Come creare password sicure per Bitcoin, ATTENTO al Brute Force

Se utilizzi Bitcoin, lo sai, la sicurezza è tutto… Con Bitcoin sei tu il responsabile della tua ricchezza e sei tu il custode dei tuoi soldi…basta un niente per mandare in fumo tutto il tuo patrimonio.

Una piccola svista, una perdita di una password, una perdita del seed, una perdita di una passphrase, possono comportare danni economici e psicologici anche molto gravi.

Utilizzare una password robusta ed efficace è essenziale, non solo per quanto riguarda Bitcoin ma anche per la nostra privacy (e sicurezza) nei social e nella nostra email personale/lavorativa.

Una password sicura ci salverà dai Brute force.

I brute force sono attacchi di forza bruta, con cui l’attaccante prova ad indovinare la password di un utente attraverso tentativi, provando tutte le combinazioni possibili ed immaginabili di lettere, numeri e simboli.

Gli attacchi Brute force sono attacchi, dove l’attaccante deve spendere “energie”, risorse e forza computazionale.

Ma… ad oggi si può… tramite cloud comprare potenza computazionale relativamente a basso costo; e nota bene buttare giù una password non solida è molto semplice!

Prova a dare un occhiata ai tempi di “cracking” di queste diverse password

(Nostra riformulazione di articolo aytel, tutti i crediti per i calcoli vanno a loro)

blUFisH, un normale computer la “butta giu” in soli 5 giorni.

%ZBGbv]8, sembra una password molto difficile da crackare vero? utilizza caratteri speciali, lettere maiuscole e minuscole e numeri.

Eppure con un supercomputer questa password la butti giù in 4 ore…

E’ pur vero che ad oggi molti exchange di criptovalute rendono difficile il brute force, infatti gli exchange grazie a limitazione nel numero di tentativi per login, blocco ip e 2FA (autenticazione a 2 fattori) riescono a rendere la vita difficile ad un attaccante che voglia provare il brute force come attacco.

Però escludendo gli exchange, e gli Hardware wallet cripto, tutti gli altri servizi sono facilmente attaccabili lato password tramite brute force.

Entropia

La robustezza di una password si valuta tramite l’entropia.

Più l’entropia è elevata più la password è solida e robusta. Bassa entropia vuol dire password poco sicura.

Come si crea allora una password sicura?

La verità è che non si può (o quasi), le password non sono sicure!

Le passphrase invece lo sono!

Mi spiego meglio, l’utilizzo di una sola parola come password, seppur con caratteri speciali, lettere maiuscole e minuscole e numeri, non è sicuro.

Un insieme di più parole invece (passphrase) si.

Nasce cosi il metodo Diceware! un metodo per generare passphrase, un insieme di parole come queste

“casa lavoro stipendio sole mare luna ragazza palazzo”

  • Ricordare a memoria una passphrase di questo genere è molto più semplice rispetto a dover ricordare una password del genere 12iU!g%0&.

  • la sicurezza di questo insieme di parole, dato che vi sono molti più spazi e caratteri è estrema in confronto ad una normale password. 3 settimane per hackerare la password contro una quantità di anni che non so nemmeno quantificare 😀

12iU!g%0& , entropia –> 38.2 bits

casa lavoro stipendio sole mare luna ragazza palazzo , entropia –> 246.4 bits (l’entropia come puoi notare aumenta di molto)

ok, Filippo… a questo punto come creo una passphrase? la invento io?

NO. Ne le password ne le passphrase dovrebbero essere inventate/create da noi, perché in qualche modo sono personali.

In molti utilizzano password del genere

  • Filo1504! (Filo perche filippo è il nome, 1504 perché è la data di nascita e ! perché è un carattere per rendere più difficile la password)
  • Ludovica1902 (se magari tieni ad una persona… Ludovica è la tua ragazza, 1902 è la data di anniversario)

Queste password chiaramente non sono sicure, un bravo hacker le “butterebbe giù in un secondo” anche senza brute force, basterebbe studiare la persona che ha creato la password per buttarla giu.

Persino una passphrase, se inventata dal frutto della nostra mente potrebbe essere insicura.

