Re: [ml] standard creazione password

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2007 ml@sikurezza.org
Soggetto: Re: [ml] standard creazione password
Mittente: Marco Ermini
Data: Mon, 16 Apr 2007 15:07:54 +0200 (CEST)

On 4/13/07, Francesco Biacca <cbiacca@xxxxxxxxxxxxx> wrote:

Salve a tutti,
magari la domanda può risultare stupida, ma vorrei alcune dritte e credo
questo sia il posto migliore dove cercarle...

[...]

Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire in siti che, come questo, si
espongono pesantemente a problemi relativi alla privacy?


Sono d'accordo con Davide, non mi pare ci siano standard particolari.
Qualunque criterio si prenda in esame (dai requirement SOX al DPS
aziendale Italiano...) non riporta dettagli di implementazione tecnica
della "forza" di una password ma parla di "protezione appropriata" e
di policy per l'utilizzo, la conservazione e il cambiamento della
stessa (che sono altrettanto importanti quanto la forza stessa della
password).

Al giorno d'oggi si considera decentemente sicuro un accesso che si
basa su almeno due dei seguenti tre fattori:

- qualcosa che sai
- qualcosa che hai
- qualcosa che sei

Qualsiasi meccanismo password-based, per quanto "forte", e per quanto
la policy sia dannatamente tediosa per l'utente (in fatto per esempio
di doverla cambiare ogni tot, ecc.) rappresenta comunque soltanto uno
dei tre fattori (qualcosa che sai). Lo puoi rafforzare quanto vuoi, ma
sempre un solo fattore è. Se la privacy è così importante, dovresti
aggiungere un altro fattore (come si fa per esempio con i numeri TAN o
le smart card per gli home banking, o le chiavi RSA per le VPN).

Detto questo, credo che l'Università sarà tenuta comunque a seguire le
linee guida del DPS previsto per Legge e quindi ti faccia cambiare la
password ogni tot, verificandone la diversità dalla precedente (per lo
meno) e la sufficiente complessità, ecc.

(aruba ad
esempio ha un sistema un pò strano: prima ti chiede una coppia
username/password - che non ho ancora ben capito quando si debbano usare
 - poi ti assegna una loro coppia username/password che dai caratteri in
uso mi pare abbastanza randoma).


Secondo me se aumenti il numero delle coppie utenti/password (tra
l'altro mandandole per email come fa Aruba...) non aumenti la
sicurezza ma solo la complessità per l'utente. Se si vuole aumentare
concretamente la sicurezza si deve veramente aggiungere un secondo dei
tre fattori (my 5 cents)


Cordiali saluti
--
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini

In risposta a:
- [ml] standard creazione password, Francesco Biacca

Data:
- precedente: Re: Tecnocrati in abbondanza ? (Was: Re: [ml] Re: Ezine sulla sicurezza), Marco Ermini
- successivo: Re: [ml] auditing windows, Lonely Wolf
- indice

Argomento:
- precedente: Re: [ml] standard creazione password, Marco Ermini
- successivo: [ml] auditing windows, Vincenzo Agosto
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005