Re: [Python] Python, Pyperclip ed il programmone bastardone
2017-06-29 20:46 GMT+02:00 Gollum1: > ai miei ho insegnato di farsi le varie password usando canzoni della loro > gioventù, che ricordano bene (o almeno che cantano sempre con le stesse > parole), si prendono una strofa, e prendono le iniziali, la prima maiuscola, > e qualcuna sostituita con numeri che come forma ricordano la lettera... et > voilà, una password senza senso, ma facile (per loro) da ricordare. Non capisco perche' sostituire con numeri. Non rende piu' difficile decrittare a meno che non usi un dizionario. Ma se utilizzi frasi che hanno un senso solo per te, oppure, ad esempio, storpiature di un testo ("Ei fù siccome immobile, dato il mortal sospiro, prese la bicicletta e si fece un'altro giro", "Silvia, rimembri ancor quel tempo della tua vita all'ospedale, quando in gioventù il militare tu evitavi") cosi'anche se tentano un attacco basato su raccolte di testi appunto (un brute force con queste lunghezze e' assurdo) non ci saltano fuori coi piedi. Carlos -- EZLN ... Para Todos Todo ... Nada para nosotros ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Il 29 giugno 2017 20:39:20 CEST, Davide Olianasha scritto: >Il 29/06/2017 19:50, Carlos Catucci ha scritto: >> >> Batsa ricordare la massima che dice: "Non serve che la password >sembri >> una bestemmia in un fumetto (½¬#@]2c£$60'"), basta che sia òunga >> quanto basta a evitare un attacco e che sia facile da ricordare. > >Rimane il fatto che è meglio usare password diverse per ogni servizio e > >dunque ti debba comunque ricordare N-frasi...ho la vaga impressione che > >a quel punto le frasi semplici da ricordare non siano più tanto >semplici >> Certo poi ci sono i geni che >> >> 1. Limitano la lunghezza entro un range limitato (8-12 caratteri). >> 2. Vogliono che ci siano certi pattern (ad esempio almeno una >> maiuscola, una minuscola, un numero, un segno di interpunzione) >> 3. Non accettano certi caratteri (apici, virgolette, underscore etc.) >> 4. Un mix dei suddetti >> >> ma li la soluzione e' spiegare loro che una password cosi' e' piu' >> facile da bucare che se avessi scritto le prime 4 strofe di una >> canzone. > >Non ho capito questo punto. Io in quanto utente di servizi posso anche >lamentarmi, ma dal punto di vista pratico dubito proprio che qualcuno >se >ne freghi. Stai parlando dal punto di vista di programmatore che >sviluppa la parte di login? > >___ >Python mailing list >Python@lists.python.it >http://lists.python.it/mailman/listinfo/python ai miei ho insegnato di farsi le varie password usando canzoni della loro gioventù, che ricordano bene (o almeno che cantano sempre con le stesse parole), si prendono una strofa, e prendono le iniziali, la prima maiuscola, e qualcuna sostituita con numeri che come forma ricordano la lettera... et voilà, una password senza senso, ma facile (per loro) da ricordare. -- Gollum1 Teoro, dov'è il mio teoro... Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli errori (maledetto correttore ortografico). ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Il 29/06/2017 19:50, Carlos Catucci ha scritto: Batsa ricordare la massima che dice: "Non serve che la password sembri una bestemmia in un fumetto (½¬#@]2c£$60'"), basta che sia òunga quanto basta a evitare un attacco e che sia facile da ricordare. Rimane il fatto che è meglio usare password diverse per ogni servizio e dunque ti debba comunque ricordare N-frasi...ho la vaga impressione che a quel punto le frasi semplici da ricordare non siano più tanto semplici Certo poi ci sono i geni che 1. Limitano la lunghezza entro un range limitato (8-12 caratteri). 2. Vogliono che ci siano certi pattern (ad esempio almeno una maiuscola, una minuscola, un numero, un segno di interpunzione) 3. Non accettano certi caratteri (apici, virgolette, underscore etc.) 4. Un mix dei suddetti ma li la soluzione e' spiegare loro che una password cosi' e' piu' facile da bucare che se avessi scritto le prime 4 strofe di una canzone. Non ho capito questo punto. Io in quanto utente di servizi posso anche lamentarmi, ma dal punto di vista pratico dubito proprio che qualcuno se ne freghi. Stai parlando dal punto di vista di programmatore che sviluppa la parte di login? ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
2017-06-29 16:26 GMT+02:00 Gollum1: > fatto è che con la quantità di password che dobbiamo avere oggigiorno, un > aiuto è indispensabile Batsa ricordare la massima che dice: "Non serve che la password sembri una bestemmia in un fumetto (½¬#@]2c£$60'"), basta che sia òunga quanto basta a evitare un attacco e che sia facile da ricordare. Una frase di un film, un libro, un nostro ricordo di infanzia. "Quando ero piccolo mio nonno mi portava a raccogliere asparagi." Posso anche fare una lista in chiaro (sito xyx pwd piccolo/nonno) con un mnemonico per ricordare (a me solo) quale sia la passphrase usata. Certo poi ci sono i geni che 1. Limitano la lunghezza entro un range limitato (8-12 caratteri). 