Scadenza password: come fare

[Darklines]

Certo che noi italioti siam proprio dei piangina : non ci va mai bene nulla.
Volevo, però, ricordare che il forum è di proprietà di Emidio ed è lui a decidere cosa può andare bene e cosa no. Siamo noi a doverci adeguare a questa sua scelta. Senza stare a menare troppo il can per l'aia.
Inoltre, in altri paesi del mondo, queste funzionalità vengono utilizzate proprio per tutelare ulteriormente la privacy già troppo bistrattata.

PS: per me questo thread si sarebbe potuto benissimo bloccare all'annuncio di Emidio dove si faceva presente l'introduzione del cambio password forzato ogni X giorni e la spiegazione di come fare proprio per evitare tutto questo.

[Firestart]

Sarà pur vero ma vorrei avere qualche feedback in più. Anche perché sembra che la stragrande maggioranza di utenti stia aggiornando la password senza problemi.

E comunque, secondo alcuni, la privacy è ancora molto preziosa.

Ovviamente, se sto postando qui è proprio perchè la password l'ho aggiornata senza problemi ma, visto che ce ne hai dato tu stesso l'occasione aprendo questa discussione (avresti effettivamente potuto far "calare dall'alto" la decisione e nessuno probabilmente avrebbe aperto bocca) mi sembrava costruttivo proporre alternative.

La privacy su internet è un'illusione e l'ennesima foglia di fico che ci siamo inventati. Sono sicuro che il 90 (e mi tengo basso) percento degli utenti che ritengono la privacy "molto preziosa" compie almeno uno dei mille errori che possono comportare la pubblicazione dei propri dati personali: social networks non configurati a dovere, app sul cellulare installate accettando condizioni senza nemmeno leggerle, e così via...

Che poi AVMagazine non voglia essere responsabile ("moralmente" più che "legalmente" è ovvio, perchè se io che posto ho un keylogger sul mio PC e mi fregano l'account di AVMagazine, la responsabilità effettiva è mia) di eventuali violazioni della privacy dei propri utenti è non soltanto sacrosanto ma anche estremamente lodevole, e in questo senso mi permettevo, prendendo spunto dal post di FabrizioA, di suggerire qualche misura di sicurezza aggiuntiva e, a mio modestissimo avviso, più efficace.

Do per scontato di parlare con persone competenti in materia, e quindi immagino sappiate benissimo che, in caso di un attacco mirato contro l'utenza del forum, anche il vincolo dei 90 giorni per il reset della password è semplicemente inadatto; stiamo quindi parlando di difenderci da un ipotetico attacco su larga scala, che vedrebbe coinvolto AVMagazine come uno delle centinaia (se non migliaia) di siti bersaglio.

Da un attacco di questo genere, il vincolo del reset della password può effettivamente proteggere in maniera ragionevole quella parte di utenza che sarà così accorta da non riutilizzare la stessa password ad ogni reset (hai un feedback su questo? Perchè se la stragrande maggioranza degli utenti stanno facendo quanto suggerito in precedenza su questo thread... beh, non abbiamo risolto niente).

Il punto però è un altro: in caso di un attacco tipo quello di cui stiamo parlando, che vedrebbe coinvolti social network, carte di credito, banche, e chi più ne ha più ne metta... pensate davvero che gli hacker sarebbero interessati a entrare nell'account di un forum per trollare a nome di qualcun altro, o per fare qualche truffetta di basso livello sul mercatino? E' come se un ladro professionista riuscisse a rubarti la borsa contenente contanti, carte di credito, documenti di identità, cellulare, bancomat e relativo codice pin, e decidesse che il modo più opportuno per utilizzare queste cose fosse chiamare con il tuo cellulare per ordinare una pizza e farla recapitare all'indirizzo sbagliato.

In uno scenario come quello che mi sono immaginato, e che credo che realisticamente sia l'unico contro il quale il cambio password ogni 90 giorni potrebbe effettivamente proteggerci (ma potrei benissimo sbagliarmi, quindi se mi sono perso qualcosa tiratemi pure le orecchie), i dati di accesso di AVMagazine non rappresenterebbero le informazioni sensibili che l'hacker starebbe cercando di recuperare, ma il "rumore" di cui parlavo nel mio primo post, ovvero le informazioni che l'hacker scarterebbe perchè inutili ai propri scopi.

