Re: [Python] Python, Pyperclip ed il programmone bastardone

[Carlos Catucci]

2017-06-29 20:46 GMT+02:00 Gollum1 :
> ai miei ho insegnato di farsi le varie password usando canzoni della loro 
> gioventù, che ricordano bene (o almeno che cantano sempre con le stesse 
> parole), si prendono una strofa, e prendono le iniziali, la prima maiuscola, 
> e qualcuna sostituita con numeri che come forma ricordano la lettera... et 
> voilà, una password senza senso, ma facile (per loro) da ricordare.

Non capisco perche' sostituire con numeri. Non rende piu' difficile
decrittare a meno che non usi un dizionario.
Ma se utilizzi frasi che hanno un senso solo per te, oppure, ad
esempio, storpiature di un testo ("Ei fù siccome immobile, dato il
mortal sospiro, prese la bicicletta e si fece un'altro giro", "Silvia,
rimembri ancor quel tempo della tua vita all'ospedale, quando in
gioventù il militare tu evitavi") cosi'anche se tentano un attacco
basato su raccolte di testi appunto (un brute force con queste
lunghezze e' assurdo) non ci saltano fuori coi piedi.

Carlos
-- 
EZLN ... Para Todos Todo ... Nada para nosotros
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Gollum1]

Il 29 giugno 2017 20:39:20 CEST, Davide Olianas  ha 
scritto:
>Il 29/06/2017 19:50, Carlos Catucci ha scritto:
>>
>> Batsa ricordare la massima che dice: "Non serve che la password
>sembri
>> una bestemmia in un fumetto (½¬#@]2c£$60'"), basta che sia òunga
>> quanto basta a evitare un attacco e che sia facile da ricordare.
>
>Rimane il fatto che è meglio usare password diverse per ogni servizio e
>
>dunque ti debba comunque ricordare N-frasi...ho la vaga impressione che
>
>a quel punto le frasi semplici da ricordare non siano più tanto
>semplici
>> Certo poi ci sono i geni che
>>
>> 1. Limitano la lunghezza entro un range limitato (8-12 caratteri).
>> 2. Vogliono che ci siano certi pattern (ad esempio almeno una
>> maiuscola, una minuscola, un numero, un segno di interpunzione)
>> 3. Non accettano certi caratteri (apici, virgolette, underscore etc.)
>> 4. Un mix dei suddetti
>>
>> ma li la soluzione e' spiegare loro che una password cosi' e' piu'
>> facile da bucare che se avessi scritto le prime 4 strofe di una
>> canzone.
>
>Non ho capito questo punto. Io in quanto utente di servizi posso anche 
>lamentarmi, ma dal punto di vista pratico dubito proprio che qualcuno
>se 
>ne freghi. Stai parlando dal punto di vista di programmatore che 
>sviluppa la parte di login?
>
>___
>Python mailing list
>Python@lists.python.it
>http://lists.python.it/mailman/listinfo/python

ai miei ho insegnato di farsi le varie password usando canzoni della loro 
gioventù, che ricordano bene (o almeno che cantano sempre con le stesse 
parole), si prendono una strofa, e prendono le iniziali, la prima maiuscola, e 
qualcuna sostituita con numeri che come forma ricordano la lettera... et voilà, 
una password senza senso, ma facile (per loro) da ricordare.
-- 
Gollum1
Teoro, dov'è il mio teoro...

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori (maledetto correttore ortografico).
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Davide Olianas]

Il 29/06/2017 19:50, Carlos Catucci ha scritto:


Batsa ricordare la massima che dice: "Non serve che la password sembri
una bestemmia in un fumetto (½¬#@]2c£$60'"), basta che sia òunga
quanto basta a evitare un attacco e che sia facile da ricordare.


