Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/GestionePassword"
Differenze tra le versioni 1 e 29 (in 28 versioni)
Versione 1 del 12/03/2008 15.54.06
Dimensione: 5158
Autore: GiuseppeTerrasi
Commento:
Versione 29 del 23/07/2024 12.34.41
Dimensione: 6269
Autore: andreas-xavier
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
## page upgraded by Carlin0
Linea 3: Linea 4:
[[BR]]
||<tablestyle="float:right; font-size: 0.9em; width:35%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">'''Indice'''[[BR]] [[TableOfContents]]||		 <<BR>>
<<Indice(depth=2)>>
<<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?f=46&t=168866")>>
Linea 7: Linea 9:
Una password dovrebbe essere semplice da ricordare, difficile da indovinare per le altre persone e complessa abbastanza da impedire che i computer la violino con facilità. Soddisfare ciascuna di queste richieste è semplice, più complicato è scegliere una password che le soddisfi tutte e tre in contemporanea.
Linea 9: Linea 10:
E' molto più semplice ricordare una sola password che 20 password, perciò provare a sceglierne una che possa essere usata su diversi computer e su vari siti web. Ciò spesso significa scegliere una password di almeno 8 lettere/numeri (e talvolta non più di 8). Dovrebbe inoltre essere anche complicata, poiché diversi siti web effettuano un controllo di complessità. Le [[https://it.wikipedia.org/wiki/Password|password]] sono la misura di sicurezza più comunemente utilizzata per proteggere dati e informazioni sensibili, come quelli presenti in un account di posta elettronica o nell'utente di un sistema Ubuntu.<<BR>>
Pertanto scegliere una password "forte", per ogni applicazione o servizio che la richiede, è estremamente importante.
Infatti, se una password è troppo "debole" (come ad esempio nel caso di quelle banali oppure di quelle create con parole presenti in un dizionario), diventa potenzialmente vulnerabile e facile bersaglio di eventuali utenti malintenzionati (ad esempio attraverso i cosiddetti "[[https://it.wikipedia.org/wiki/Attacco_a_dizionario|attacchi a dizionario]]").
Linea 11: Linea 14:
||<tablestyle="text-align: justify; width:100%; " style="border:none;" 5%>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;">''Usare la stessa password su diversi sistemi e/o siti web significa anche che tutti i sistemi e/o siti web diventano vulnerabili una volta che la password è stata crackata in uno di questi.'' || Questa guida, non esaustiva, offre alcune indicazioni utili per creare, gestire, archiviare e recuperare le password, utilizzando anche strumenti disponibili con Ubuntu.
Linea 13: Linea 16:
E' consigliabile non usare mai il nome del proprio animale domestico, la propria data di nascita, la parola "segreto" o qualsiasi altra parola che possa essere indovinata con facilità. In una buona password sono sempre presenti insieme lettere minuscole, lettere maiuscole e numeri (sarebbe opportuno usare anche dei simboli, come * o #, ma diversi siti web non lo consentono).

Riepilogando, è buona norma far si che una password sia:

 * di lunghezza non inferiore agli '''8''' caratteri;
 * non contenente il proprio nome utente, vero nome o il nome dell'organizzazione;
 * non contiene una parola intera contenuta in un dizionario;
 * molto diversa dalla password scelta in precedenza;
 * dovrebbe contenere '''3''' (tre) dei seguenti tipi di carattere:
  * lettere minuscole (a, b, c, ecc);
  * lettere maiuscole (A, B, C, ecc);
  * numeri (0, 1, 2, ecc...);
  * caratteri speciali (@, %, !, ecc).

= Generare password robuste con Ubuntu =

Per creare password robuste con Ubuntu, è possibile utilizzare l'applicazione '''APG''' (Automated Password Generator).

== Installare APG ==

Per installare '''APG''', assicurarsi di aver abilitato il [:Repository:repository] '''universe''' e [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto ''apg''.

== Usare APG ==

Il comportamento predefinito di '''APG''' è quello di chiedere l'immissione di caratteri a caso dalla tastiera e alla pressione di '''Invio''' visualizza '''6''' password robuste "pronunciabili". Vengono definite "pronunciabili" in quanto possono essere lette come normali parole. '''APG''' include di fatto la pronuncia tra parentesi in fianco a ogni password. Sono ritenute robuste perché contengono un misto di caratteri minuscoli, maiuscoli e numeri.

Per provare '''APG''', in un terminale digitare: {{{
apg		 {{{#!wiki note
Si sconsiglia vivamente di usare la stessa password su diversi sistemi e/o servizi web, poiché li renderebbe tutti non sicuri in caso di violazione di uno solo di essi.
Linea 43: Linea 20:
Verrà richiesto di digitare dei caratteri a caso e alla pressione del tasto '''Invio''' dovrebbe apparire qualcosa di simile a questo: {{{
queafWodEis5 (queaf-Wod-Eis-FIVE)
WoudElIc6 (Woud-El-Ic-SIX)
GorIacNewt8 (Gor-Iac-Newt-EIGHT)
ShratUplEov7 (Shrat-Upl-E-ov-SEVEN)
hexLyafByff1 (hex-Lyaf-Byff-ONE)
Irkyorn9 (Irk-yorn-NINE)		 = Consigli generali =

== Scelta della password ==

Utilizzando criteri minimi di sicurezza e norme dettate dal buon senso, è raccomandabile che una password:

 * sia di lunghezza non inferiore agli '''8''' caratteri;
 * non contenga elementi facilmente deducibili (il nome di un famigliare, del proprio animale domestico, date di nascita, nome della squadra per la quale si tifa, ecc.) oppure banali e/o facilmente individuabili (ad esempio «''password''», «''qwerty''», «''0123456''», ecc.).
 * non contenga il proprio nome utente, nome reale o il nome dell'organizzazione;
 * non contenga una o più parole intere presenti in un dizionario;
 * non sia troppo simile a eventuali password scelte in precedenza;
 * contenga possibilmente tre delle seguenti tipologie di caratteri:
  * lettere minuscole («''a''», «''b''», «''c''», ecc.);
  * lettere maiuscole («''A''», «''B''», «''C''», ecc.);
  * numeri («''1''», «''2''», «''3''», ecc.);
  * caratteri speciali («''@''», «''%''», «''!''», ecc.);

{{{#!wiki note
I caratteri speciali potrebbero essere non accettati da alcuni siti.
Linea 52: Linea 41:
Sono presenti molte opzioni da poter passare al comando '''apg''' per modificare l'output emesso. Per esempio, per generare password di caratteri casuali al posto di password "pronunciabili", passare come opzione «'''-a 1'''», dove «'''-a'''» è l'algoritmo usato da '''APG''' e «'''1'''» seleziona la modalità casuale. Il seguente comando crea '''6''' password di caratteri senza la richiesta di input: {{{
apg -a 1		 == Limiti dei generatori di password online ==

Solitamente non è consigliabile utilizzare generatori di password online. I principali motivi sono di seguito riassunti:

 * '''Algoritmo implementato dal servizio online''': anche qualora il titolare del servizio online sia un ricercatore esperto di sicurezza che utilizza un algoritmo ben studiato, occorre sapere che produrre algoritmi sicuri è notoriamente difficile. Molto spesso gli stessi ricercatori esperti non sono sorpresi quando i loro algoritmi "si rompono" e di conseguenza sono vulnerabili.
 * '''La sicurezza del servizio potrebbe essere compromessa''': qualora il sito venga violato, un utente malintenzionato potrebbe esaminare l'algoritmo e risalire alle chiavi generate dal servizio online.
 * '''Integrità morale del servizio online''': anche se si ha fiducia nel titolare del servizio, costui in qualunque momento potrebbe rivelare a terzi dati e informazioni sulle password generate, anche per cause di forza maggiore o perché costretto.

= Creazione =

 * [[Sicurezza/KeePassXC|KeePassXC]] è un gestore di password che oltre a crearle provvede alla memorizzazione in sicurezza.

 * [[Sicurezza/GestionePassword/Robuste|Guida]] per informazioni sulla creazione di password forti, anche tramite strumenti quali '''APG''' e '''/dev/urandom'''.

