 1.17‰
8 qwerty123 1.02‰
9 1q2w3e 0.97‰
10 123123 0.85‰

Il sito riportato permette anche di verificare se il proprio account è stato trovato in qualche data breach, appartiene a una Università tedesca

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 5:29 pm
da crazy.cat
In un luogo pubblico molto importante, dove ho fatto assistenza per due anni, la password più usata era 12345678, quando proprio erano costretti a cambiarla diventava 87654321, poi tornava 12345678.
Avrei potuto sapere tutto di tutti, sapere dello stato di tutte le persone che venivano in quel luogo, se un hacker entrava avrebbe trovato una autostrada spianata con una marea di dati.
Era una gestione del loro ced a livelli assurdi.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 9:34 pm
da Frency
Mamma mia che ignoranza e che superficialità... :muro

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: ven dic 20, 2019 11:59 pm
da Blumare
Ciao , forse hanno una paura paralizzante di scordarsi le password ?
Domanda : ma l'amministratore di un sito può vedere quindi conoscere le password degli utenti iscritti ?
:ciao

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 4:43 am
da crazy.cat
Blumare ha scritto: ven dic 20, 2019 11:59 pm Domanda : ma l'amministratore di un sito può vedere quindi conoscere le password degli utenti iscritti ?
Le nostre sono criptate e non leggibili, al massimo possiamo cambiarla se qualche utente la dimentica e resta chiuso fuori.
Per altri siti non saprei dirlo.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 11:44 am
da hammer
Sorvolando sulle password indifendibili (stile 123456789 o qwerty) bisogna anche mettersi nei panni delle persone comuni. Siamo pieni di codici da ricordare a memoria e la probabilità di dimenticare una password è quasi una certezza. Questo genera pigrizia mentale ed ognuno inventa un sistema per fare tante password per tanti siti (o la stessa password per tanti siti), ad esempio c'è chi usa la stessa password e poi ci attacca il nome di un mese (quando periodicamente sono costretti a cambiarla).
Oltre al problema di dimenticare la password vi è anche la scocciatura di inserirla spesso, se uso un gestore di password che mi spara XsG64@VBn0 come password e per motivi di sicurezza la devo inserire più volte ogni giorno è palese che una persona dopo la seconda volta butta il computer dalla finestra. Ecco quindi il perché di password facili da ricordare e anche non troppo difficili da scrivere (ed il loro riutilizzo su più siti). Tutto questo ovviamente genera insicurezza, io penso che sia proprio il sistema username + password a dover essere rivisto, bisogna trovare un'altra alternativa sicura ed allo stesso tempo veloce.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 11:49 am
da Frency
Hammer hai perfettamente ragione... Ho descritto la mia personale esperienza in questa news e dico proprio le stesse cose che dici tu: https://turbolab.it/password-174/hai-da ... sword-2441

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 11:57 am
da hammer
Mi era sfuggito questo articolo, la vita quotidiana è così.
Cmq a proposito di password da questa mattina visitando alcuni siti Chrome (tiene in memoria le mie password) mi avverte che un'app o un sito con le mie credenziali ha subito una violazione e i miei dati sono a rischio. Ho cliccato per saperne di più ed il gestore password di chrome mi consiglia di cambiare ben 123 password! Figurano siti quali amazon, ebay e tanti altri di uso quotidiano. Sono al corrente che vi è un potenziale rischio ma secondo voi dovrei cambiare la password di 123 siti? Finisco domani mattina, senza dimenticare che uso keepass come memorizzatore di password, quindi dovrei aggiornare 123 siti anche su keepas... è un lavorone che difficilmente farò. Magari posso cambiare la password ai siti che utilizzo di più.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 12:02 pm
da Frency
:acch Allucinante...