Rimane il fatto che è meglio usare password diverse per ogni servizio e 
dunque ti debba comunque ricordare N-frasi...ho la vaga impressione che 
a quel punto le frasi semplici da ricordare non siano più tanto semplici

Certo poi ci sono i geni che

1. Limitano la lunghezza entro un range limitato (8-12 caratteri).
2. Vogliono che ci siano certi pattern (ad esempio almeno una
maiuscola, una minuscola, un numero, un segno di interpunzione)
3. Non accettano certi caratteri (apici, virgolette, underscore etc.)
4. Un mix dei suddetti

ma li la soluzione e' spiegare loro che una password cosi' e' piu'
facile da bucare che se avessi scritto le prime 4 strofe di una
canzone.


Non ho capito questo punto. Io in quanto utente di servizi posso anche 
lamentarmi, ma dal punto di vista pratico dubito proprio che qualcuno se 
ne freghi. Stai parlando dal punto di vista di programmatore che 
sviluppa la parte di login?


___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Carlos Catucci]

2017-06-29 16:26 GMT+02:00 Gollum1 :
> fatto è che con la quantità di password che dobbiamo avere oggigiorno, un 
> aiuto è indispensabile


Batsa ricordare la massima che dice: "Non serve che la password sembri
una bestemmia in un fumetto (½¬#@]2c£$60'"), basta che sia òunga
quanto basta a evitare un attacco e che sia facile da ricordare.

Una frase di un film, un libro, un nostro ricordo di infanzia.

"Quando ero piccolo mio nonno mi portava a raccogliere asparagi."

Posso anche fare una lista in chiaro (sito xyx pwd piccolo/nonno) con
un mnemonico per ricordare (a me solo) quale sia la passphrase usata.

Certo poi ci sono i geni che

1. Limitano la lunghezza entro un range limitato (8-12 caratteri).
2. Vogliono che ci siano certi pattern (ad esempio almeno una
maiuscola, una minuscola, un numero, un segno di interpunzione)
3. Non accettano certi caratteri (apici, virgolette, underscore etc.)
4. Un mix dei suddetti

ma li la soluzione e' spiegare loro che una password cosi' e' piu'
facile da bucare che se avessi scritto le prime 4 strofe di una
canzone. E per essere chiari va usato il supporto didattico, aka crick
delal Multipla. Un colpo di quello sui denti dopo che gli hai spiegato
il concetto e stai pur certo che non se lo scorda mai piu'. Pure in
caso di amnesia, quel concetto resta saldamente infisso nei suoi
neuroni. Ovviamente dopo averli costretti, stile Clockwork Orange, a
seguire lo speech di Enrico "Cerino" Zimuel sulla sicurezza delle
password al Moca 1012 per almeno una 30ina di volte.

Carlos
-- 
EZLN ... Para Todos Todo ... Nada para nosotros
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Gollum1]

Il 29 giugno 2017 16:20:08 CEST, Davide Olianas  ha 
scritto:
>Il 29/06/2017 14:06, Gollum1 ha scritto:
>
>> da questo punto di vista, credo che anche quei programmi che tengono 
>> tutte le password criptate, siano intrinsecamente insicure, come 
>> scrivono i dati di autenticazione nel programma/pagina web a cui 
>> devono accedere, se non attraverso la clip board? 
>
>Usando l'estensione da browser di lastpass non viene usata la
>clipboard. 
>Stai pensando ai programmi offline tipo keepass?
>
>___
>Python mailing list
>Python@lists.python.it
>http://lists.python.it/mailman/listinfo/python

bhe... ipoteticamente i browser come chrome hanno già il loro sistema di 
conservazione delle password criptate (oltretutto mantenute online nell'account 
gmail)... tutti questi sistemi mi lasciano un po' dubbioso... fatto è che con 
la quantità di password che dobbiamo avere oggigiorno, un aiuto è 
indispensabile. 
-- 
Gollum1
Teoro, dov'è il mio teoro...

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori (maledetto correttore ortografico).
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Massimiliano Modena]

> Il giorno 29 giu 2017, alle ore 16:20, Davide Olianas 
>  ha scritto:
> 
> Il 29/06/2017 14:06, Gollum1 ha scritto:
> 
>> da questo punto di vista, credo che anche quei programmi che tengono tutte 
>> le password criptate, siano intrinsecamente insicure, come scrivono i dati 
>> di autenticazione nel programma/pagina web a cui devono accedere, se non 
>> attraverso la clip board? 
> 
> Usando l'estensione da browser di lastpass non viene usata la clipboard. Stai 
> pensando ai programmi offline tipo keepass?
> 

lastpass utilizza la clipboard su android. 
Dovrei verificare con la versione da installare.


