Help password keeper

[Likelick]

Come da oggetto, sto usando da parecchio Lastpass come password keeper, ma stavo leggendo in giro che in Giugno ha subito un attacco hacker e mi stanno sorgendo dubbi sulla reale sicurezza di tenere pw e dati sensibili in cloud.

Voi che cosa usate?... c'è anche tal http://keepass.info/ che sembra essere consigliato da moltissime persone... ma sempre cloud è...

PS scusate, leggendo meglio non è in cloud, ma in local...

Non so, sono un po' sulle spine... attendo consigli...

 

[Likelick]

:scratch_one-s_head: così mi state facendo confusione... non so più cosa usare con tutti sti consigli...

Ma voi non le usate queste app infernali?... non oso pensare di esser l'unico qui dentro...

 

[uskebasi]

io le password le ho tutte in testa.

per le emergenze della mia memoria ho un semplicissimo file di testo nel mio pc dove ci sono tutte. eccetto 2:

- la mia mail personale
- punterforum

 

[tarell]

Da buon conoscitore di pc ti posso dire che la cosa migliore sarebbe di farti da solo un programma di criptaggio.
Oppure usando un criterio di tua ideazione, tipo un "alfabeto di Cesare" utilizzando non solo le lettere dell'alfabeto ma anche una buona parte di simboli, facendo poi un doppio passaggio, cioè crei il tuo file delle password, cripti il file con una password (ma questa la devi ricordare), otterrai un testo che ripasserai di nuovo al criptaggio con una seconda password (anche questa da ricordare).
Un hacker con le palle potrebbe riuscire a decriptare un passaggio, ottenendo un file di caratteri inintelleggibili, quindi senza riprova che il suo decriptaggio sia andato a buon fine....
Un'altra idea sarebbe di usare un alfabeto con le lettere tutte rimescolate...

Naturalmente tutto il sistema usato dovrebbe rimanere esclusivamente nella tua testa, nessuno ne dovrebbe conoscere il funzionamento.

 

[Infizz]

Voi che cosa usate?... ...

Keepass

 

[pedrobass]

Usa keepass e vai tranquillo

 

[Randomico]

Usa keepass.

So che un problema che ha (o forse aveva in una versione precedente?) LastPass è... non cifra l'intero file!
Vengono (venivano?) cifrate solo le password, ma le altre informazioni no! Quindi se qualcuno apriva il file non avrebbe potuto conoscere le password ma poteva venir a sapere che tu hai un account su Punterforum con username Likelick.

Keepass invece critta tutto il file, e dunque anche i meta dati come nomi utente, siti relativi agli account ecc sono tutti protetti.

 

[Randomico]

Da buon conoscitore di pc ti posso dire che la cosa migliore sarebbe di farti da solo un programma di criptaggio.
Oppure usando un criterio di tua ideazione, tipo un "alfabeto di Cesare" utilizzando non solo le lettere dell'alfabeto ma anche una buona parte di simboli, facendo poi un doppio passaggio, cioè crei il tuo file delle password, cripti il file con una password (ma questa la devi ricordare), otterrai un testo che ripasserai di nuovo al criptaggio con una seconda password (anche questa da ricordare).
Un hacker con le palle potrebbe riuscire a decriptare un passaggio, ottenendo un file di caratteri inintelleggibili, quindi senza riprova che il suo decriptaggio sia andato a buon fine....
Un'altra idea sarebbe di usare un alfabeto con le lettere tutte rimescolate...

Naturalmente tutto il sistema usato dovrebbe rimanere esclusivamente nella tua testa, nessuno ne dovrebbe conoscere il funzionamento.

Per la cronaca quello che suggerisce è la Security Through Obscurity ed è ben noto che NON funziona.
Primo problema: il programma che usi per cifrare/decifrare può essere "reverse engineer"izato, e dunque si può scoprire qual è l'algoritmo anche se non lo dici a nessuno e non tieni il codice sorgente.

Una volta che l'attaccante sa l'algoritmo è facile decifrare le cifrature "fatte in casa". La crittografia moderna invece si basa sullo sfruttare proprietà matematiche e problemi algoritmi per i quali nessuno conosce una soluzione efficiente (se questa esiste!) (e.s. fattorizzazzione di numeri grandi, o calcolare punti razionali sulle curve ellittiche, o il logaritmo discreto etc.)

Per intenderci, io ho una formazione accademica che include la sicurezza, dalla crittografia, alla verifica formale dei protocolli di sicurezza. Essere "esperti di pc" non ha nulla a che fare col conoscere ciò che è necessario sapere per ottenere un sistema crittograficamente sicuro, quindi pregasi di evitare di dare consigli deleteri della sicurezza altrui...
per lo stesso motivo chi non è medico non dà consigli medici, e chi non è avvocato non dà consigli legali (se non con enormi disclaimer).

 

[raspa]

.....mannaggia..... a leggere questi vostri post... mi rendo conto di essere completamente out....
Intuisco solo che parlate di sistemi di criptaggio di password e di altre diavolerie....
Io come password sono rimasto al nome del mio labrador
Praticamente le mie cose sono alla mercé di chiunque!