 {{{#!wiki note
'''APG''' dal 2003 non è attivamente mantenuto dagli autori originali. Il manutentore del pacchetto ha in programma di abbandonare il mantenimento di APG non appena diventa disponibile un software effettivamente mantenuto con un insieme di funzionalità simile.
Linea 56: Linea 59:
Se si vuole in ogni caso inserire dei dati, per creare una password il più sicura possibile, è possibile usare l'opzione «'''-s'''». = Archiviazione =
Linea 58: Linea 61:
Un altro esempio è la generazione di '''4''' ''Wi``Fi Protected Access Pre Shared Keys'' (WPA PSK) della lunghezza massima di 63 caratteri casuali, da poter utilizzare nei sistemi Wi``Fi come i ''Wireless Access Point'' (WAP). È chiaramente una cattiva idea conservare le proprie password in luoghi visibili o accessibili al pubblico, mentre è buona norma mantenere le password custodite in un luogo sicuro dove terze persone non possono accedere.<<BR>>
Solitamente sono necessarie settimane (o più tempo) per ricordare con esattezza una password complessa. Spesso si è soliti avere più password, relative a vari sistemi e/o servizi a cui si è registrati. Tuttavia può succedere di dimenticare alcune lettere nelle password più vecchie. Un modo per scongiurare questo problema è generare una password di base e utilizzarla come parte di tutte le password, annotando le parti aggiuntive per ciascun servizio.
Linea 60: Linea 64:
Per generare una simile sequenza di caratteri utilizzando dati casuali dallo standard input, in un terminale digitare: {{{
apg -s -a 1 -m 63 -n 4		 Di seguito viene fornito un esempio pratico:
 0. Scegliere un prefisso comune a tutte le password: {{{
UbuntuR0cks
}}}
 0. In seguito scegliere e annotare un suffisso differente per ogni singola password:
  * email: {{{
#29G%7
}}}
  * conto corrente bancario: {{{
$FF09@
}}}
 0. Infine combinare i due elementi:
  * password email:{{{
UbuntuR0cks#29G%7
}}}
  * password conto corrente bancario:{{{
UbuntuR0cks$FF09@
Linea 64: Linea 83:
== Ulteriori risorse == = Modifica =
Linea 66: Linea 85:
 * [https://help.ubuntu.com/community/ChoosingSecurePassword Documento originale su ubuntu.com]
 * [http://www.adel.nursat.kz/apg/ Sito web di APG]
 * [http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci916934,00.html?track=sap805 Bad Password Policies]
 * [http://www.sans.org/resources/policies/Password_Policy.pdf SANS Password Policy Guideline (PDF)]
 * [http://www.sans.org/rr/whitepapers/authentication/1636.php Simple Formula For Strong Passwords (PDF)]
 * [http://www.smat.us/sanity/pwdilemma.html#anchor12895273 Strong Password Policies]
 * [http://world.std.com/~reinhold/diceware.html The Diceware Passphrase Home Page]## da questo punto in poi non modificare!		 == Modalità grafica ==

È possibile modificare la password nella sezione di gestione degli utenti presente nel [[AmministrazioneSistema/CentroDiControllo|centro di controllo]] dell'[[AmbienteGrafico|ambiente grafico]] in uso.

== Riga di comando ==

 0. Digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{
sudo passwd nome-utente
}}}
 modificando `nome-utente` con il proprio nome utente.
 0. Riavviare il sistema.

Per conoscere ulteriori opzioni e funzioni digitare il comando:{{{
man passwd
}}}

= Recupero =

In base alle proprie esigenze, consultare le seguenti guide:
 * [[Sicurezza/GestionePassword/Recupero|Recuperare password]]: come recuperare password e nome utente dimenticati.
 * [[Sicurezza/GestionePassword/RecuperoWindows|Recuperare password di Windows]].
 
= Ulteriori risorse =

 * [[https://help.ubuntu.com/community/StrongPasswords|Documento originale]]
 * [[http://world.std.com/~reinhold/diceware.html|The Diceware Passphrase Home Page]]
Linea 75: Linea 113:
CategoryNuoviDocumenti CategorySicurezza


Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Le password sono la misura di sicurezza più comunemente utilizzata per proteggere dati e informazioni sensibili, come quelli presenti in un account di posta elettronica o nell'utente di un sistema Ubuntu.
Pertanto scegliere una password "forte", per ogni applicazione o servizio che la richiede, è estremamente importante. Infatti, se una password è troppo "debole" (come ad esempio nel caso di quelle banali oppure di quelle create con parole presenti in un dizionario), diventa potenzialmente vulnerabile e facile bersaglio di eventuali utenti malintenzionati (ad esempio attraverso i cosiddetti "attacchi a dizionario").

Questa guida, non esaustiva, offre alcune indicazioni utili per creare, gestire, archiviare e recuperare le password, utilizzando anche strumenti disponibili con Ubuntu.

