Utente:MaXeR: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
Nessun cambiamento nella dimensione ,  6 gen 2007
m
nessun oggetto della modifica
mNessun oggetto della modifica
mNessun oggetto della modifica
Riga 1: Riga 1:
==Introduzione==
=About MaXeR=
Mi chiamo Claudio, ho 22 anni e studio Informatica presso l'Università degli Studi di Verona.


Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa/per paranoici!
==Contatti==
Bene, non � cos�!
; Blog : http://www.knio.it
L'importanza di scegliere una password 'difficile' � fondamentale, essendo una facile chiave di accesso ai nostri dati.


; MaXeR@fsfe.org : http://www.fsfe.org/Members/maxer/


==Generazione di Password: Come Fare==
; MaXeR@persone.softwarelibero.it : http://persone.softwarelibero.org/person/MaXeR


Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime!
; em@il : [mailto:maxer@debianizzati.org maxer@debianizzati.org]<br/>[mailto:maxer@knio.it maxer@knio.it]<br/>[mailto:maxer@fsfe.org maxer@fsfe.org]
Scegliare una buona password non � facile, ma non � nemmeno impossibile!!!
Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password:
* Non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone � proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password � quello pi� facile da scoprire.
* Non deve essere una sola parola ripetuta pi� volte: non penso che 'gattogatto' sia pi� difficile da indovinare di 'gatto';
* Non dovrebbe essere riconducibile a qualche cosa della propria vita;
* Non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password;
* Deve contenete altri caratteri oltre alle sole lettere maiuscole: ci� consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force...  


Per esempio, supponiamo di scegliere una password di 6 caratteri:
* se questa formata da solo lettere minuscole, abbiamo 21^6 combinazioni possibili (non sono tante, anzi...);
* lettere minuscole e maiuscole: 42^6 (sempre troppo poche...);
* numeri, minuscole e maiuscole: 52^6;
* numeri, minuscole, maiuscole e una 15ina di caratteri 'speciali' (come _.,-^=%....): 62^6!!!
Come potete vedere, la differenza grandissima!


Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password?
; jabber : maxer@jabber.linux.it
Vediamo qualche trucco:
: maxer@jabber.fsfe.org
# '''Sostituiamo numeri alle lettere:''' seguendo questo schema, � possibile sostituire alcuni numeri a determinate lettere:
<pre>
i/l -> 1
z -> 2
b/e -> 3
a -> 4
s -> 5
g -> 6
t -> 7
b -> 8
p -> 9
o -> 0
</pre>
Cos� � semplicissimo aumentare il numero di caratteri disponibili senza comprometterne la mnemonicit�!


# Usiamo qualche cosa di facile da ricordare!
; icq : 161200863
''facile da ricordare'' non vuol dire, per�, banale!


'''Esempio:'''
Prensiamo una frase di una canzone:


''And I give up forever to touch you'' (Iris, GooGooDolls)
[http://www.fsfe.org http://www.knio.it/images/a-happy-fellow.png]


La cosa che si nota a prima vista � la presenza di 8 parole (uhm...lunghezza minima di una password per quanto riguarda la nuova legge sulla privacy e sicurezza informatica!!!)
=Le Mie Guide=
Bene, allora prendiamo l'iniziale di ogni parola:
# [[La struttura della Distribuzione]]
# [[I repository ed il loro utilizzo]]
# [[Introduzione all' Apt System]]
# [[Pulire Debian]]
# [[Applicare una patch ad un pacchetto Debian]]
# [[Apt-build: ottimizzazione dei pacchetti | '''Apt-build''': ottimizzazione dei pacchetti]]
# [[Apt-cdrom | '''Apt-cdrom''': aggiunta di cd/dvd nella lista dei repository]]
# [[Apt-file: ricerca all'interno dei pacchetti | '''Apt-file''': ricerca all'interno dei pacchetti]]
# [[Apt-listbugs: come monitorare i bug | '''Apt-listbugs''': come monitorare i bug]]
# [[Apt-zip: aggiornamenti senza una connessione veloce | '''Apt-zip''': aggiornamenti senza una connessione veloce]]
# [[Make-jpkg: Pacchettiziamo Java Sun| '''Make-jpkg''': Pacchettiziamo Java Sun]]
# [[Apt-Proxy: un proxy per i pacchetti Debian| '''Apt-Proxy''': un proxy per i pacchetti Debian]]
# [[Debmirror: creiamo un mirror Debian |'''Debmirror''': creiamo un mirror Debian]]
# [[Password sicure: la base della sicurezza informatica]]
# [[Come abilitare il completamento automatico 'avanzato']]
# [[Convertire immagini .nrg in immagini .iso]]
# [[mod_bandwidth: Gestione avanzata della banda]]
# [[Mrtg: monitoriamo la banda]]
# [[UsbMount: Gestione automatizzata delle periferiche usb di memorizzazione]]
# [[Powernowd: CpuScaling per AMD]]
# [[ cacti | Cacti per monitorare il sistema ]]
# [[ Debian_on_a_compaq_Presario_2154EA ]]
# [[ Munin ]]
# [[ Debian Fun ]]
# [[LAMP: Linux, Apache, MySQL e PHP]] Collaborazione con [[Utente:Keltik|Keltik]]
# [[ SysV ]]
# [[ jigdo ]]
# [[ Wireless Support ]]
# [[ Apache, SSL e CaCert.Org ]] (stub)
# [[ Pacchetizzare un tema per Bootsplash ]]
# [[ Gestione di un repository con debarchiver ]]
# [[ Ssh e autenticazione tramite chiavi ]]
# [[ Dupload per l'upload dei pacchetti Debian ]]
# [[ Synaptics touchpad ]]
# [[sshfs | Montare una directory remota con sshfs]]
# [[Unison e la sincronizzazione di directory]]
# [[Pbuilder: compilazione in ambienti puliti]]
# [[Madwifi | Installazione Driver Madwifi]]
# [[Repository Debianizzati.Org]]
# [[Kde e mount automatico]]
# [[Recuperare i dati da un Hard Disk danneggiato]]
# [[Rileggere la tabella delle partizioni]]
# [[Java in Debian]]
# [[Errori frequenti nell'uso di apt-get]]
# [[Controllare lo stato di un pacchetto]]
# [[Postgrey: filtrare lo spam con il greylisting]]
# [[Velocizzare il boot senza cambiare sistema di init]]
# [[Spostare il tasto di chiusura delle tab di Firefox 2]]
# [[Postfix e autenticazione su smtp remoto]]


''aIguftty''
=Pagine in Lavorazione=
* [[Repository non ufficiali]]
* [[Copiare-Spostare Debian]] (titolo non definitivo)
* [[Alternatives]] (in fase finale)


Non ha molto senso come parola, vero?
=Ho scritto anche in=
Bene...ottima cosa!!!
* [[ Speciale:Contributions/MaXeR | dove ho ficcato il naso ;) ]]
Ora effettuiamo la sostituzione:


''4Iguf77y''
=Pagine Varie riportate da altre fonti=
 
# [[Perchè conviene sviluppare esclusivamente Software Libero]]
Niente male!
# [[Vendere Software Libero]]
 
# [[Perché il software non deve avere padroni]]
 
# [[La comunità del software libero dopo 20 anni]]
'''Nb''': la "I" l'ho lasciata espressa in lettera maiuscola, cos� per aumentare un po' la fatica (modifica di un sistema oramai ben conosciuto)!
# [[Ricompense e Motivazione]]
Prima di finire, mettiamo qualche carattere:
 
''4Iguf-77y_''
 
Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario! quindi l'unico attacco possibile � quelo brute force!
 
 
==Memorandum per la conservazione della password==
 
Vediamo, ora, come conservare correttamente una password.
Si, perch� anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliattini nel portafoglio e cos� dicendo...
La password non deve essere scritta da nessuna parte (ecco perch� abbiamo lavorato un po' sulla mnemonicit�), altrimenti i nostri sforzi risultano vani!
L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) � in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui � necessario rispettare la legge sulla privacy e sulla sicurezz a informatica).
 
 
==Appunto di Paranoia==
 
Prima di terminare, ecco alcuni consigli per mantenere ancora pi� sicura la password:
* non usarla in pubblico (o meglio...non facciamola vedere a chi � vicino a noi);
* se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in pi�, magari digitando e  cancellando...copriamo la tastiera con un foglio ed altri trucchetti simili;
* Cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e cos� via!
* Non memorizziamola sul computer! altra cosa da evitare � quella di conservare la password in database volnerabili (InternetExplorer, Firefox, Kwallet (anche se questo usa un sistema di crittazione basato su password..), in quanto � facile che un attaccante acceda a questi in caso di intromissione in una macchina.
 
==Conclusione==
 
Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social eng.
 
 
---- [[User:MaXeR|MaXeR]]
[[Categoria:Sicurezza]]
1 487

contributi

Menu di navigazione