Re: [ml] standard creazione password

"Francesco Biacca" ha scritto:

>Volevo sapere: esiste un qualche standard di sicurezza per la
>generazione delle password da seguire in siti che, come questo, si
>espongono pesantemente a problemi relativi alla privacy? (aruba ad
>esempio ha un sistema un pò strano: prima ti chiede una coppia
>username/password - che non ho ancora ben capito quando si debbano usare
> - poi ti assegna una loro coppia username/password che dai caratteri in
>uso mi pare abbastanza randoma).

IMHO non esiste uno standard internazionale che dica come generare una
"strong password"; esistono delle convenzioni che generalmente si usano ma
che vengono ulteriormente personalizzate in base alle necessità.
Un documento interessante è questo :
http://www.sans.org/resources/policies/Password_Policy.pdf

Tutte le policies di strong password però mostrano dei caratteri comuni
come:

1) password con lunghezza maggiore di 8 caratteri
2) password composta da caratteri uppercase,lowercase e simboli
3) cambio della stessa ogni N giorni ( dove N dovrebbe essere in genere
minore dei giorni necessari ad effettuare un brute forcing della password )

Ovvio che possono esserci ulteriori regole che rafforzano tale sistema; nel
contesto lavorativo in cui mi ritrovo per esempio:

1) non si possono ri-utilizzare le ultime 10 passwords usate in precedenza
2) dopo 3 tentativi, la password viene lockata

ma questi fattori sono totalmente diversi da contesti a contesti

Davide Denicolo