DOMANDA Alcune domande sul backup delle password, sulla loro sicurezza etc.

[MC23]

Salve a tutti, in seguito a Collection #1 ho deciso di modificare sostanzialmente tutte le password che utilizzo. Ma prima di fare ciò avrei bisogno di alcuni chiarimenti...

1) ho visto che Google da la possibilità di generare delle password pigiando col tasto destro nel campo di una password durante la creazione di un account (o modifica della password stessa): tali password sono sicure, oppure essendo generate da un algoritmo sono hackerabili (ad esempio utilizzando lo stesso algoritmo) più facilmente di una password scelta da me?
2) da diverso tempo utilizzo Kaspersky Password per testare l'efficacia delle password che scelgo: non ho capito come però come faccia a dirmi "questa password può venire crackata in TOT tempo" né se è effettivamente veritiero, mi posso fidare?
3) volevo fare un backup delle password, e, nonostante sappia che un taccuino fisico sia idealmente la scelta migliore, ho optato per creare una tabella su Google Sheets (preferisco non usare Password Managers). Volevo quindi chiedere: secondo voi è meglio memorizzare la password criptata in un certo modo oppure salvare un "riferimento" alla password? (es: la mia password è "bananamelapera" e salvo come riferimento "macedonia")
4) sulla lunghezza e formattazione della password ho letto svariati articoli, ma ho un dubbio: la password precedente ("bananamelapera") è hackerabile utilizzando un attacco di tipo dizionario oppure no?

Grazie!

 

[icox]

1. Non so quale algoritmo usi Google per generare le password ma non essendo gli ultimi arrivati direi che sono ragionevolmente sicure.
2. Quel tool ti da una stima del tempo che ci vuole per trovare una password usando tecniche come bruteforce (tentano tutte le combinazioni possibili) e ti avvisa se stai usando parole di senso comune (quindi soggette ad attacchi con dizionari). E' un tool valido per darti un'idea di quanto tempo potrebbe volerci per trovarla.
3. Salvare le proprie password in un foglio di calcolo di un servizio cloud mi sembra un'idea folle, a quel punto usa un password manager. E' comunque abbastanza valida l'idea di salvare una stringa a cui tu associ un significato/password, sempre che questa associazione non sia facilmente individuabile da terzi.
4. La password piu' e' lunga meglio e'. Quella in esempio e' estremamente facile da trovare soltanto se si usa un dizionario contenente quelle parole e si usa un algoritmo che concatena le stringhe del dizionario (non un caso molto comune). Un attacco bruteforce richiederebbe invece molto tempo.

 

[MC23]

Per il punto 3 ne sono abbastanza consapevole ma mi sembra la soluzione più comoda. Comunque domani darò un'occhiata a qualche PM open source e deciderò in maniera definitiva su che via proseguire!

Grazie dei chiarimenti :)

 

[crimescene]

L'uso di un password manager è una via abbastanza comoda e sicura.

 

[Moffetta88]

Prima avevo creato un minisoftware per criptare le password e salvarle in un file leggibile poi solo da questo programma, ma diventava molto scomodo e se per la madonna perdevo quel software con la chiave di cifratura o si corrompeva il file, ero letteralmente fottuto. Così son passato al foglio txt con password in chiaro e file archiviato in archivio rar protetto con una password che era una frase lunghissima. Anch'esso diventava scomodo da consultare e da aggiornare..e visto che con la testa non ci sto più, ho optato per il buon vecchio quaderno ( per l'esattezza un Death Note xD ) dove mi segno sito, utente e password.
I password generator non li uso perchè se bucano il servizio del generatore beccano tutte le password generate ( praticamente un bel dizionario aggratis ), stesso con i password manager, se per la madonna vanno in panico per un update o qualcosa di strano, poi ci troviamo le password bloccate in un limbo, e non è bello.

Per quanto concerne il punto 4, un attacco dizionario è un attacco non con password generate a caso ma utilizzando un file con tutte delle possibili password, solitamente sono nomi, date, prodotti, e l'insieme di queste. Poi dipende sempre chi fa il dizionario, quindi la risposta è sì ma anche no.