Introduzione

Una password dovrebbe essere semplice da ricordare, difficile da indovinare per le altre persone e complessa abbastanza da impedire che i computer la violino con facilità. Soddisfare ciascuna di queste richieste è semplice, più complicato è scegliere una password che le soddisfi tutte e tre in contemporanea. È molto più semplice ricordare una sola password che 20 password, perciò provare a sceglierne una che possa essere usata su diversi computer e su vari siti web. Ciò spesso significa scegliere una password di almeno 8 lettere/numeri (e talvolta non più di 8). Dovrebbe inoltre essere anche complicata, poiché diversi siti web effettuano un controllo di complessità.

È consigliabile non usare mai il nome del proprio animale domestico, la propria data di nascita, la parola "segreto" o qualsiasi altra parola che possa essere indovinata con facilità. In una buona password sono sempre presenti insieme lettere minuscole, lettere maiuscole e numeri (sarebbe opportuno usare anche dei simboli, come * o #, ma diversi siti web non lo consentono). Riepilogando, è buona norma far si che una password sia:

• di lunghezza non inferiore agli 8 caratteri;

• non contenente il proprio nome utente, vero nome o il nome dell'organizzazione;
• non contenente una parola intera presente in dizionario;
• molto diversa dalla password scelta in precedenza;

• possibilmente contenente 3 (tre) dei seguenti tipi di carattere:

  • lettere minuscole (a, b, c, ecc);
  • lettere maiuscole (A, B, C, ecc);
  • numeri (0, 1, 2, ecc...);
  • caratteri speciali (@, %, !, ecc).

Generalmente una buona password dovrebbe essere composta da almeno otto caratteri alfanumerici e non dovrebbe contenere parole facilmente individuabili, come per esempio la data di nascita. Per creare password robuste con Ubuntu è possibile utilizzare l'applicazione APG (Automated Password Generator) oppure si può ricorrere ad un dispositivo del kernel chiamato /dev/random o /dev/urandom in grado di generare numeri casuali.

APG - Automated Password Generator

Installazione

Installare il pacchetto apg.

Successivamente verrà richiesta una password, che può essere la password dell'utente o la stessa password che si utilizza quando si eseguono i comandi con il comando sudo. Dopo l'autenticazione, il pacchetto APG verrà scaricato e installato. Finita l'installazione il programma è pronto per essere utilizzato e configurato ulteriormente a proprio piacimento.

Utilizzo

Per utilizzare APG, digitare il seguente comando in una finestra di terminale :

apg

Verrà richiesto di digitare dei caratteri a caso e alla pressione del tasto Invio, l'output che verrà mostrato è simile a questo:

queafWodEis5 (queaf-Wod-Eis-FIVE)
WoudElIc6 (Woud-El-Ic-SIX)
GorIacNewt8 (Gor-Iac-Newt-EIGHT)
ShratUplEov7 (Shrat-Upl-E-ov-SEVEN)
hexLyafByff1 (hex-Lyaf-Byff-ONE)
Irkyorn9 (Irk-yorn-NINE)

Il comportamento predefinito di APG è quello di chiedere l'immissione di caratteri a caso dalla tastiera e alla pressione del tasto Invio visualizza 6 password robuste "pronunciabili". Vengono definite "pronunciabili" in quanto possono essere lette come normali parole, infatti APG include la pronuncia tra parentesi di fianco a ogni password. Sono ritenute robuste perché contengono un misto di caratteri minuscoli, maiuscoli e numeri. Per generare password di caratteri casuali al posto di password "pronunciabili", occorre utilizzare l'opzione «-a 1», dove «-a» è l'algoritmo usato da APG e «1» seleziona la modalità casuale. Il seguente comando crea 6 password di caratteri senza la richiesta di input:

apg -a 1

l'output che verrà mostrato sarà simile a questo:

S: w [AoE <
! _IlD # _G / ~
) lL`avASe6
SgzlI:? Lu h
~ Wc (0b "{
'4fU25w%}

Se si vuole in ogni caso inserire dei dati, per creare una password il più sicura possibile, è possibile usare l'opzione «-s».

Un altro esempio è la generazione di 4 WiFi Protected Access Pre Shared Keys (WPA PSK) della lunghezza massima di 63 caratteri casuali, da poter utilizzare nei sistemi WiFi come i Wireless Access Point (WAP). Per generare una simile sequenza di caratteri utilizzando dati casuali dallo standard input, in un terminale digitare:

apg -s -a 1 -m 63 -n 4

Dopo aver fornito i dati casuali da tastiera e premuto il tasto Invio verrà presentato un elenco di potenti PSK-WPA, simile a questi:

+ Diaz * <DmO6VAFR / cQ> B ^ '[mtB;!! J1ABi * n "B <= | _My" 5bZv # * iRJH 0oCcf, @ Z
? Os # 3;} SC2 / A> LG ^ e * 9% 9} pd ^ & A \ 'eLkdC, lk # jB, bcg70I | q @ U: ^ VZP "}> 3z G?
rj ?? <_ Ej% -: 2LW; 4q_ 53 $ ab $ U_ ~ 1I (({ `^ LN1Hd && GKJ + Dw; EQR <\ qH_VQ {` s?!
"X3up}; b ~ / jU6Vo, t"> Dott ~ f_U`NSNr30JmOD @ c'Y:? P2wvc "0s $ MTT <S5Qr \ Azi