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 8:32 pm
da leofelix
hammer ha scritto: sab dic 21, 2019 11:57 am Mi era sfuggito questo articolo, la vita quotidiana è così.
Cmq a proposito di password da questa mattina visitando alcuni siti Chrome (tiene in memoria le mie password) mi avverte che un'app o un sito con le mie credenziali ha subito una violazione e i miei dati sono a rischio. Ho cliccato per saperne di più ed il gestore password di chrome mi consiglia di cambiare ben 123 password! Figurano siti quali amazon, ebay e tanti altri di uso quotidiano. Sono al corrente che vi è un potenziale rischio ma secondo voi dovrei cambiare la password di 123 siti? Finisco domani mattina, senza dimenticare che uso keepass come memorizzatore di password, quindi dovrei aggiornare 123 siti anche su keepas... è un lavorone che difficilmente farò. Magari posso cambiare la password ai siti che utilizzo di più.
Io avevo provato l'estensione "Password checkup" per Chrome solo per diletto (Chrome non è il mio browser predefinito), so che adesso è integrata in Chrome stesso e non mi sembrava efficiente, va detto però che avevo solo finto di fare accesso a dei siti di phishing inserendo e-mail inesistenti e password stupidissime che quello saltava inserendo password altrettanto stupide ma con almeno una maiuscola e un numero per l'estensione era tutto ok.

Se le password le avevi create con Keepass e sono sufficientemente robuste (ovvero di almeno 14/16 caratteri, contengono caratteri speciali, maiuscole, minuscole, numeri, sono del tutto casuali e uniche) sono più propenso a credere che sia un problema magari temporaneo di Google.

Anche io in passato commettevo i medesimi errori di cui ci ha reso partecipe Francy nel suo precedente articolo, quando cambiavo le password mi limitavo ad aggiungere un paio di caratteri. Ai tempi non si sentiva tanto parlare di data breach, data leak, e così via, nemmeno il protocollo HTTPS era stato implementato da tutti i siti che richiedevano l'accesso.

Dopo essermi trovato tre e-mail address in più data breach ho iniziato a usare gestori di password, prima KeePass che uso ancora (almeno su Windows) che si può integrare con una estensione come Kee

https://chrome.google.com/webstore/deta ... bppdhaolme

O con un simpatico plug in per KeePass stesso chiamato Keepform
https://keeform.org/keepass2/keeform-for-chrome (Puoi anche installare il solo eseguibile se non ami le estensioni).

Ora sono felicimente passato a Bitwarden, gratuito, open source e multi piattaforma.
Facilissimo da usare, in italiano, ti permette non solo la sincronizzazione da PC e dispositivo mobile, ma di verificare se le password e le e-mail che usi sono caduti in data breach. Offre anche una versione rudimentale di autenticazione a due fattori (ti mandano un codice temporeano via e-mail)
Faccio log in ovunque senza memorizzare niente nei browser sia da Android, sia da iPad, sia da Firefox.
Cambio Master password ogni tre mesi, e cambio periodicamente le password, specie quelle più importanti.

Sono anche io dell'avviso che sarebbe opportuno usare un sistema diverso di autenticazione, so che ci stanno lavorando sopra ma fino a ora non si è trovata ancora una soluzione alternativa realmente efficace (anche il riconoscimento facciale può essere aggirato, per dire).

------------------------

Infine, mi scuso, con Francy. Il sito che ho riportato elenca la password più frequenti trovate nei data breach noti al sito stesso anche per questo differiscono in parte da quelle elencate nell'articolo.

:ciao

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 8:39 pm
da hammer
Uso keepass per memorizzare le password create da me, quindi è solo un contenitore di tutte le mie password (scambio in continuazione a mano il suo file tra smartphone e 2 computer in modo da avere sempre il database aggiornato). So che non è la soluzione migliore e si dovrebbero usare le password create in automatico da lui ma io consulto circa una decina di siti al giorno per svariate volte al giorno, ti immagini loggarmi in continuazione e inserire password di 14 caratteri? Rischio l'esaurimento nervoso. Cerco di inventarle io e incrocio le dita. Tra l'altro ultimamente dai siti rubano direttamente i database con username e password, inoltre mi preoccuperei di più di un keylogger messo nel computer.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 8:51 pm
da leofelix
Per quello sono passato a Bitwarden, lo posso usare anche sui miei dispositivi mobili senza dover ricordare una sola password (tranne la master password)
Con Keepass questo, almeno sui dispositivi mobili, diventava una impresa.