Magari utilizziamo una frase di un libro o di qualcosa di cui siamo appassionati

“nel mezzo del cammin di nostra vita mi ritrovai in una selva oscura” (se siamo amanti di Dante)

“Gli farò un’offerta che non potrà rifiutare” (se siamo amanti del padrino)

e persino un insieme di parole a caso generate dal nostro cervello non sarebbero in realtà generate a caso.

In precedenza ho scritto…

“casa lavoro stipendio sole mare luna ragazza palazzo”

sono termini frutto della mia immaginazione, probabilmente termini che mi interessano o mi riguardano in qualche modo… Un bravo studioso della mente (mind reader, dell’FBI 😀 ) potrebbe addirittura arrivare a determinare queste parole. (certo è difficile ma non impossibile).

Ok, Filippo… allora come creo questa dannata passphrase?

La devi generare Randomicamente…

Utilizza Diceware. (puoi scaricarlo anche da Github, molto più sicuro utilizzarlo offline. )

E’ possibile addirittura utilizzare questo file testuale per selezionare manualmente le parole

(Tutti i crediti d’ora in poi, vanno a Tarin Gamberini che ha creato questo file Pdf.)

Se vuoi approfondire questa tematica ti consiglio di leggere il blog di Tarin Gamberini , davvero un asso in questa tematica.

  1. Scarica la lista di parole Diceware in italiano (link precedente).
  2. Decidi quante parole vuoi nella tua passphrase. Una passphrase di cinque parole fornisce un livello di sicurezza più alto rispetto alle semplici password che la maggior parte della gente usa. Si raccomanda una passphrase di sette, otto o nove parole per scopi più importanti BitCoin, e simili.
  3. Ora lancia il dado e scrivi il risultato su un foglietto di carta. Scrivi i numeri in gruppi di cinque. Crea tanti gruppi di cinque cifre quante sono le parole che comporranno la tua passphrase. Puoi lanciare un dado cinque volte o lanciare cinque dadi una volta, o qualsiasi combinazione intermedia. Se lanci diversi dadi alla volta, leggili da sinistra a destra.
  4. Cerca ogni numero di cinque cifre nella lista di parole Diceware e prendi la parola vicino ad esso. Per esempio, 21124 significa che la prossima parola nella tua passphrase dovrebbe essere catino 
  5. Quando hai fatto, le parole che hai trovato sono la tua nuova passphrase. Memorizzala e distruggi il foglietto di carta o ponilo in un luogo veramente sicuro.

Questo è tutto quello che c’è da fare!

Esempi

Supponiamo vuoi una passphrase di sei parole. Avrai bisogno di lanciare 6 volte 5 dadi cioè 30 lanci. Diciamo che siano usciti:

1, 6, 6, 6, 5, 1, 5, 6, 5, 3, 5, 6, 3, 2, 2, 3, 5, 6,
1, 6, 6, 5, 2, 2, 4, 6, 4, 3, 2 e 6.

Scrivi, i risultati su un foglietto di carta in gruppi di cinque lanci:

16665
15653
56322
35616
65224
64326

Poi per ognuno dei gruppi di cinque lanci cerca nella lista di parole Diceware la parola associata e scrivila a fianco del gruppo:

16665    casi
15653    botole
56322    stadi
35616    maglie
65224    venivo
64326    usura

Infine la tua passphrase sarà:

casi botole stadi maglie venivo usura

47×1078 anni per crackarla. Entropy: 140.2 bits

Puoi utilizzare questi website per controllare la difficoltà di una password

http://rumkin.com/tools/password/passchk.php (per entropia)

Per tempistiche

https://howsecureismypassword.net/ https://thycotic.com/resources/password-strength-checker/

Ancora un ringraziamento speciale a Tarin Gamberini, per tutto il suo ottimo lavoro.