___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Davide Olianas]

Il 29/06/2017 14:06, Gollum1 ha scritto:

da questo punto di vista, credo che anche quei programmi che tengono 
tutte le password criptate, siano intrinsecamente insicure, come 
scrivono i dati di autenticazione nel programma/pagina web a cui 
devono accedere, se non attraverso la clip board? 


Usando l'estensione da browser di lastpass non viene usata la clipboard. 
Stai pensando ai programmi offline tipo keepass?


___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Gollum1]

Il 29 giugno 2017 13:44:59 CEST, Francesco Maida  ha 
scritto:
>
>Eh, temevo che se vi avessi proposto di farci un keylogger mi sarebbe
>arrivata la polizia a casa ^_^

visto la quantità di gente che ho visto tenere le password su file (o peggio 
ancora, nelle mail), ed usare il taglia incolla per incollare sia user che 
password (magari dopo aver incollato anche il sito di cui si stanno loggando), 
mi sorprende che non ci siano più furti d'identità di quanti ce ne sono (o 
forse ci sono poche denunce che vengono pubblicizzare)... da questo punto di 
vista, credo che anche quei programmi che tengono tutte le password criptate, 
siano intrinsecamente insicure, come scrivono i dati di autenticazione nel 
programma/pagina web a cui devono accedere, se non attraverso la clip board?
-- 
Gollum1
Teoro, dov'è il mio teoro...

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori (maledetto correttore ortografico).
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Francesco Maida]

Il giorno 29 giugno 2017 13:28, Massimiliano Modena  ha
scritto:

> Sei meno cattivo di me.
> Io ho pensato immediatamente ad un hook sull’evento copy, e mandi i dati
> della clipboard su un server. Magari qualche password ci scappa :)



Eh, temevo che se vi avessi proposto di farci un keylogger mi sarebbe
arrivata la polizia a casa ^_^
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Python, Pyperclip ed il programmone bastardone

[Massimiliano Modena]

Sei meno cattivo di me.
Io ho pensato immediatamente ad un hook sull’evento copy, e mandi i dati della 
clipboard su un server. Magari qualche password ci scappa :)


___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

[Python] Python, Pyperclip ed il programmone bastardone

[Francesco Maida]

Sarà che fa caldo e non ho voglia di lavorare, ma provando librerie Python
a caso mi sono imbattutto in una STUPENDA: Pyperclip (
https://pypi.python.org/pypi/pyperclip/), scritta dallo stesso ragazzo che
ha anche scritto il libro "automate the boring stuff with python".

Pyperclip (che si installa da riga di comando attraverso "pip install
pyperclip") permette di leggere e scrivere il contenuto della clipboard;
basta utilizzare il metodo pyperclip.paste() per leggere il contenuto della
clipboard e il metodo pyperclip.copy("<< contenuto >>") per scrivere nella
clipboard quello che si desidera poi incollare.

Facilissima da usare. Utile per un sacco di cose IMHO.

Oltre alle cose utili da farci me n'è venuta in mente una MOLTO CATTIVA :-)

In pratica ho scritto questo programmino di dieci righe che resta in attesa
che un ignaro utente copi qualcosa nella clipboard, poi prende il contenuto
della clipboard e LO INVERTE; ad esempio se copio la stringa "ciao", il
programma la inverte trasformandola in "oaic" e rendendo i dati copiati
inservibili ^^

Lo script lo trovate qui, ed è di una semplicità disarmante:

https://gist.github.com/anonymous/3c322f2986817350d95130091b4d2461


Se avete qualche collega di lavoro spocchioso ve la consiglio, risate
garantite (e probabilmente se vi sgamano licenziamento assicurato ^___^;)
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python