mainSlogopaceclick Blog  · informatica · elettronica · astronomia..

Come visualizzare in chiaro le password immesse dai browser o nascoste da pallini o asterischi

Tutti i browser di ultima generazione consentono di memorizzare le password immesse dall'utente, in modo da auto inserirle nei moduli alla successiva visita del sito.

Lo faceva Internet Explorer, ma adesso anche Firefox, Edge, e Chrome.

undefined

Per IE ed Edge, le password sono cifrate nel Vault di Windows, per Firefox e Chrome invece no:
in quest'ultimo per esempio non è possibile impostare una 'master password' per cifrare i dati memorizzati.

Ma la questione è, serve veramente? No.

Perchè in ogni caso, il browser, quando andrà a riempire il modulo web, dovrà comunque inserire la password in chiaro, come se la stessimo inserendo noi da tastiera.

Quindi anche cifrando il database delle password salvate si potrebbe facilmente risalire alle originali usando un semplice browser.

Come risalire alla password immessa se compare come serie di pallini o asterischi?

Basta aprire il browser in cui abbiamo memorizzato la password, ed aprire il sito.

A questo punto lasciare auto completare i campi dal browser, la password apparirà come una serie di pallini:

undefined

Adesso, basta cliccare con il destro sul campo della password, e selezionare 'ispeziona elemento'.
NOTA: a seconda del browser in uso è possibile che non compaia tale voce, in ogni caso si può sempre aprire il pannello 'strumenti di sviluppo' con F12; da qui selezionare il pulsante che ha come icona un puntatore, ed in seguito andare a selezionare il campo della password.

Si aprirà il pannello con il codice DOM della pagina (in modo estremamente semplificato è il sorgente con anche le modifiche dell'utente) con già selezionata la riga del codice in cui viene immessa la password.

Avrà uno stile come questo:

undefined

 

Non dobbiamo fare altro che doppio clic sul parametro type="password" e modificarlo semplicemente in type="text" (premere poi il tasto Invio).

undefined

In questo modo vedremo istantaneamente nella pagina web i pallini scomparire e convertirsi in testo: la nostra password. 

Come si crea una password sicura e facilmente ricordabile

Molto spesso ci viene detto che le password più usate sono sempre le stesse (esempio: 123456, password, qwerty, ecc..), o comunque riconducibili a date di nascita o momenti memorabili della propria vita.

undefined

Ebbene, usare personaggi pubblici o luoghi reali non è comunque una buona idea: esistono infatti dei software (come John the Ripper) che sono in grado di usare dei dizionari enormi, in grado quindi di eseguire un brute-force (vedi qui) e trovare anche password più complesse in pochi minuti.

Ad esempio: per scoprire 'login' o 'password' o 'america' ci vuole solo qualche secondo (!).

undefined

Navigando su internet abbiamo la necessità di creare decine di password (che sarebbe meglio avere tutte diverse tra loro!), e ci viene sempre consigliato di crearle con dei pattern abbastanza complessi.

Ad esempio
, dal pattern <maiuscola><minuscola><numero><carattere speciale>, possiamo creare Ab0', oppure se di 8 caratteri abaB00-?

Saprete bene che ricordarsi anche 5 di queste password è molto difficile (e portarsi dietro un foglietto NON è la soluzione giusta).

Come fare allora per ricordarsi una password molto complessa?

Se lo sono chiesti anche degli Hacker Etici (White Hat) della Red Team Security, azienda di sicurezza del Minnesota.

Il gruppo dice che per avere una password forte (che resiste ad attacchi brute force), tutto quello che dobbiamo fare è inventarci una frase di senso compiuto o comunque facile (per noi) da ricordare, e da questa, tenere SOLO le lettere iniziali.

Ad esempio: "A luglio sono stato 7 giorni al mare", diventerebbe "Alss7gam".
Oppure, sempre da quella frase, tenere le prime 2 lettere: "Alusost7gialma" (in tal caso solo noi sapremo di dover prendere n lettere).

