Visto che l'idea è quella di istruire il personale, oltre a come attaccare io mi concentrerei anche su come difendersi: come si usa un firewall, un password manager, have I been pwned, password leak check, two factor authentication, riconoscere tentativi di phishing, etc...
L'idea è che un password cracker sufficientemente sofisticato può essere in grado di intuire i metodi stupidi di generare password che soddisfano alcuni canoni di sicurezza. L'utente è consapevole che le password lunghe sono sicure? L'utente potrebbe aver generato una password lunga ripetendo più volte la stessa parola... e l'apparente sicurezza di una password di 34 caratteri svanisce.
Penso che il modo meno controverso di generare una password (o una passphrase) sicura si quello di generarne una random automaticamente, perché gli esseri umani sono molto bravi a generare pattern accidentali... e usare password diverse per ogni sito, perché persino Facebook era stata beccata a memorizzare le password in chiaro. Poi vabbé, anche a me capita di usare password banali e riusare la stessa password su diversi siti, per questioni di convenienza, ma sono consapevole della non-sicurezza di alcune mie credenziali.
Non credo che quella password sia sicura, è solo abbastanza lunga da non essere suscettibile ad un particolare attacco bruteforce. Invece di lanciare un bruteforce esaustivo che prova tutte le possibili password generabili da ogni carattere ammissibile, aspettando indefinitamente, è meglio partire da alcune restrizioni per assicurarsi che non sia una password semplice: prima provo un attacco al dizionario, poi bruteforce di solo lettere minuscole e massimo 10 caratteri, etc... eventualmente proverò anche un attacco pensato per passphrases, con parole in minuscolo, in lingua italiana e parole ripetute e la tua password salterà fuori nel giro di minuti. A tal proposito ti rimando a questa discussione.Una password difficile non e' necessariamente 5xf4rd8734zx come tanti sistemi automatici creano. Puo anche essere trullallerolerolerolerolerolerolero tutto minuscolo. Ti ricordi trullallero + 10 volte lero, e sei apposto.
L'idea è che un password cracker sufficientemente sofisticato può essere in grado di intuire i metodi stupidi di generare password che soddisfano alcuni canoni di sicurezza. L'utente è consapevole che le password lunghe sono sicure? L'utente potrebbe aver generato una password lunga ripetendo più volte la stessa parola... e l'apparente sicurezza di una password di 34 caratteri svanisce.
Penso che il modo meno controverso di generare una password (o una passphrase) sicura si quello di generarne una random automaticamente, perché gli esseri umani sono molto bravi a generare pattern accidentali... e usare password diverse per ogni sito, perché persino Facebook era stata beccata a memorizzare le password in chiaro. Poi vabbé, anche a me capita di usare password banali e riusare la stessa password su diversi siti, per questioni di convenienza, ma sono consapevole della non-sicurezza di alcune mie credenziali.