Per ulteriori dettagli fare riferimento alla pagina man del programma:

man apg

/dev/random e /dev/urandom

I file speciali a caratteri /dev/random e /dev/urandom (presenti a partire da Linux 1.3.30) forniscono un'interfaccia al generatore del kernel di numeri casuali. Il file /dev/random ha numero primario 1 e numero secondario 8 mentre il file /dev/urandom ha numero primario 1 e numero secondario 9. Il generatore di numeri casuali raccoglie il rumore di fondo dai dispositivi dei driver e da altre sorgenti nella fonte di entropia e mantiene anche una stima del numero di bit di rumore nella fonte di entropia. Da questa fonte di entropia vengono creati i numeri casuali. Inoltre /dev/random è adatto ad usi che richiedono un alto grado di casualità, come la cifratura "one-time pad" e la generazione di chiavi.

Utilizzo

Se non si è sicuri di quale programma usare,/dev/random o /dev/urandom, probabilmente la scelta migliore è l'ultimo. Come regola generale, si dovrebbe usare per tutto /dev/urandom, fatta eccezione per chiavi GPG/SSL/SSH esistenti da molto tempo. E' possibile generare password di varie lunghezze tramite il valore «head -n» seguito dal numero di caratteri che si desidera utilizzare. Ad esempio, per generare una password composta da 10 caratteri alfanumerici, digitare il seguente comando in una finestra di terminale:

strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 10 | tr -d '\n'; echo

Il risultato sarà simile al seguente:

f2AJpELBKX

Questo strumento ci permette inoltre di utilizzare caratteri speciali per generare password. Per fare ciò sostituire il parametro «alnum» con «graph». Ad esempio, per generare una password composta da 10 caratteri, alfanumerici e speciali, digitare il seguente comando in una finestra di terminale:

strings /dev/urandom | grep -o '[[:graph:]]' | head -n 10 | tr -d '\n'; echo

Il risultato sarà simile al seguente:

E>/*K:NnCt

Recuperare password:come recuperare password e nome utente dimenticati

Può capitare per un qualunque motivo di dimenticare il nome utente e/o la password per accedere al sistema operativo o di sbagliare, in fase di installazione, ad inserire correttamente il nostro nome utente e/o la password. La seguente guida spiega come recuperare questi dati.

Recupero della password in modalità di ripristino

Entrare nella modalità di ripristino di Ubuntu seguendo la relativa guida.

Se non si ricorda solamente la password

1. Digitare in un terminale il seguente comando:

   passwd nomeutente

   sostituendo la dicitura nomeutente con il nome dell'utente desiderato

2. Inserire la nuova password per l'utente indicato;

3. Riavviare il sistema digitando:

   reboot

Se non si ricorda il nome utente e la password

1. Digitare in un terminale il seguente comando:

   ls /home

Verrà mostrato un elenco delle cartelle Home presenti nel sistema, i cui nomi corrispondono ai nomi degli utenti.

1. Digitare il seguente comando:

   passwd nomeutente

   sostituendo a nomeutente il nome dell'utente ricavato al passo precedente

2. Riavviare il sistema digitando:

   reboot

Non è possibile recuperare i dati di accesso in nessuna maniera

Se non si è riusciti a recuperare nome utente e/o password in nessuna delle maniere sopra elencate, è possibile procedere alla creazione di un nuovo utente:

1. Digitare in un terminale il seguente comando:

   adduser nomeutente

   sostituendo a nomeutente il nome che si desidera utilizzare per il nuovo utente

2. Una volta creato, è necessario aggiungere l'utente al gruppo sudo, altrimenti non sarà possibile eseguire operazioni che richiedano i privilegi di amministrazione. Per fare ciò, digitare il seguente comando:

   sudo adduser nomeutente sudo

   sostituendo a nomeutente il nome scelto al passo precedente.

3. Riavviare il sistema digitando:

   reboot

Recuperare la password con John the Ripper

Questa sezione contiene delle istruzioni utili al recupero delle password dimenticate con John the Ripper.

Installazione

Installare il pacchetto john presente nei repository ufficiali.

Utilizzo

1. Aprire un terminale.

2. Per convertire i file contenenti le informazioni sugli utenti e sulle password in un formato leggibile da John the Ripper, salvando il risultato nel file ~/passwd.test, digitare:

   sudo unshadow /etc/passwd /etc/shadow > passwd.test

3. Per avviare la ricerca delle password nel file appena creato digitare:

   john ~/passwd.test

4. Per visualizzare le password digitare:

   john ~/passwd.test --show

5. Modalità di ripristino

= Recuperare password di Windows =

Ulteriori risorse

• # Sito ufficiale del progetto APG - Impossibile raggiungere la pagina

• Bad Password Policies

• Man random e urandom

• SANS Password Policy Guideline (PDF)

• Simple Formula For Strong Passwords (PDF)

• Strong Password Policies

• The Diceware Passphrase Home Page

• PyPass