Questo tipo di password sono praticamente imprevedibili, perchè non sono parole di senso compiuto, e per ciò non presenti anche in ipotetiche rainbow-table.

Avremo quindi una password abbastanza complessa da essere accettata da molti siti, abbastanza unica nel suo genere e quindi imprevedibile.

Inoltre abbiamo raggiunto il nostro scopo, ricordarcela!

:D

Come funziona la password di Windows e perchè quando ne inseriamo una sbagliata il pc impiega più tempo

A tutti sarà capitato di inserire una password sbagliata su Windows (XP/7/8..) e di notare che il computer in questo caso impiega più tempo per riproporre il campo di inserimento.

Molti si saranno chiesti perché quando inseriamo la password corretta il PC la riconosce subito, mentre rimane in una sorta di semi-stallo altrimenti.

undefined

Alcuni avranno pensato che il computer deve eseguire più calcoli per verificare la password 'sbagliata', ma non è così.

Le istruzioni che il PC esegue per la verifica delle password sono sempre le stesse: esegue un hash tra la chiave inserita e quella precedentemente memorizzata.

La memorizzazione nel sistema della password iniziale avviene non in forma 'plain text' (testo leggibile), viene invece eseguito un Hash OWF (problema di complessità classe NP) e memorizzato in una stringa per questioni di sicurezza (non si potrà risalire alla password immessa anche con in mano tale stringa).

Quando andiamo ad inserire la password per accedere, il PC esegue una nuova conversione Hash e compara la nuova stringa con quella salvata inizialmente.

Se vi è una corrispondenza, lascia accedere al desktop, altrimenti ripropone il campo per l'inserimento.

Ma allora se esegue gli stessi calcoli, perché impiega più tempo quando sbagliamo?

E' una misura di sicurezza: imponendo un breve ritardo in caso di fallimento si potranno evitare attacchi brute force (in poche parole quelli che provano tutte le password per cercare quella giusta), in quanto anche solo 5 secondi di attesa farebbero lievitare tali attacchi da anni a decenni in più per poter essere portati a termine.

Il nome generico per questo comportamento è tarpitting.
Concetto inizialmente utilizzato nel rilascio degli accessi per dispositivi di rete, oggi ormai esteso anche a molte altre applicazioni.
Una spiegazione approfondita qui.

Password: le dieci più utilizzate (e da non utilizzare)

Come scegliere una password?

Ci sono moltissime combinazioni, alcune più efficienti, altre meno; sono sicuramente da evitare quelle che richiamano alla nostra vita reale.

Il messaggio di Google è chiaro: “Il migliore amico dell’uomo (il cane) fa un lavoro esemplare nel proteggere la tua casa - così inizia un articolo di Fox Van Allen sul sito The Time -. Ma quando deve proteggere i tuoi account su internet, il nome del tuo amato cane è letteralmente la peggiore scelta possibile”.

Dimenticate il cane insomma, e con questo, ovviamente, tutto l’elenco che segue:

  • Il nome dei propri animali domestici
  • Una data conosciuta ai più, come per esempio l’anniversario di matrimonio
  • Il nome di un figlio
  • Il nome di un membro della famiglia
  • Il giorno del proprio compleanno
  • Una vacanza preferita
  • Qualcosa che abbia a che fare con la vostra squadra del cuore
  • Il nome di una persona a voi cara
  • La parola 'password'

Perché la necessità di un consiglio da parte di Google?

Se solo si pensa che nel 2014, la password più usata in assoluto sembra essere '123456', ci si rende conto della gravità della situazione.

In particolare le 25 password più usate nel 2014 sono:

123456, password, 12345, 12345678
qwerty, 123456789, 1234, baseball,
dragon, football, 1234567, monkey,
letmein, abc123, 111111, mustang,
access, shadow, master, michael,
superman, 696969, 123123,
batman, trustno1

Inutile dire che se avete una password tra queste, sarebbe il caso di cambiarla urgentemente.

Home