E' in questo senso che parlo di rischi e danni estremamente ridotti. Non in senso assoluto, anche io "tengo" in senso astratto alla mia privacy... semplicemente mi rendo conto che in un qualsiasi scenario in cui la mia privacy fosse a rischio perchè non ho cambiato la password di AVMagazine, sarebbero in ballo tante di quelle informazioni ben più importanti che dei dati di AVMagazine non interesserebbe ne a me ne tantomeno agli hacker...

[Emidio Frattaroli]

Approfitto solo per una precisazione. Sono pienamente conscio di non avere la verità in tasca e prendo molto seriamente suggerimenti e commenti come quelli che ho visto in questa discussione. In ogni modo, qualora avessimo prova di un attacco con violazione del database (e delle password), ne saremmo tempestiva comunicazione, chiedendo a tutti di cambiare la propria password all'istante.

Inoltre, c'è anche da dire che gli unici attacchi che riceviamo e che ci aspettiamo di ricevere sono quelli che cercano di inserire banner e link non autorizzati e/o codice malevolo sempre con lo stesso obiettivo: usare le nostre impressions per far guadagnare qualcun altro. Non credo possibile che qualcuno possa rubare le password degli utenti su larga scala per impossessarsi degli account e pubblicare link e banner.

Il furto di password di un forum sembra sia più limitato e circoscritto a poche persone.

L'idea mi sembrava carina. Pronto a tornare a zero qualora fosse un problema insormontabile per troppi di voi.

Emidio

[antani]

Neanche i conti sai fare?....

Piuttosto bene, uso la calcolatrice .

Alla data di oggi 5 agosto 2014, 16283 giorni riportano al 5 gennaio del 1970. Ma la cosa curiosa è che appena 25 giorni dopo nascevo io.

[Emidio Frattaroli]

mmmmm.... Sicuro?

Dovrebbe essere il 26 Febbraio del '70, quando sono nato io.

Altrimenti, sono io ad aver sbagliato i conti!

Emidio

[antani]

Ma allora siamo quasi coetanei!

Io comunque mi sono fidato di questo:
http://calendario.eugeniosongia.com/duration.htm

[Firestart]

Il furto di password di un forum sembra sia più limitato e circoscritto a poche persone.

Perfetto, se il problema allora sono i casi come quello di cui parlava lo stesso Antani, ovvero il furto di un singolo account, o comunque di pochi account "mirati", sono problemi che vanno affrontati in maniera completamente diversa.

In questi casi, infatti, si tratta di un attacco mirato a "indovinare" la password, non di una situazione in cui "pescando nel mucchio" delle coppie username/password di migliaia di utenti e siti diversi, ci si ritrova quasi casualmente in mano i dati di accesso di un utente di AVMagazine.

Vien da se che da un attacco del genere l'obbligo a cambiare la password ogni 90 giorni non protegge. Se un hacker decide che vuole assolutamente rubare un account proprio su AVMagazine, tenterà molto probabilmente un attacco brute force basato su un vocabolario, e riuscirà a procurarsi le password di quegli utenti che ne avranno scelta una troppo semplice; la cosa fondamentale è che un attacco di questo tipo ha un tempo di esecuzione di un diverso ordine di grandezza... non si parla di mesi ma di ore.

Quindi in sostanza se un utente sceglie "mamma" come password, è inutile che lo si costringa a cambiare la password ogni 90 giorni perchè se c'è un attacco mirato su di lui sarà già andato a termine ben prima della data di scadenza. Se volete divertirvi potete andare su questo sito (https://howsecureismypassword.net/) e vedere esattamente quanto tempo servirebbe ad un eventuale attacco mirato per scoprire la vostra password.

