Re: [ml] standard creazione password

Spank ha scritto:
> Il 15/04/07, Davide Denicolo<davide@xxxxxxxxxxxxxxxxx> ha scritto:
> > 3) cambio della stessa ogni N giorni ( dove N dovrebbe essere in genere
> > minore dei giorni necessari ad effettuare un brute forcing della 
> > password )
>
> Una piccola nota: qualche tempo fa ho letto un documento, che non
> riesco più a trovare, in cui spiegava che attualmente, con le
> tecnologie che ci sono ora in giro, cambiare password regolarmente può
> rivelarsi addirittura controproducente.
assurdo! mi domando su quali reali basi si possano fare simili affermazioni.
> Personalmente cambiare la
> password ad intervalli (regolari o meno) non ritengo porti un
> significativo aumento di sicurezza: ormai quasi tutti i provider di
> posta e i siti che trattano informazioni personali usano la
> crittografia asimmetrica almeno a 1024 bit (vedi per dire il primo che
> mi viene in mente, meebo), la quale richiede, per essere forzata,
> tempi decisamente improponibili... Stare a cambiare la password, a
> parte quella iniziale, non mi pare sia un gran guadagno. Anche perchè,
> ripeto, il tempo di brute forcing di una password crittografata a 1024
> bit o più è dell'ordine di anni.
peccato che:
1) esiste una legge, che finchè non viene modificata va  rispettata e 
non solo per le eventuali conseguenze penali ma anche per le conseguenze 
civili in tema di danno.
2) in tema di sicurezza e sopra tutto nell'ambito dell'intercettazione 
della pwd non esiste solo il lato prettamente informatico ma anche 
l'aspetto umano.
il social engineering è il sistema di gran lunga più utilizzato per 
intercettare informazioni "riservate". Credo non sia necessario spiegare 
la continua commistiona tra mondo analogico e digitale ma parlare di 
sicurezza dimenticoando cio' è un gravissimo errore.

Rino