R: [ml] Leggete e meditate...

>a me sembrano semplicemente una montagna di "chiacchiere".
>Infatti, si contesta da solo... quando dice "The best approach is to
>determine where the threats are, and choose defenses accordingly".
>infatti nei sistemi mission critical ormai si usano soluzioni di
>autenticazioni forti e senza ripudio.

Questa è la classica discussione che non troverà mai tutti d'accordo, anche
perché i sistemi sottoposti a password sono i più disparati e la stessa
definizione di "mission critical" è molto soggettiva.
A mio parere nel documento ci sono molte verità, anche se non assolute, in
effetti l'unico, o almeno il più importante risultato che si ottiene con il
cambio della password è quello di concedere un tempo limitato a chi dovesse
venire a conoscenza della stessa, ma un risultato migliore si può ottenere
con altri strumenti, tipo analizzare periodicamente i log e/o fare sempre
attenzione ai dati relativi all'ultimo login nei sistemi dove questo dato è
facilmente leggibile (linux/unix/bsd).
Parto dal presupposto che la password finisce rarissimamente in mano a
persone che sono in grado di coprire le proprie tracce e che comunque se la
password finisce in mani sbagliate basta un solo accesso a fotterti, quindi
perché dannarsi così tanto a cambiarla?
Detto questo non voglio assolutamente dire che non si debba cambiare
periodicamente la password, ma che occorre dare a questa pratica il peso che
merita.

Bye,
    Massimo.