2. Vogliono che ci siano certi pattern (ad esempio almeno una maiuscola, una minuscola, un numero, un segno di interpunzione) 3. Non accettano certi caratteri (apici, virgolette, underscore etc.) 4. Un mix dei suddetti ma li la soluzione e' spiegare loro che una password cosi' e' piu' facile da bucare che se avessi scritto le prime 4 strofe di una canzone. E per essere chiari va usato il supporto didattico, aka crick delal Multipla. Un colpo di quello sui denti dopo che gli hai spiegato il concetto e stai pur certo che non se lo scorda mai piu'. Pure in caso di amnesia, quel concetto resta saldamente infisso nei suoi neuroni. Ovviamente dopo averli costretti, stile Clockwork Orange, a seguire lo speech di Enrico "Cerino" Zimuel sulla sicurezza delle password al Moca 1012 per almeno una 30ina di volte. Carlos -- EZLN ... Para Todos Todo ... Nada para nosotros ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Il 29 giugno 2017 16:20:08 CEST, Davide Olianasha scritto: >Il 29/06/2017 14:06, Gollum1 ha scritto: > >> da questo punto di vista, credo che anche quei programmi che tengono >> tutte le password criptate, siano intrinsecamente insicure, come >> scrivono i dati di autenticazione nel programma/pagina web a cui >> devono accedere, se non attraverso la clip board? > >Usando l'estensione da browser di lastpass non viene usata la >clipboard. >Stai pensando ai programmi offline tipo keepass? > >___ >Python mailing list >Python@lists.python.it >http://lists.python.it/mailman/listinfo/python bhe... ipoteticamente i browser come chrome hanno già il loro sistema di conservazione delle password criptate (oltretutto mantenute online nell'account gmail)... tutti questi sistemi mi lasciano un po' dubbioso... fatto è che con la quantità di password che dobbiamo avere oggigiorno, un aiuto è indispensabile. -- Gollum1 Teoro, dov'è il mio teoro... Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli errori (maledetto correttore ortografico). ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
> Il giorno 29 giu 2017, alle ore 16:20, Davide Olianas >ha scritto: > > Il 29/06/2017 14:06, Gollum1 ha scritto: > >> da questo punto di vista, credo che anche quei programmi che tengono tutte >> le password criptate, siano intrinsecamente insicure, come scrivono i dati >> di autenticazione nel programma/pagina web a cui devono accedere, se non >> attraverso la clip board? > > Usando l'estensione da browser di lastpass non viene usata la clipboard. Stai > pensando ai programmi offline tipo keepass? > lastpass utilizza la clipboard su android. Dovrei verificare con la versione da installare. ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Il 29/06/2017 14:06, Gollum1 ha scritto: da questo punto di vista, credo che anche quei programmi che tengono tutte le password criptate, siano intrinsecamente insicure, come scrivono i dati di autenticazione nel programma/pagina web a cui devono accedere, se non attraverso la clip board? Usando l'estensione da browser di lastpass non viene usata la clipboard. Stai pensando ai programmi offline tipo keepass? ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Il 29 giugno 2017 13:44:59 CEST, Francesco Maidaha scritto: > >Eh, temevo che se vi avessi proposto di farci un keylogger mi sarebbe >arrivata la polizia a casa ^_^ visto la quantità di gente che ho visto tenere le password su file (o peggio ancora, nelle mail), ed usare il taglia incolla per incollare sia user che password (magari dopo aver incollato anche il sito di cui si stanno loggando), mi sorprende che non ci siano più furti d'identità di quanti ce ne sono (o forse ci sono poche denunce che vengono pubblicizzare)... da questo punto di vista, credo che anche quei programmi che tengono tutte le password criptate, siano intrinsecamente insicure, come scrivono i dati di autenticazione nel programma/pagina web a cui devono accedere, se non attraverso la clip board? -- Gollum1 Teoro, dov'è il mio teoro... Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli errori (maledetto correttore ortografico). ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Il giorno 29 giugno 2017 13:28, Massimiliano Modenaha scritto: > Sei meno cattivo di me. > Io ho pensato immediatamente ad un hook sull’evento copy, e mandi i dati > della clipboard su un server. Magari qualche password ci scappa :) Eh, temevo che se vi avessi proposto di farci un keylogger mi sarebbe arrivata la polizia a casa ^_^ ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
Re: [Python] Python, Pyperclip ed il programmone bastardone
Sei meno cattivo di me. Io ho pensato immediatamente ad un hook sull’evento copy, e mandi i dati della clipboard su un server. Magari qualche password ci scappa :) ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
[Python] Python, Pyperclip ed il programmone bastardone
Sarà che fa caldo e non ho voglia di lavorare, ma provando librerie Python a caso mi sono imbattutto in una STUPENDA: Pyperclip ( https://pypi.python.org/pypi/pyperclip/), scritta dallo stesso ragazzo che ha anche scritto il libro "automate the boring stuff with python". Pyperclip (che si installa da riga di comando attraverso "pip install pyperclip") permette di leggere e scrivere il contenuto della clipboard; basta utilizzare il metodo pyperclip.paste() per leggere il contenuto della clipboard e il metodo pyperclip.copy("<< contenuto >>") per scrivere nella clipboard quello che si desidera poi incollare. Facilissima da usare. Utile per un sacco di cose IMHO. Oltre alle cose utili da farci me n'è venuta in mente una MOLTO CATTIVA :-) In pratica ho scritto questo programmino di dieci righe che resta in attesa che un ignaro utente copi qualcosa nella clipboard, poi prende il contenuto della clipboard e LO INVERTE; ad esempio se copio la stringa "ciao", il programma la inverte trasformandola in "oaic" e rendendo i dati copiati inservibili ^^ Lo script lo trovate qui, ed è di una semplicità disarmante: https://gist.github.com/anonymous/3c322f2986817350d95130091b4d2461 Se avete qualche collega di lavoro spocchioso ve la consiglio, risate garantite (e probabilmente se vi sgamano licenziamento assicurato ^___^;) ___ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python