 

[Likelick]

:scratch_one-s_head: quindi sto capendo che Lastpass che uso tutt'ora e che trovo estremamente comodo rispetto ad altri che ho usato come Roboform, non vale una cicca?... ho provato anche Keepass ma mi risulta un po' ostico, non semplice ed intuitivo come LP.

L'unica cosa che non riesco a fare con LP, è che dicono si possa usare tenendo le pass in locale senza usare il loro cloud, ma non ci sono riuscito... mi chiede sempre l'accesso remoto...

 

[tarell]

Per la cronaca quello che suggerisce è la Security Through Obscurity ed è ben noto che NON funziona.
Primo problema: il programma che usi per cifrare/decifrare può essere "reverse engineer"izato, e dunque si può scoprire qual è l'algoritmo anche se non lo dici a nessuno e non tieni il codice sorgente.

Una volta che l'attaccante sa l'algoritmo è facile decifrare le cifrature "fatte in casa". La crittografia moderna invece si basa sullo sfruttare proprietà matematiche e problemi algoritmi per i quali nessuno conosce una soluzione efficiente (se questa esiste!) (e.s. fattorizzazzione di numeri grandi, o calcolare punti razionali sulle curve ellittiche, o il logaritmo discreto etc.)

Per intenderci, io ho una formazione accademica che include la sicurezza, dalla crittografia, alla verifica formale dei protocolli di sicurezza. Essere "esperti di pc" non ha nulla a che fare col conoscere ciò che è necessario sapere per ottenere un sistema crittograficamente sicuro, quindi pregasi di evitare di dare consigli deleteri della sicurezza altrui...
per lo stesso motivo chi non è medico non dà consigli medici, e chi non è avvocato non dà consigli legali (se non con enormi disclaimer).

Ecco l'esperto di turno.... Tutti sono bravi a criticare.
Stiamo parlando di una moglie che cerca di scoprire le password del marito, persone comuni, non dei segreti del Pentagono!
Il tuo link parla del sistema, ma non è la prima parte che ne parla, bensì la seconda.
Infatti ti posso dire che si basa sullo shift dell'alfabeto, ma con un doppio passaggio; ne potresti risolvere uno senza averne consapevolezza quindi senza saperlo e non otterresti risultato.
La segretezza che tu dici riguarda le due password di criptaggio (le UNICHE che proteggeranno qualsiasi altra cosa) è chiaro che queste due occorre tenerle segrete.
Credo che effettivamente sia stato craccato, ma non è certo alla portata di tutti ricreare il crac, probabilmente nemmeno tu, universitario della sicurezza, ci riusciresti.

 

[Likelick]

Ecco l'esperto di turno.... Tutti sono bravi a criticare.
Stiamo parlando di una moglie che cerca di scoprire le password del marito, persone comuni, non dei segreti del Pentagono!
Il tuo link parla del sistema, ma non è la prima parte che ne parla, bensì la seconda.
Infatti ti posso dire che si basa sullo shift dell'alfabeto, ma con un doppio passaggio; ne potresti risolvere uno senza averne consapevolezza quindi senza saperlo e non otterresti risultato.
La segretezza che tu dici riguarda le due password di criptaggio (le UNICHE che proteggeranno qualsiasi altra cosa) è chiaro che queste due occorre tenerle segrete.
Credo che effettivamente sia stato craccato, ma non è certo alla portata di tutti ricreare il crac, probabilmente nemmeno tu, universitario della sicurezza, ci riusciresti.

no aspetta, forse state uscendo dal seminato... io non devo nascondere la pass di PF dalla moglie, per fortuna non sa nemmeno accenderlo il pc... mi riferivo al sistema che mi tiene le pass anche della banca, di una banca dati, altri siti con dati personali... oltre a PF ovviamente, ma questa me la ricordo senza Lastpass...

 

[tarell]

no aspetta, forse state uscendo dal seminato... io non devo nascondere la pass di PF dalla moglie, per fortuna non sa nemmeno accenderlo il pc... mi riferivo al sistema che mi tiene le pass anche della banca, di una banca dati, altri siti con dati personali... oltre a PF ovviamente, ma questa me la ricordo senza Lastpass...

Si, scusami, ho un po' estremizzato le metafore... in pratica ho uguagliato il sistema di cui parli ad una moglie, dato che, effettivamente, non differiscono molto in quanto a conoscenze tecniche.
Solo da poco tempo se vai in banca o alle poste non ti strabuzzano gli occhi se parli di operazioni tramite internet.
Per cui io penso che la modalità di cui parlo sia sufficiente per proteggere i dati sul tuo PC. Per la CIA, l'MI6, o il Pentagono, assolutamente no.
(Per la serie "non usare il cannone per uccidere zanzare")

 

[L3ONARDO]

E se invece si provasse a fare un po di esercizio mentale???