(N.B. Dato che ci hanno segnalato che la prima immagine di questo articolo era protetta da qualche copyright da parte di un utente italiano, per evitare qualsiasi problema, l’immagine è stata sostituita in data 16/05/2022. Verificare l’autenticità dell’accusa ci avrebbe fatto perdere troppo tempo)

Condividi:

Condividi:

Il Caveau Finanziario di Filippo Angeloni

Ecco come puoi accrescere subito gratis la tua Educazione Finanziaria con +5 ore di lezioni in continuo aggiornamento

4,8/5 ⭐⭐⭐⭐⭐
Feedback dei Clienti “Eccezionale

Una risposta

  1. grazie Filippo per questa mail ,io al momento non sono un grande accumulatore di crypto, ho un wallet su coinbase di poche centinaio di $ cumunque mi stò istruendo per un futuro dubbio…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Impronta digitale 250D C88F 67D0 53DA 3EB7 3E51 BC44 B5AA 2D36 9162

 

url –> https://www.filippoangeloni.com/public_key.gpg

 

—–BEGIN PGP PUBLIC KEY BLOCK—–

xsFNBGJtDkMBEADw+w6eMmMqM4ee2msrLNNhQvXaUO9jAZYixKUwryreRJPISxLy
cyYrDFtZ9Oywu8aIzyFQm3mQYp+m78z+X0oGWFVjGGsKbTf15aZvBbjaRouUvHJh
uAKIn2+t/F5xmEtQrlX/6ovQexqc/GogcRPY9XZ93P5rltkGPiXlagLR0+5b6Kux
1ukBHSZbKxmpt7ezoQH4haN/UYIq2n9h3VR+qFz9W90pqDfCnI7Tr773oLYg1eYN
8p9GvXTiHt5N3PXJnCCAGa3ECeY6r1SFHmH4H5bksw14omDJD7asTabKOkUgdQuy
B6LRX2RMzQINrC1R4rnLwZMVEoDg0O0idQXCjgIk6ky1zyjTBU4XBDZZ8mBZGlJT
xAzEEDpq0aXNHmjZ51fu30K3tXNkmyurpLFiAyehyft2+6X5vXcdmNHysL4EYRib
PSBIrhxzRSk4la/j4wiuDjfaH4RIuf5l7+O64NxOgH38CmzPqsg1LDOneQlskiwG
cEfo4tFdxPf0rDPXTyhCb7pLQaAmP6DgQiwNYboWvjWeuSVY+lQ2nx2GaUYp2Xei
dGi/mjHwh+wKa2JUbUdOVvzC1+rMKlEy8FxvNfDAacOu4BBcKnVQDDEUzbtSp7Pc
9VfS7B4KsCIPnlzqmdIMrNGZ8FbF2wmGIaXp21XvO9pT2O3ICh84zlddWQARAQAB
zStGaWxpcHBvIEFuZ2Vsb25pIDxpbmZvQGZpbGlwcG9hbmdlbG9uaS5jb20+wsGH
BBMBCAAxFiEEJQ3Ij2fQU9o+tz5RvES1qi02kWIFAmJtDkQCGwMECwkIBwUVCAkK
CwUWAgMBAAAKCRC8RLWqLTaRYqBAD/9KsHn18+7PYkrIkTEeKZWUUVPkgrbt2P8d
W0aMqkY82F3vhsfpxI9J0QPzrQquK5LKbqqDD7XH5c2RfJTyq6Jg+VmKB24ipW0M
hub8UnP692vnLJffoVmjOumO6Pbt4QjTGbD211TBKYDA9ubdT/GrGp+av0WYqe6L
5mCo9aQLD/6NHiClq5HOnsVn2zz3SLURC5cRo+r6qFDuhzrBhJwfhFZq9xJ3bYC2
LRTc4nNPmktvB1cXxoAr7bOWJ7nfjbkESuXejzYEeWOShnfKP4JGoJGf9RF9A/Lx
yWWTbLlLdTJPoaiZsI8R834kBh2JrZxtTQlxzNnw5ubpO0jtDToW4hZqvDnYwGJ+
7FRnQuzAVKtcoCh+9H6qwd1vytSfx66zesymDPiae03WTwLuGg7uHVNX36OcWHQY