Nei forum uso alias e anche in altri siti anzichè le e-mail tradizionali. Con gli alias non possono risalire all'e-mail principale, eventuali comunicazioni vengono convogliate verso un secondo e-mail.

In questo modo non solo riduco il numero della password ma anche lo SPAM, se un alias cade in un data breach posso eliminarlo senza eliminare l'account principale (non prima di averlo sostituito, ovviamente).

Così uso passphrase che arrivano anche fino a 65 caratteri casuali e che non posso certo ricordare.

A presto

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 8:54 pm
da hammer
Darò un'occhiata a bitwarden, però se mi trovo in una situazione in cui non ho sottomano uno smartphone e non sono su un mio computer come faccio a sapere le password?

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 9:33 pm
da leofelix
hammer ha scritto: sab dic 21, 2019 8:54 pm Darò un'occhiata a bitwarden, però se mi trovo in una situazione in cui non ho sottomano uno smartphone e non sono su un mio computer come faccio a sapere le password?
Se intendi uno smartphone di tua proprietà e un PC altrui, il problema non si pone.
La password di Bitwarden la trovi tra quelle salvate nello smartphone del tuo account google (supponendo che tu usi Android), altrimenti te la puoi sempre segnare.
Puoi condividere temporaneamente il tuo Vault nel PC in questione, senza che il proprietario conosca la master password (che poi andrai a cambiare, dopo aver rimosso l'estensione relativa dal browser di quel PC, sempre che tu non voglia usare un browser portatile custodito in una chiavetta USB di tua proprietà).

Su Android e iOS devi usare l'app, sul PC puoi usare sia il programma sia l'estensione (io uso solo l'estensione nel browser).
Da tablet o smartphone basta richiamare l'app che puoi accedere a qualsiasi app o browser automaticamente.

Puoi importare il database di KeePass in Bitwarden in pochi minuti
https://help.bitwarden.com/article/import-data/

Ne ho fatto cenno qui (troverai anche degli screenshot)
viewtopic.php?f=6&t=8859#p67139
viewtopic.php?f=6&t=8859#p67153

Se vuoi funzioni in più si paga una modesta cifra a vita, ma davvero, va benissimo anche nella versione gratuita.

Se poi questo sistema non ti piace, basta cancellare l'account presso Bitwarden (loro la tua master password non possono conoscerla e nemmeno le altre)

Una protezione da possibili keylogger e intercettazioni puoi averla installando l'estensione per Chrome "Keyboard Privacy"
https://chrome.google.com/webstore/deta ... opfeojdohk


[EDIT to add] Anche se non usi il tuo computer, non dimenticare che basta il solo smartphone perché le password che modifichi vengano automaticamente sincronizzate con i PC e altri dispositivi che possiedi.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 10:21 pm
da hammer
Ok sei stato molto esaustivo, lo devo provare. Grazie.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: sab dic 21, 2019 11:35 pm
da leofelix
hammer ha scritto: sab dic 21, 2019 10:21 pm Ok sei stato molto esaustivo, lo devo provare. Grazie.
prego, scusa la svista, non avevo notato il "non"
in cui non ho sottomano uno smartphone e non sono su un mio computer
.
In quel caso è sufficiente segnarsi la master password su un foglio, quindi installare l'app di BitWarden nelllo smartphone o l'estensione su un browser del PC in questione - meglio ancora se hai con te una chiavetta USB con un browser portatile - e ti colleghi automaticamente ovunque tu abbia un account.
In questo caso però dovresti disattivare l'autenticazione a due fattori di Bitwarden (opzionale) o non accedi.


Quando e se lo proverai, noterai che non solo è comodissimo, ma è anche facilissimo da usare.
Ti può creare password che ci vorrebbero centinaia di migliaia di anni per "craccarle" anche con un supercomputer con una capacità e velocità di calcolo impressionante. Anche venisse violato uno dei tuoi account online, se il sito compromesso offre livelli di criptazione decenti, l'eventuale hacker dovrebbe trafficare parecchio prima di decifrarle.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: dom dic 22, 2019 10:01 am
da hammer
Quindi riassumendo bitwarden genera in automatico delle password che io non ricorderò mai e provvede ad inserirle nei siti che visito (alla peggio si fa copia e incolla). Mantiene tutte queste password nel cloud e le sincronizza sui vari dispositivi, io devo solo ricordare la password principale per entrare nel vault di bitwarden. Gisuto?
Il fatto di non conoscere nessuna password che mi riguarda non è che mi fa fare i salti di gioia però effettivamente a conti fatti vi è più sicurezza (finché bitwarden non chiude i battenti).
Ma alla fine non sarebbe la stessa cosa del gestore password di google? Quando mi registro ad un nuovo sito mi chiede se voglio generare una password.

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: dom dic 22, 2019 11:49 am
da speedyant
Ma il dilemma meglio 1234567890987654321 o affidarsi ad un programma nella nuvola? Io provo bitwarden con account e siti "sacrificabili", poi vedo...

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: dom dic 22, 2019 12:38 pm
da Blumare
Ciao crazy , non mi riferivo a noi , ma ad un altro sito . Sito nuovo , fornite agli utenti credenziali temporanee , dopo un pò arriva l'avviso di cambiarle . Cambio tutto password compresa , metto una frase . Funziona un paio di volte , poi non funziona più e resto fuori . Chi gestisce il sito avrà fatto accessi , mi è venuto il sospetto che abbia visto la mia password e non gli sia piaciuta . E non si tratta di un forum , dove l'amministratore può leggere anche i messaggi privati ( ma di solito non si fa ) . :ciao

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: dom dic 22, 2019 7:38 pm
da leofelix
hammer ha scritto: dom dic 22, 2019 10:01 am Quindi riassumendo bitwarden genera in automatico delle password che io non ricorderò mai e provvede ad inserirle nei siti che visito (alla peggio si fa copia e incolla). Mantiene tutte queste password nel cloud e le sincronizza sui vari dispositivi, io devo solo ricordare la password principale per entrare nel vault di bitwarden. Giusto?
(Quasi) esatto.
Non le ricordi ma le puoi conoscere. Ti basterà accedere al tuo Vault (o cassaforte), raggiungere l'account interessato, aprire la sua cartella e di lato troverai nell'ordine, un pulsantino per verificare se la password è stata trovata in qualche violazione di dati (non è detto che il tuo account sia stato violato, anche il "password checkup" di Google ti ha semplicemente avvisato che le password che usi non sono sicure, che sono note a google per essere cadute in data breach, per cui qualora si conoscesse gli 'e-mail associati, un malintenzionato impiegherebbe breve tempo per entrare in possesso dei tuoi account), come visulizzarla e come modificarla.

Qui alcune immagini appena create con un account di test apparentemente su Mozilla (nella realtà non ho alcun account presso Mozilla)
Immagine

Immagine
hammer ha scritto: dom dic 22, 2019 10:01 am Il fatto di non conoscere nessuna password che mi riguarda non è che mi fa fare i salti di gioia però effettivamente a conti fatti vi è più sicurezza (finché bitwarden non chiude i battenti).
Come detto, non le ricordi ma le puoi visualizzare e copiare e incollare se necessario (Bitwarden provvederà a cancellare gli appunti rimasti in memoria dopo tot secondi o minuti)

Bitwarden è stato sviluppato da tre ex sviluppatori di Lastpass delusi dal modus operandi di chi è dietro Lastpass.
Si è già fatto una notevole fama e guadagnato la fiducia di moltissime persone.

Sai bene che qualsiasi sito, servizio o prodotto potrebbe essere discontinuato, anche Google.

