[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Aprile 2007 ml@sikurezza.org
Soggetto: Re: [ml] standard creazione password
Mittente: rino lo turco
Data: Mon, 23 Apr 2007 09:23:25 +0200 (CEST)
Spank ha scritto:
Il 15/04/07, Davide Denicolo<davide@xxxxxxxxxxxxxxxxx> ha scritto:
3) cambio della stessa ogni N giorni ( dove N dovrebbe essere in genere
minore dei giorni necessari ad effettuare un brute forcing della password )

Una piccola nota: qualche tempo fa ho letto un documento, che non riesco più a trovare, in cui spiegava che attualmente, con le tecnologie che ci sono ora in giro, cambiare password regolarmente può rivelarsi addirittura controproducente.
assurdo! mi domando su quali reali basi si possano fare simili affermazioni.
Personalmente cambiare la
password ad intervalli (regolari o meno) non ritengo porti un
significativo aumento di sicurezza: ormai quasi tutti i provider di
posta e i siti che trattano informazioni personali usano la
crittografia asimmetrica almeno a 1024 bit (vedi per dire il primo che
mi viene in mente, meebo), la quale richiede, per essere forzata,
tempi decisamente improponibili... Stare a cambiare la password, a
parte quella iniziale, non mi pare sia un gran guadagno. Anche perchè,
ripeto, il tempo di brute forcing di una password crittografata a 1024
bit o più è dell'ordine di anni.

peccato che:
1) esiste una legge, che finchè non viene modificata va rispettata e non solo per le eventuali conseguenze penali ma anche per le conseguenze civili in tema di danno.
2) in tema di sicurezza e sopra tutto nell'ambito dell'intercettazione della pwd non esiste solo il lato prettamente informatico ma anche l'aspetto umano.
il social engineering è il sistema di gran lunga più utilizzato per intercettare informazioni "riservate". Credo non sia necessario spiegare la continua commistiona tra mondo analogico e digitale ma parlare di sicurezza dimenticoando cio' è un gravissimo errore.


Rino






[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005