Le soluzioni possibili sono due, sempre che lo strumento che usiamo lo consenta:
- costringere gli utenti ad utilizzare password sicure (almeno una lettera minuscola, una maiuscola, un numero, un segno di punteggiatura, una lunghezza minima di 8 caratteri)
- ancora meglio fare in modo che dopo un numero ragionevole di tentativi di accesso falliti consecutivi (anche 10, un numero abbastanza elevato da evitare i falsi positivi) l'account venga bloccato in maniera automatica e sia necessario sbloccarlo manualmente (oltre alla password, richiedere un captcha in modo da tagliar fuori tentativi automatici).

[Emidio Frattaroli]

... Le soluzioni possibili sono due, sempre che lo strumento che usiamo lo consenta:.....[CUT]

Il blocco dopo 5 tentativi c'è. Per la complessità della password possiamo aumentarla ulteriormente.

Aggiungo soltanto una considerazione: come ho già detto, il furto anche di una singola identità è spesso legato ad azioni di spam. La cosa, se e quando avviene, non ci rende particolarmente felici e ci costringe a passare del tempo anche a ripulire il forum.

Emidio

[cinemaniaco]

Ciao a tutti
con il cambio della password dopo la scadenza ho sempre problemi sullo smartphone. Prima dopo aver resettato e reinstallato la app riuscivo a inserire la nuova. Ma adesso sul modello nuovo di telefono non riesco piu ad inserire. mi da errore: ERRORE SCONOSCIUTO, CODICE ERRORE STRIKES

La pass che metto è giusta ho fatto la prova numerosissime volte. Dal PC nessun problema come potete vedere.
Avete consigli ? Grazie

[gio1981]

sono riuscito a reimpostare la password !! devo dire che ho avuto diversi problemi, in pratica mi ero registrato al forum con una mail che non uso piu' e non riuscivo a cambiare la password, dopo numerosi tentativi sono riuscito.
Adesso la password l' ho scritta in un documento e la tengo sul desktop assieme ad altre.
Se posso dire la mia non mi sembra una bella regola, ho dovuto cambiare password e aggiungere dei numeri, e se devo farlo ogni 3 mesi la cosa mi scoccia, se qualcuno dovesse avere la mia password per me non sarebbe la fine del mondo, manco fosse la password del mio conto in banca, aggiungo che di tutti i siti in cui mi sono iscritto questa storia della password che va cambiata ogni 3 mesi solo qui c'è
Secondo me si rischia solo che certi utenti perdano la password e non riescano piu' ad accedere al forum.
Io ho detto solo il mio parere.

[Nordata]

Che si possa perdere una pwd mi sembra una cosa strana, ci sono comunque tantissimi siti che richiedono sistematicamente il cambio della pwd; direte che sono siti "più seri" di questo (finanziari e simili), può darsi, ma poichè il responsabile delle privacy e dei dati è l'Amministratore non vedo perchè debba rischiare di andare incontro a problemi solo perchè qualcuno è "pigro" oppure trova che è un "lavoro improbo" mettere una pwd nuova ogni tanto.

Piccolo trucco, non è un segreto lo conoscono tutti, ma lo riporto qui.

Ecco un esempio di pwd:

Nmdcdnvmrpusocldves

ci potete poi aggiungere dei numeri alla fine o all'inizio, anche sempre gli stessi, magari dei trattini tra una lettera e l'altra, l'importante è tenere a mente le lettere.

Impossibile? Proprio no, guardate qui:

Nel mezzo del cammin di nostra vita mi ritrovai per una selva oscura ché la diritta via era smarrita

Inserite solo la lettera iniziale di ogni parole e siete a posto (usatene anche meno, è solo un esempio).

Credo che tutti conosciate qualche frase celebre, vanno bene anche i meno nobili versi di una canzone.

p.s.: no, non uso quella pwd, è inutile che tentiate per entrare con i miei privilegi per poi potermi bannare.

[Firestart]

Ottimo il consiglio di Nordata, tra l'altro una password come quella è assolutamente sicura, anche se non contiene numeri, caratteri speciali o simili, in quanto la lunghezza batte di gran lunga la complessità quando si tratta di attacchi di forza bruta...