Si sconsiglia vivamente di usare la stessa password su diversi sistemi e/o servizi web, poiché li renderebbe tutti non sicuri in caso di violazione di uno solo di essi.

Consigli generali

Scelta della password

Utilizzando criteri minimi di sicurezza e norme dettate dal buon senso, è raccomandabile che una password:

  • sia di lunghezza non inferiore agli 8 caratteri;

  • non contenga elementi facilmente deducibili (il nome di un famigliare, del proprio animale domestico, date di nascita, nome della squadra per la quale si tifa, ecc.) oppure banali e/o facilmente individuabili (ad esempio «password», «qwerty», «0123456», ecc.).

  • non contenga il proprio nome utente, nome reale o il nome dell'organizzazione;
  • non contenga una o più parole intere presenti in un dizionario;
  • non sia troppo simile a eventuali password scelte in precedenza;
  • contenga possibilmente tre delle seguenti tipologie di caratteri:

    • lettere minuscole («a», «b», «c», ecc.);

    • lettere maiuscole («A», «B», «C», ecc.);

    • numeri («1», «2», «3», ecc.);

    • caratteri speciali («@», «%», «!», ecc.);

I caratteri speciali potrebbero essere non accettati da alcuni siti.

Limiti dei generatori di password online

Solitamente non è consigliabile utilizzare generatori di password online. I principali motivi sono di seguito riassunti:

  • Algoritmo implementato dal servizio online: anche qualora il titolare del servizio online sia un ricercatore esperto di sicurezza che utilizza un algoritmo ben studiato, occorre sapere che produrre algoritmi sicuri è notoriamente difficile. Molto spesso gli stessi ricercatori esperti non sono sorpresi quando i loro algoritmi "si rompono" e di conseguenza sono vulnerabili.

  • La sicurezza del servizio potrebbe essere compromessa: qualora il sito venga violato, un utente malintenzionato potrebbe esaminare l'algoritmo e risalire alle chiavi generate dal servizio online.

  • Integrità morale del servizio online: anche se si ha fiducia nel titolare del servizio, costui in qualunque momento potrebbe rivelare a terzi dati e informazioni sulle password generate, anche per cause di forza maggiore o perché costretto.

Creazione

  • KeePassXC è un gestore di password che oltre a crearle provvede alla memorizzazione in sicurezza.

  • Guida per informazioni sulla creazione di password forti, anche tramite strumenti quali APG e /dev/urandom.

    APG dal 2003 non è attivamente mantenuto dagli autori originali. Il manutentore del pacchetto ha in programma di abbandonare il mantenimento di APG non appena diventa disponibile un software effettivamente mantenuto con un insieme di funzionalità simile.

Archiviazione

È chiaramente una cattiva idea conservare le proprie password in luoghi visibili o accessibili al pubblico, mentre è buona norma mantenere le password custodite in un luogo sicuro dove terze persone non possono accedere.
Solitamente sono necessarie settimane (o più tempo) per ricordare con esattezza una password complessa. Spesso si è soliti avere più password, relative a vari sistemi e/o servizi a cui si è registrati. Tuttavia può succedere di dimenticare alcune lettere nelle password più vecchie. Un modo per scongiurare questo problema è generare una password di base e utilizzarla come parte di tutte le password, annotando le parti aggiuntive per ciascun servizio.

Di seguito viene fornito un esempio pratico:

  1. Scegliere un prefisso comune a tutte le password: 

    UbuntuR0cks
  2. In seguito scegliere e annotare un suffisso differente per ogni singola password:

    • email: 

      #29G%7

    • conto corrente bancario: 

      $FF09@
  3. Infine combinare i due elementi:

    • password email:

      UbuntuR0cks#29G%7

    • password conto corrente bancario:

      UbuntuR0cks$FF09@

Modifica

Modalità grafica

È possibile modificare la password nella sezione di gestione degli utenti presente nel centro di controllo dell'ambiente grafico in uso.

Riga di comando

  1. Digitare nel terminale il comando:

    sudo passwd nome-utente

    modificando nome-utente con il proprio nome utente.

  2. Riavviare il sistema.

Per conoscere ulteriori opzioni e funzioni digitare il comando:

man passwd

Recupero

In base alle proprie esigenze, consultare le seguenti guide:

Ulteriori risorse

CategorySicurezza