In fondo sono sufficienti tre, quattro o massimo cinque passw differenti... non è che è uno sforzo così grande.
Nel cervello non ti entra nessuno, a meno ché non hai la sfiga di incontrare Dynamo, se poi non le ricordi è ora di fare un controllo, ma quello delle passw è il problema minore...

Il colmo sarebbe usare Keepass per poi, a distanza di tempo, non ricordarsi la chiave d'accesso...

 

[Likelick]

E se invece si provasse a fare un po di esercizio mentale???

In fondo sono sufficienti tre, quattro o massimo cinque passw differenti... non è che è uno sforzo così grande.
Nel cervello non ti entra nessuno, a meno ché non hai la sfiga di incontrare Dynamo, se poi non le ricordi è ora di fare un controllo, ma quello delle passw è il problema minore...

Il colmo sarebbe usare Keepass per poi, a distanza di tempo, non ricordarsi la chiave d'accesso...

sì ma se vuoi usare pass decenti, non puoi usare pippopippo o mipiacelafiga semplicemente... se, come consigliano, usi pass di un certo livello, prova a ricordare tipo S4@&F28#cRr€0...

 

[L3ONARDO]

sì ma se vuoi usare pass decenti, non puoi usare pippopippo o mipiacelafiga semplicemente... se, come consigliano, usi pass di un certo livello, prova a ricordare tipo S4@&F28#cRr€0...

Ch1€D0#3$#p3r#çOns1Gl14r3 ..

.. è abbastanza sicura per i tuoi standard?
L'ho creata adesso ma, credimi, posso ricordarla facilmente.
Vediamo se scopri il perché.... non dovrebbe essere complicato...

C'è un detto che dice...
Aiutati che il buon Dio t'aiuta.

 

[Likelick]

Ch1€D0#3$#p3r#çOns1Gl14r3 ..

.. è abbastanza sicura per i tuoi standard?
L'ho creata adesso ma, credimi, posso ricordarla facilmente.
Vediamo se scopri il perché.... non dovrebbe essere complicato...

C'è un detto che dice...
Aiutati che il buon Dio t'aiuta.

si riesce a leggere qualcosa come Chiedo ? per consigliare... sì, può essere valida la cosa... la mia mente eccelsa non c'era arrivata

Ma cos'è 3$?...

 

[pendolare]

diciamo che è una passfrase in cui sono stati sostituiti dei caratteri

 

[tarell]

Ch1€D0#3$#p3r#çOns1Gl14r3 ..

.. è abbastanza sicura per i tuoi standard?
L'ho creata adesso ma, credimi, posso ricordarla facilmente.
Vediamo se scopri il perché.... non dovrebbe essere complicato...

C'è un detto che dice...
Aiutati che il buon Dio t'aiuta.

Bravo!
Mi piace!
Però anche questa può diventare complicata e ti parlo di me stesso che una cosa mentre la sto pensando già la passo al dimenticatoio perchè sto pensando a qualcos'altro. Mi spiego:
dopo qualche giorno ti ricordi se la prima lettera era una c maiuscola con l'acca minuscola o il contrario?
Tu si, ma io no, l'avrò dimenticato (comprovato).
E la prima "e" era solo maiuscola oppure € o magari &....e la seconda?
Purtroppo per chi ha poca memoria (io e qualcun altro) è un grosso problema... hai voglia a fare esercizio mentale, al momento cruciale le cose non ti tornano in mente!!!!
Io comunque ho risolto con nomi e date di incontro delle nostre belle girls. Questo lo ricordo facilmente e sono dati che conosco solo io.

 

[L3ONARDO]

Però anche questa può diventare complicata e ti parlo di me stesso che una cosa mentre la sto pensando già la passo al dimenticatoio perchè sto pensando a qualcos'altro. Mi spiego:
dopo qualche giorno ti ricordi se la prima lettera era una c maiuscola con l'acca minuscola o il contrario?

Non sottovalutare il potere della mente.
Quando dici che la dimentichi è solo per disabitudine nel tenere attiva la capacità di memorizzare.
Tu non sei diverso, non c'entra neanche l'età.
Per dire, mio padre (88 anni) quando andiamo nel centro commerciale, man mano che acquista, tiene a mente il costo di ognuno dei prodotti e fa la somma per rendersi conto di quanto sta spendendo... e non sbaglia!
Certo, se c'è un prezzo di € 3,89, lo arrotonda a €4 perché più semplice da sommare... alla fine su 100 euro di spesa avrà uno scarto di 1 o 2 euro.
Se lo dovessi fare io, lo scarto sarebbe del 30% perchè mi scordo, penso ad altro, cazzeggio col telefono e, soprattutto non sono abituato come lui ad usare la memoria. Noi siam nati con la calcolatrice in mano...
Allo stesso modo puoi fare tu;
La figa te la ricordi più facilmente? guarda...

Il 12 luglio ti sei chiavato la Katrina ..
diventa ..
K4tr1n@12#07 ..
semplice da ricordare, 12 caratteri alfanumerici e speciali, sicura abbastanza per quel che ci interessa...