Quando ho iniziato a usare internet Google non esisteva, si usavano altri motori di ricerca che adesso non esistono più.
Io avevo una sola e-mail che mi dava il mio provider (avevo un modem a 14.400 Kbds), usavo eudora light per la posta, Netscape navigator come browser, solo in seguito trovai servizi gratuiti di webmail come Hotmail (che non apparteneva alla Microsoft) e Rocketmail. OS Win 95 b 16 bit.
Escluso Hotmail che fu acquistato a quattro soldi dalla Microsoft, niente di quanto elencato esiste o si usa più o è ancora supportato.
Eppure io, crazy.cat e chissà quanti altri che hanno inziato a usare internet sin dagli albori siamo ancora qui (e intendiamo rimanerci ancora a lungo :mrgreen: )

[echo off - "captain ovbious mode off"] :mrgreen:
hammer ha scritto: dom dic 22, 2019 10:01 am Ma alla fine non sarebbe la stessa cosa del gestore password di google? Quando mi registro ad un nuovo sito mi chiede se voglio generare una password.
Non ho mai permesso ai miei browser di memorizzare le password per una questione di sicurezza, non ci sono solo keylogger, ma siti confezionati ad arte o semplicemente violati e iniettati di script malevoli che possono raccogliere molti più dati di quanto si possa credere.

Chrome è il browser più usato al giorno d'oggi, come conseguenza è anche il più bersagliato dai malintenzionati.

La funzione di controllo password e la possibilità di generare le password al tuo posto è una novità.
Anche firefox ha implementato qualcosa del genere di recente, ma allo stesso modo si deve permettere a Firefox di memorizzare le credenziali (si possono attaccare al tramvai, per quanto mi riguarda).

In definitiva è una questione di fiducia e di scelte.
Ti piace il sistema di Google, ti ci sei abituato, lo ritieni più sicuro ed efficiente?
Se sì non v'è ragione di cambiare.

..............................................

Tornando a KeePass

Se vuoi usare in tutte le tue device e PC Keepass, non devi fare altro che spostare copia del database nel Google Drive e installare un'app compatibile con Keepass, ce ne sono diverse nel Playstore.
Non hai nemmeno bisogno di estensioni per usarlo appieno su Windows.
Tanto che io lo uso ancora, come precauzione in più (Ma non l'ho mai usato solo come contenitore di password, tanto vale segnarsele su un foglio di carta allora).

Ecco alcune immagini che parlano meglio delle parole

Autocompletamento senza estensioni per browser
Immagine

Aprire URL direttamente da KeePass
Immagine

Certo, così si impiega più tempo, ma è più sicuro e funziona (almeno su Windows)


Ma alla fine, la cosa più saggia, a mio avviso, l'ha scritta speedyant
speedyant ha scritto: dom dic 22, 2019 11:49 am Ma il dilemma meglio 1234567890987654321 o affidarsi ad un programma nella nuvola? Io provo bitwarden con account e siti "sacrificabili", poi vedo...
Perdona se mi sono dilungato, spero di essere stato in ogni caso chiaro, ciao :ciao

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: dom dic 22, 2019 8:14 pm
da speedyant
Io rimango per un sitema misto "analogico digitale"... Generare password online e copiarle su carta.
Quanti di voi usano i generatori di password?

Re: Commenti a "La classifica delle peggiori password 2019"

Inviato: dom dic 22, 2019 8:18 pm
da speedyant
crazy.cat ha scritto: ven dic 20, 2019 5:29 pm In un luogo pubblico molto importante, dove ho fatto assistenza per due anni, la password più usata era 12345678, quando proprio erano costretti a cambiarla diventava 87654321, poi tornava 12345678.
Avrei potuto sapere tutto di tutti, sapere dello stato di tutte le persone che venivano in quel luogo, se un hacker entrava avrebbe trovato una autostrada spianata con una marea di dati.
Era una gestione del loro ced a livelli assurdi.
Allora siamo in due!
Potrei citare "ho visto gestioni di password che voi umani non potete neanche immaginare"....
Qualcuno voleva usare ilarytotti... :bam :frightened