7SLEQbHIrevluuIIY7lbvdTL+prRMpkIF2GzIKhnTQBl30yktl+QjttC37aJdTZt
LL6dExI/k+EKMvC3sR6tRt787c3CO7qqh8V657uaLCk79NadTZ3Ax9FWhqma7Gxn
lhJguiol/G50c9nCK2FqQZC7u0xuX7Y2TiQlRMy96gDBxR6OEIxlLyNKPlDnFuhr
djfXgvJS0q1f9edj1c4FBTw8MfhlQxygkzKps1+OaYrky/Ga4CiivI4zPZYz+PtG
riXI9+rRh87BTQRibQ5FARAAmCoVMh2PBQnGy1jw9JOYO3GWrGCJNpzRIA8/lPtC
Q83v7QMleg2nHAqfgvSPmlxzf8OgF/VqDbVGk6G7QIhToVJyW7UUUEMOxowovuNl
0TnbOUFedPMrJ88uViy7H5G/4jt6MIo0D9G54aA8qbdLlyL4FPuurUuuiUK+BVnl
JhgvcpFlOBJFV9X90nBpd/uplNh4ZhfXfTZODsgI9bwDzk5EyQfynJDr28A7fbbe
CCgOeOsKmmoM6hhwPyIdYMmuDiNJfJH4aZPSQWy8UaTw5/PEpHgvZQbwTyHiq8NQ
sj/5l7nKQp/HvpMHwyLlyrJho/jkkwaMJuDYN417u7lUIL67smYIZarGcAuORdo5
Hrg6XJ0WahLSx34p2ML1SiaTL7J8FB6tjEHHBwyOGC7dXt7iqXwE4tUqvJoKjVmo
2weAa2QHPguy9oHtJN62SGjbtuGd42YxlEUn7nIxVxhUHdW68hIpl97heKIMIrRW
j2g/2Ex3XzmtxLU3gGrhKnM3r0EyytxeDPq7eeyEHFsDwAlqbfUtnTg+7z4ygGXN
3rPCRRLKm9O96mtsNL9F0NTeVxXg0K9JtEfJKN9Glai1X40hJTjkg/7vYCteHuQC
ZI/+tehYf9/FPmD+4e5gTc8RAKjriVEM86P67xR9O94R5tUfV2Du8WmoPKVjzfSs
ZckAEQEAAcLBdgQYAQgAIBYhBCUNyI9n0FPaPrc+UbxEtaotNpFiBQJibQ5GAhsM
AAoJELxEtaotNpFiXjAQALxU+Q5KZ5hyBz5oeYF9vUhxx8Y3iQ0HtifXlH9+LC0J
Et35b8AOgQBqXpLwatwXvpbkOrlsw4XH8EIJ5Pj3zz8M429Lwkqn+UxoX8uqCm56
KLzvPZfGXrZOMmZnDA4DR8CHbGjhPhECL6Rc5oJRNxdkXVWHiz/3WQM3g9OAIsv1
fg+dRP7axFgf/pPAZaNlTzNPRHHyIPMBxXcP60BRTM2CNIUzVFMoH59s5wlpOeuA
1SMLWGdaUsGx5i4cjtnPWWFadaVeqd1hWAgQP4Yfjvjue8FVAeO+EArPJ69kdvec
h4lnoteFoLq4EsRELnxbltcvRiOAKoKsrbbm2rRlY/NUQk850zkQc8a/eXrTcPSx
onLXeWN5RpTPS4r3QjJujo63HsssFKpS31h8Xlni6w9C4rS6Ct8lMK6w50qZAmsE
JFNRrlQ0RzdEpdcXPz2PXwh4031ol5cWXJXmzZ/KaLib821hehCioy3pl1oh9AUj
6Ry7PyQ7tuMMLOvfJK5rWH/vWyCxW4OYqBJrpHwrDIyPa8dH7TW8DdqZy+qrO+u6
liGgWdoeRBQSXMRk8G54nOzK/xyH2VhuWNZc3W6fx8UQg3H0I1Ee7uUtlPaH8+Lv
Ex7QcN0xZ61kAerEVIykkg9a+ZfHevmBR+69Za7LgVqk7yTevkRA3zp5jhA8rHKf
=p9Uk
—–END PGP PUBLIC KEY BLOCK—–

Complimenti! 🚀

Ti è arrivata un’email di conferma .
Vai subito a leggerla!
(controlla casella spam e promozioni se non la trovi)

Ricevi informazioni

Il corso che stai cercando attualmente non è disponibile.
Compila il form per ricevere informazioni in anteprima e scoprire le offerte a te riservate

Ricevi informazioni

Il corso che stai cercando attualmente non è disponibile.
Compila il form per ricevere informazioni in anteprima e scoprire le offerte a te riservate