Messaggi recenti

Pagine1 2 ... 10
#1
discussione libera / Re: Cambiare password
Ultimo messaggio di 1vr005 - 28 Aprile 2024, 12:33:29
Citazione di: AZ6108 il 28 Aprile 2024, 12:25:39non proprio... tu ti troveresti bloccato senza aver fatto nulla, e comunque il tutto non servirebbe a nulla se l'attaccante ha una copia del DB
Solo se ha una copia del db fatta dopo che ho cambiato la password e cambiandola periodicamente ci si protegge un po'. Lo dice uno che ha tenuto la stessa dal 2012 a oggi, la ho cambiata solo oggi [emoji1]
Come ho spiegato, se a seguito di un attacco hacker un utente si trova bloccato senza aver fatto niente, contatta l'amministrazione e fa valere le sue ragioni. Lasciar fare gli hacker perché fermandoli si hanno inconvenienti per gli utenti attaccati non è affatto una buona idea. Tipicamente lasciandoli fare si avrà un danno reputazionale e possibili conseguenze anche peggiori. Fermando tutto, succede solo che bisogna mandare una mail all'amministrazione per rientrare. Poi chiaramente è possibile che l'hacker torni all'attacco. Su questo c'è poco da fare. Basta vedere qui come va con quel tipo svitato che crea badilate di profili fra dare consigli, tirarsi fuori dallo stagno per i capelli, scrivere digitando a casaccio, fingendo di avere antenne con la filettatura al contrario di quello che hanno e quante altre ne abbiamo viste. Se uno è svitato dentro, torna alla carica.
#2
discussione libera / Re: Cambiare password
Ultimo messaggio di AZ6108 - 28 Aprile 2024, 12:29:36
per quanto riguarda il discorso password brevi/comuni, un rimedio efficiente è questo

https://crackstation.net/hashing-security.htm

[emoji41]

P.S.

le password NON vanno MAI crittate e memorizzate [emoji56] !! (e non esiste "recupero" password, ma solo "reset")

#3
antenne radioamatoriali / Re: Consiglio monobanda per gl...
Ultimo messaggio di i5wnn - 28 Aprile 2024, 12:25:58
Citazione di: AZ6108 il 28 Aprile 2024, 09:21:27altre info/idee riguardo la EFHW

http://www.fishpool.org.uk/efhw2.htm

http://www.fishpool.org.uk/efhw.htm

da notare che nel tuo caso, potresti ottimizzarla per i soli 80 metri, tralasciando l'uso "multibanda" ed ottenendo una maggiore larghezza di banda (SWR<2); nota come è installata l'antenna al primo link sopra, in modo da sfruttare al meglio lo spazio disponibile (al secondo vedi l'installazione ad L invertita con la tratta verticale ed il punto di alimentazione posti il più lontano possibile, in modo da ridurre le interferenze)
Ma una semplice verticale con accordatore automatico alla base con un adeguato piano di terra?

inviato ANE-LX1 using rogerKapp mobile

#4
discussione libera / Re: Cambiare password
Ultimo messaggio di AZ6108 - 28 Aprile 2024, 12:25:39
Citazione di: 1vr005 il 28 Aprile 2024, 12:23:03Ho visto.
Se non succede niente dopo tot tentativi il programma continuerà pacificamente a tentare e dopo qualche mese di tentativi a tempo pieno azzeccherà anche una combinazione con probabilità uno su un numero con 32 zeri.
Se al quarto tentativo viene stoppato, lui lascerà perdere e passerà a un altro utente, e io trovandomi bloccato manderò un email all'amministratore, conoscerò l'indirizzo email associato al profilo che l'hacker non conosce, conoscerò la domanda e la risposta che l'hacker non conosce e la cosa si sistema.
Ma basta che al quarto attempt il tentativo di accesso sia bloccato per 24 ore per rendere i tempi di brute force inaccettabili per un hacker. Se per provare 10.000 combinazioni possibili (e sono pochissime) gli servono 9 anni perché può farne solo 3 al giorno, continuerà a farlo solo se in ballo ci sono vantaggi importanti o se è fortemente motivato contro quella persona particolare.

non proprio... tu ti troveresti bloccato senza aver fatto nulla, e comunque il tutto non servirebbe a nulla se l'attaccante ha una copia del DB
#5
discussione libera / Re: Cambiare password
Ultimo messaggio di AZ6108 - 28 Aprile 2024, 12:23:53
in alternativa...

https://xkcd.com/936/

[emoji1]
#6
discussione libera / Re: Cambiare password
Ultimo messaggio di 1vr005 - 28 Aprile 2024, 12:23:03
Citazione di: AZ6108 il 28 Aprile 2024, 12:13:23@1vr005

ho modificato il mio post aggiungendo alcune note...

