|
Dimensione: 5706
Commento:
|
← Versione 26 del 01/12/2022 16.55.26 ⇥
Dimensione: 5713
Commento: Revisione
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| ## page upgraded by Carlin0 | |
| Linea 9: | Linea 10: |
| Ad oggi le [[https://it.wikipedia.org/wiki/Password|password]] sono la misura di sicurezza più comunemente utilizzata per proteggere dati e informazioni sensibili, come quelli presenti in un account di posta elettronica o nell'utente di un sistema Ubuntu.<<BR>> | Le [[https://it.wikipedia.org/wiki/Password|password]] sono la misura di sicurezza più comunemente utilizzata per proteggere dati e informazioni sensibili, come quelli presenti in un account di posta elettronica o nell'utente di un sistema Ubuntu.<<BR>> |
| Linea 26: | Linea 27: |
| * non contenga elementi facilmente deducibili (il nome di un famigliare, del proprio animale domestico, date di nascita, nome della squadra per la quale si tifa ecc.) oppure banali e/o facilmente individuabili (ad esempio «''password''», «''qwerty''», «''0123456''» ecc.). | * non contenga elementi facilmente deducibili (il nome di un famigliare, del proprio animale domestico, date di nascita, nome della squadra per la quale si tifa, ecc.) oppure banali e/o facilmente individuabili (ad esempio «''password''», «''qwerty''», «''0123456''», ecc.). |
| Linea 37: | Linea 38: |
| Simboli quali «*» o «#» potrebbero essere non consentiti da alcuni siti. | I caratteri speciali potrebbero essere non accettati da alcuni siti. |
| Linea 44: | Linea 45: |
| * '''Algoritmo implementato dal servizio online''': Anche qualora il titolare del servizio online sia un ricercatore esperto di sicurezza che utilizza un algoritmo ben studiato, occorre sapere che produrre algoritmi sicuri è notoriamente difficile. Molto spesso gli stessi ricercatori esperti non sono sorpresi quando i loro algoritmi "si rompono" e di conseguenza sono vulnerabili. * '''La sicurezza del servizio potrebbe essere compromessa''': Qualora il sito venga violato, un utente malintenzionato potrebbe esaminare l'algoritmo e risalire alle chiavi generate dal servizio online. 3. '''Integrità morale del servizio online''': Anche se si ha fiducia del titolare del servizio, costui in qualunque momento potrebbe rivelare a terzi dati e informazioni sulle password generate, anche per cause di forza maggiore o perché costretto. |
* '''Algoritmo implementato dal servizio online''': anche qualora il titolare del servizio online sia un ricercatore esperto di sicurezza che utilizza un algoritmo ben studiato, occorre sapere che produrre algoritmi sicuri è notoriamente difficile. Molto spesso gli stessi ricercatori esperti non sono sorpresi quando i loro algoritmi "si rompono" e di conseguenza sono vulnerabili. * '''La sicurezza del servizio potrebbe essere compromessa''': qualora il sito venga violato, un utente malintenzionato potrebbe esaminare l'algoritmo e risalire alle chiavi generate dal servizio online. * '''Integrità morale del servizio online''': anche se si ha fiducia nel titolare del servizio, costui in qualunque momento potrebbe rivelare a terzi dati e informazioni sulle password generate, anche per cause di forza maggiore o perché costretto. |
| Linea 50: | Linea 51: |
| Consultare [[/Robuste|questa guida]] per informazioni sulla creazione di password forti, anche tramite strumenti quali '''APG''' e '''/dev/urandom'''. | * [[Sicurezza/KeePassXC|KeePassXC]] è un gestore di password che oltre a crearle provvede alla memorizzazione in sicurezza. * [[Sicurezza/GestionePassword/Robuste|Guida]] per informazioni sulla creazione di password forti, anche tramite strumenti quali '''APG''' e '''/dev/urandom'''. {{{#!wiki note '''APG''' dal 2003 non è attivamente mantenuto dagli autori originali. Il manutentore del pacchetto ha in programma di abbandonare il mantenimento di APG non appena diventa disponibile un software effettivamente mantenuto con un insieme di funzionalità simile. }}} |
| Linea 55: | Linea 62: |
| Solitamente sono necessarie settimane (o più tempo) per ricordare con esattezza una password complessa. Spesso si è soliti avere più password, relative a vari sistemi e/o servizi a cui si è registrati. Tuttavia può succedere di dimenticare alcune lettere nella password più vecchie. Un modo per scongiurare questo problema è generare una password di base e utilizzarla come parte di tutte le password, annotando le parti aggiuntive per ciascun servizio. | Solitamente sono necessarie settimane (o più tempo) per ricordare con esattezza una password complessa. Spesso si è soliti avere più password, relative a vari sistemi e/o servizi a cui si è registrati. Tuttavia può succedere di dimenticare alcune lettere nelle password più vecchie. Un modo per scongiurare questo problema è generare una password di base e utilizzarla come parte di tutte le password, annotando le parti aggiuntive per ciascun servizio. |
| Linea 69: | Linea 76: |
| * password email:{{{ | * password email:{{{ |
| Linea 72: | Linea 79: |
| * password conto corrente bancario:{{{ | * password conto corrente bancario:{{{ |
| Linea 79: | Linea 86: |
| * [[/Recupero|Recuperare password]]: come recuperare password e nome utente dimenticati. * [[/RecuperoWindows|Recuperare password di Windows]]. |
* [[Sicurezza/GestionePassword/Recupero|Recuperare password]]: come recuperare password e nome utente dimenticati. * [[Sicurezza/GestionePassword/RecuperoWindows|Recuperare password di Windows]]. |
| Linea 85: | Linea 92: |
| * [[http://www.adel.nursat.kz/apg/|Sito ufficiale del progetto APG]] * [[http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci916934,00.html?track=sap805|Bad Password Policies]] * [[http://www.sans.org/resources/policies/Password_Policy.pdf|SANS Password Policy Guideline (PDF)]] * [[http://www.sans.org/rr/whitepapers/authentication/1636.php|Simple Formula For Strong Passwords (PDF)]] * [[http://www.smat.us/sanity/pwdilemma.html#anchor12895273|Strong Password Policies]] |
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Le password sono la misura di sicurezza più comunemente utilizzata per proteggere dati e informazioni sensibili, come quelli presenti in un account di posta elettronica o nell'utente di un sistema Ubuntu.
Pertanto scegliere una password "forte", per ogni applicazione o servizio che la richiede, è estremamente importante. Infatti, se una password è troppo "debole" (come ad esempio nel caso di quelle banali oppure di quelle create con parole presenti in un dizionario), diventa potenzialmente vulnerabile e facile bersaglio di eventuali utenti malintenzionati (ad esempio attraverso i cosiddetti "attacchi a dizionario").
Questa guida, non esaustiva, offre alcune indicazioni utili per creare, gestire, archiviare e recuperare le password, utilizzando anche strumenti disponibili con Ubuntu.
Si sconsiglia vivamente di usare la stessa password su diversi sistemi e/o servizi web, poiché li renderebbe tutti non sicuri in caso di violazione di uno solo di essi.
Consigli generali
Scelta della password
Utilizzando criteri minimi di sicurezza e norme dettate dal buon senso, è raccomandabile che una password:
sia di lunghezza non inferiore agli 8 caratteri;
non contenga elementi facilmente deducibili (il nome di un famigliare, del proprio animale domestico, date di nascita, nome della squadra per la quale si tifa, ecc.) oppure banali e/o facilmente individuabili (ad esempio «password», «qwerty», «0123456», ecc.).
- non contenga il proprio nome utente, nome reale o il nome dell'organizzazione;
- non contenga una o più parole intere presenti in un dizionario;
- non sia troppo simile a eventuali password scelte in precedenza;
- contenga possibilmente tre delle seguenti tipologie di caratteri:
lettere minuscole («a», «b», «c», ecc.);
lettere maiuscole («A», «B», «C», ecc.);
numeri («1», «2», «3», ecc.);
caratteri speciali («@», «%», «!», ecc.);
I caratteri speciali potrebbero essere non accettati da alcuni siti.
Limiti dei generatori di password online
Solitamente non è consigliabile utilizzare generatori di password online. I principali motivi sono di seguito riassunti:
Algoritmo implementato dal servizio online: anche qualora il titolare del servizio online sia un ricercatore esperto di sicurezza che utilizza un algoritmo ben studiato, occorre sapere che produrre algoritmi sicuri è notoriamente difficile. Molto spesso gli stessi ricercatori esperti non sono sorpresi quando i loro algoritmi "si rompono" e di conseguenza sono vulnerabili.
La sicurezza del servizio potrebbe essere compromessa: qualora il sito venga violato, un utente malintenzionato potrebbe esaminare l'algoritmo e risalire alle chiavi generate dal servizio online.
Integrità morale del servizio online: anche se si ha fiducia nel titolare del servizio, costui in qualunque momento potrebbe rivelare a terzi dati e informazioni sulle password generate, anche per cause di forza maggiore o perché costretto.
Creazione
KeePassXC è un gestore di password che oltre a crearle provvede alla memorizzazione in sicurezza.
Guida per informazioni sulla creazione di password forti, anche tramite strumenti quali APG e /dev/urandom.
APG dal 2003 non è attivamente mantenuto dagli autori originali. Il manutentore del pacchetto ha in programma di abbandonare il mantenimento di APG non appena diventa disponibile un software effettivamente mantenuto con un insieme di funzionalità simile.
Archiviazione
È chiaramente una cattiva idea conservare le proprie password in luoghi visibili o accessibili al pubblico, mentre è buona norma mantenere le password custodite in un luogo sicuro dove terze persone non possono accedere.
Solitamente sono necessarie settimane (o più tempo) per ricordare con esattezza una password complessa. Spesso si è soliti avere più password, relative a vari sistemi e/o servizi a cui si è registrati. Tuttavia può succedere di dimenticare alcune lettere nelle password più vecchie. Un modo per scongiurare questo problema è generare una password di base e utilizzarla come parte di tutte le password, annotando le parti aggiuntive per ciascun servizio.
Di seguito viene fornito un esempio pratico:
Scegliere un prefisso comune a tutte le password:
UbuntuR0cks
- In seguito scegliere e annotare un suffisso differente per ogni singola password:
email:
#29G%7
conto corrente bancario:
$FF09@
- Infine combinare i due elementi:
password email:
UbuntuR0cks#29G%7
password conto corrente bancario:
UbuntuR0cks$FF09@
Recupero
In base alle proprie esigenze, consultare le seguenti guide:
Recuperare password: come recuperare password e nome utente dimenticati.
