Caratteri speciali nella password

[TommyB1992]

Come vengono gestiti i caratteri speciali tipo "ţ" nella password dai sistemi di criptazione password come md5/sha1 etc...?

Ha senso inserirli nella password?

[Wilson]

Se vengono accettati (non tutte le passwd li ammettono), vendono gestiti come tutti gli altri: sono speciali solo ai nostri occhi.

Ha senso inserirli perché ampliano il numero di possibili passwd di quella lunghezza e di conseguenza i tentativi che deve fare chi volesse indovinarla (però è quasi inutile usare una passwd semplice limitandosi a qualche sostituzione, ad esempio "oţţobr3" è una passwd facilmente indovinata); personalmente preferisco una passwd molto lunga, ma digitabile con una mano sola e su qualunque tastiera (purtroppo in molti casi passwd così lunghe non sono accettate).

[TommyB1992]

Se vengono accettati (non tutte le passwd li ammettono), vendono gestiti come tutti gli altri: sono speciali solo ai nostri occhi.

Ha senso inserirli perché ampliano il numero di possibili passwd di quella lunghezza e di conseguenza i tentativi che deve fare chi volesse indovinarla (però è quasi inutile usare una passwd semplice limitandosi a qualche sostituzione, ad esempio "oţţobr3" è una passwd facilmente indovinata); personalmente preferisco una passwd molto lunga, ma digitabile con una mano sola e su qualunque tastiera (purtroppo in molti casi passwd così lunghe non sono accettate).

Lunga quanto? Perchè digitabile con una sola mano? Se puoi farmi un esempio...

Comunque quando parli di indovinata... intendi da chi? Un attacco brute force che si basa su dizionario ovviamente non funzionerebbe (ma poco conta, neanche se inserisco nome.cognome come password verrebbe indovinata da un software di questo tipo), mentre anche quelli che tentano combinazioni casuali di caratteri spesso hanno fra le loro impostazioni il range dei tipi di caratteri (infatti generalmente si tenta sempre l'alfanumerico e poi se proprio non va si aggiungono progressivamente caratteri speciale come . , _ etc...

Indovinata intendevi da (per esempio) rainbow tables?
Ciao, grazie e fammi sapere...

[Wilson]

Per quel che ne so (ma sono solo un passante interessato, non certo un esperto del settore) i moderni sistemi per attacco a dizionario includono tutte le sostituzioni semplici (e pure nome.cognome, se l'attacco è mirato); per quel che riguarda le rainbow table ho letto da più parti che sono più o meno una cosa del passato (nel senso che il miglioramento dei processori ha reso più economico elaborare i dati sul momento).

un esempio di passwd che potrei usare: "prevedesse sassosi coniugo superfluo", sono 4 parole estratte a caso da un elenco di circa 30000, dovrebbe avere un livello di sicurezza simile a quello di una passwd con caratteri di ogni tipo di 11 o 12 caratteri (posto che il software dell'attaccante conosca il modo in cui è fatta), se non ricordo male i conti che avevo fatto tempo fa.

La preferisco a una passwd come "C+]K;n&D}cC" perché è più facile da ricordare (ogni quartetto di parole è una filastrocca: se la digiti qualche volta al giorno non la scordi più), non rischio di non saper digitare un carattere se devo farlo su una tastiera diversa (o mal configurata) e posso digitarla anche se ho una mano impegnata (visto che non serve mai pigiare più di un tasto contemporaneamente); inoltre dopo un po' la scrivo molto velocemente ed è difficile che qualcuno riesca a capirla (e memorizzarla) vedendomela digitare (sia chiaro: se il contesto è particolarmente importante mai digitare in presenza di altri, inoltre potrebbe bastare un filmato...).
Quando non è previsto che io la digiti a mano (ad esempio perché uso un passwd manager e al massimo posso resettarla) ovviamente preferisco una cosa come "C+]K;n&D}cC:#@5,`"/0lY]Zl,4'pj"

[Mdfalcubo]

Sposto al bar. Ti ricordo che nelle sezioni tecniche si aprono post per supporto a problemi tecnici. Domande di informazioni/consigli/pareri vanno fatte al bar. Grazie.

[TommyB1992]

Per quel che ne so (ma sono solo un passante interessato, non certo un esperto del settore) i moderni sistemi per attacco a dizionario includono tutte le sostituzioni semplici (e pure nome.cognome, se l'attacco è mirato); per quel che riguarda le rainbow table ho letto da più parti che sono più o meno una cosa del passato (nel senso che il miglioramento dei processori ha reso più economico elaborare i dati sul momento).

un esempio di passwd che potrei usare: "prevedesse sassosi coniugo superfluo", sono 4 parole estratte a caso da un elenco di circa 30000, dovrebbe avere un livello di sicurezza simile a quello di una passwd con caratteri di ogni tipo di 11 o 12 caratteri (posto che il software dell'attaccante conosca il modo in cui è fatta), se non ricordo male i conti che avevo fatto tempo fa.

La preferisco a una passwd come "C+]K;n&D}cC" perché è più facile da ricordare (ogni quartetto di parole è una filastrocca: se la digiti qualche volta al giorno non la scordi più), non rischio di non saper digitare un carattere se devo farlo su una tastiera diversa (o mal configurata) e posso digitarla anche se ho una mano impegnata (visto che non serve mai pigiare più di un tasto contemporaneamente); inoltre dopo un po' la scrivo molto velocemente ed è difficile che qualcuno riesca a capirla (e memorizzarla) vedendomela digitare (sia chiaro: se il contesto è particolarmente importante mai digitare in presenza di altri, inoltre potrebbe bastare un filmato...).
Quando non è previsto che io la digiti a mano (ad esempio perché uso un passwd manager e al massimo posso resettarla) ovviamente preferisco una cosa come "C+]K;n&D}cC:#@5,`"/0lY]Zl,4'pj"

Per quel che ne so (ma sono solo un passante interessato, non certo un esperto del settore)

Ah vabbe io non sono neanche questo...

Sei stato gentilissimo ad essere così disponibile a spiegarti e condividere i tuoi pensieri.