Ho visto.
Se non succede niente dopo tot tentativi il programma continuerà pacificamente a tentare e dopo qualche mese di tentativi a tempo pieno azzeccherà anche una combinazione con probabilità uno su un numero con 32 zeri.
Se al quarto tentativo viene stoppato, lui lascerà perdere e passerà a un altro utente, e io trovandomi bloccato manderò un email all'amministratore, conoscerò l'indirizzo email associato al profilo che l'hacker non conosce, conoscerò la domanda e la risposta che l'hacker non conosce e la cosa si sistema.
Ma basta che al quarto attempt il tentativo di accesso sia bloccato per 24 ore per rendere i tempi di brute force inaccettabili per un hacker. Se per provare 10.000 combinazioni possibili (e sono pochissime) gli servono 9 anni perché può farne solo 3 al giorno, continuerà a farlo solo se in ballo ci sono vantaggi importanti o se è fortemente motivato contro quella persona particolare.
#7
discussione libera / Re: Cambiare password
Ultimo messaggio di AZ6108 - 28 Aprile 2024, 12:22:44
a proposito di password, un modo facile per ottenere una password complessa ma facile da ricordare è quello di imparare le regole di scrittura "1337" e poi di applicarle ad un verso di una poesia o canzone

Per fare un esempio, prendiamo come password

"La Donzelletta vien"

cinvertendola in "leet leggero" avremo qualcosa di questo tipo

"L4 D0nz3ll3tt4 v13n"

che ha un livello di entropia sufficientemente elevato ma al contempo è facile da ricordare [emoji41]

volendo usare "leet forte" avremmo

"14 D0nz311377a v13n"


#8
discussione libera / Re: Cambiare password
Ultimo messaggio di AZ6108 - 28 Aprile 2024, 12:13:23
@1vr005

ho modificato il mio post aggiungendo alcune note...
#9
discussione libera / Re: Cambiare password
Ultimo messaggio di 1vr005 - 28 Aprile 2024, 12:08:09
Citazione di: AZ6108 il 28 Aprile 2024, 11:54:42la mia impressione è che qualcuno sia entrato in possesso di una copia del DB (ricordi gli "attacchi" ripetuti ?) e sta facendo bruteforcing sugli hash delle password contenute nella copia (es. usando "rainbow tables"); ora... il suggerimento di cambiare periodicamente password è valido, ma se un account è inutilizzato da tempo, è facile che il proprietario non frequenti più il forum

Un approccio migliore sarebbe quello di aggiungere un "CAPTCHA" al logon e di sospendere gli account inattivi da più di "tot" tempo... alla fine si potranno sempre riattivare, se richiesto

tra l'altro, e lo ho anche scritto @Marcello credo ci siano anche account "dormienti" ossia registrati tempo fa e con giusto qualche post (insignificante!) per passare da "orecchio di gomma" ad "operatore", tali account esistono unicamente per permettere a chi li ha registrati di rientrare in caso di "ban" o di dar "man forte" al troll di turno

C'è anche il giochino dei baracchini in vendita in eBay.
Metto un'inserzione di vendita di un baracchino, poi nel forum apro un topic con il modello del baracchino nel titolo "cumpà, come va il baracchino xyz?", e poi con altri account intervengo e lo osanno, "una bomba, il top, un'altra categoria" eccetera. Se qualcuno trova l'inserzione online e cerca nel forum, riceve il messaggio che è un buon modello.  Se qualcuno incuriosito dal topic cerca in ebay, ne trova uno pronto da comprare.
Una volta questo giochino si vedeva molto spesso. Credo di averne acquistato uno anch'io infinocchiato in questo modo - e ovviamente era difettoso. [emoji28]
#10
discussione libera / Re: Cambiare password
Ultimo messaggio di AZ6108 - 28 Aprile 2024, 11:54:42
la mia impressione è che qualcuno sia entrato in possesso di una copia del DB (ricordi gli "attacchi" ripetuti ?) e stia facendo bruteforcing sugli hash delle password contenute nella copia (es. usando "rainbow tables"); ora... il suggerimento di cambiare periodicamente password (e di non usare la stessa password per altri account) è valido, ma se un account è inutilizzato da tempo, è facile che il proprietario non frequenti più il forum

Un approccio migliore sarebbe quello di aggiungere un "CAPTCHA" al logon e di sospendere gli account inattivi da più di "tot" tempo (o invalidarne il token di logon)... alla fine si potranno sempre riattivare, se richiesto

tra l'altro, e lo ho anche scritto @Marcello (in PM) credo ci siano anche account "dormienti" ossia registrati tempo fa e con giusto qualche post (insignificante!) per passare da "orecchio di gomma" ad "operatore" (o anche pochi post o nessuno), tali account esistono unicamente per permettere a chi li ha registrati di rientrare in caso di "ban" o di dar "man forte" al troll di turno

Dimenticavo; il blocco account dopo N tentativi falliti è una PESSIMA idea, ti spiego il perché con un esempio pratico; qualcuno (o un "bot") prova a loggarsi come @1vr005, superati i tentativi il tuo account viene bloccato e TU ti trovi tagliato fuori anche se tu non c'entri nulla...

Pagine1 2 ... 10