in sostanza una password può essere rubata in vari modi: social engineering, phishing, man in the middle, man in the browser, scripts... cambiarla spesso sembra quindi sempre l'idea migliore. ________________________________ From: Marco Ciampa <ciampix@xxxxxxxxx> To: linuxtrent@xxxxxxxxxxxxx Sent: Wednesday, December 12, 2012 11:45 PM Subject: [Linuxtrent] Re: cloud e paranoia crittografica On Wed, Dec 12, 2012 at 09:41:08PM +0000, Paolo Debortoli wrote: > ciao. uso pure io keepassx. se vai in file => impostazioni > database trovi quelle di cifratura (io ho quelle predefinite: aes 256 > bit, 50000 passaggi di cifratura; la chiave di cifratura non so, > potrebbe essere la password). il metodo non è considerato > sicurissimo (esistono diversi algoritmi di cifratura, ciascuno creato > quando i precedenti venivano decifrati), ma la decifratura richiede > tempo (più che sufficiente a reimpostare le passwords in caso di > furto). una serie di cifrature sovrapposte credo aumentino la > complessità del problema, ma non lo risolvano (non esiste sicurezza > assoluta). probabilmente il metodo migliore è sempre lo stesso: > cambiare le passwords periodicamente (usando il generatore dello stesso > keepassx, cioé stringhe alfanumeriche senza significato della massima > lunghezza consentita). con diverse cifrature sovrapposte, c'é anche > il rischio di perdere la chiave o password di una sola cifratura > rendendo i dati irrecuperabili o, in caso si usi sempre la stessa > password, di rendere la cifratura a più livelli praticamente inutile > (scoperta la prima, tipo con un 'brute force attack', viene normale > tentare di riutilizzarla). Io uso gorilla password che è compatibile con keepassx http://www.fpx.de/fp/Software/Gorilla/ -- Marco Ciampa +--------------------+ | Linux User #78271 | | FSFE fellow #364 | +--------------------+ -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx