R: [ml] Leggete e meditate...

Io sono pienamente d'accordo con Spafford.

Intanto cominciamo a valutare cosa viene protetto con quella password.

Tra una password di un account di superuser di dominio e quella di un account di un utente che con quell'account ha solamente i privilegi di leggere (e scrivere) la sua email ne corre. Non che l'email degli utenti non sia importante, anzi, ma la compromissione dell'account di superuser di dominio vuol dire compromettere d'un botto tutti gli accounts di tutti gli utenti, e percio' il danno e' infinitamente superiore.

Ne consegue che chi gestisce ed utilizza l'account di superuser deve avere una maggiore consapevolezza di cio' che fa e della sicurezza che riguarda il suo operato, e percio' non ha nemmeno bisogno di essere forzato a cambiare la password regolarmente, anzi.


Nel caso degli utenti forzare il cambiamento della password a scadenze regolari porta a delle situazioni paradossali, tipo usare la stessa radice e poi il numero del mese.

Si, su tantissimi sistemi si puo' impostare il controllo che la nuova password non sia troppo simile alla password precedente. E allora si assiste all'impiego di password tipo: "gennaio01", "febbraio02".

Oh, certo, si possono memorizzare un certo numero di password precedenti, in modo che non vengano piu' impiegate. Se se ne memorizzano piu' di 12 possiamo essere certi che quelle password prima descritte non siano piu' usate.

E allora si vedono password composte da <mese><anno> tipo "gennaio06" e cosi' via.

Poi si possono forzare gli utenti ad inserire nella password i "caratteri speciali", tipo il punto, il meno, la chiocciolina dell'"at".

A parte che inserire la chiocciolina "at" oppure i due punti in stringhe tipo http://utente:password@xxxxxxxxxxxxxx/ porta a dei risultati da una parte esilaranti e dall'altra frustranti (molti proxy e/o firewalls applicativi generano automaticamente stringhe di quel tipo, specialmente se si va su siti FTP).

Spesso accade anche che l'utente prova e riprova ad inserire la nuova password e all'ennesimo tentativo senza successo (e con messaggi di errore esplicativi tipo: "la tua password non raggiunge i requisiti minimi richiesti") l'utente chiama le persone di supporto e, a voce alta, dice: "ma xxxyyyxx76 perche' non va bene come password ?"

E tutto questo senza scendere in cose ormai ovvie come i nomi dei figli, del coniuge, date di nascita, che ormai tutti conoscono.

Oppure dei post-it al monitor, che ormai e' una cattiva abitudine piuttosto conosciuta.


Queste mie note vengono da un po' di esperienza, che mi ha portato a fare queste considerazioni.

Il succo e': le password sono importanti, vanno gestite con cura, ma non bisogna accanirsi piu' di tanto, soprattutto valutare dove stanno i dati importanti e proteggerli di conseguenza.

Si, lo so, l'educazione degli utenti e' fondamentale, ma devo ancora vedere la prima educazione alla sicurezza "di massa" di tutta una organizzazione che non venga percepita come una cosa tra il superfluo e l'eccessivamente paranoico.


Percio' quello che a mio parere dice Spafford e': "ragazzi, scendiamo dal pero e caliamoci nel mondo reale".



--
Massimo Brogioni
Nuova Trend SpA  Phone: +39 030 3516430
Via C. Brozzoni, 9        25120 Brescia  





> -----Messaggio originale-----
> Da: ml-bounces@xxxxxxxxxxxxx 
> [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di Stefano Zanero
> Inviato: martedì 2 maggio 2006 0.33
> A: lex@xxxxxxxxxxxxx; ml@xxxxxxxxxxxxx
> Oggetto: [ml] Leggete e meditate...
> 
> 
> Gene Spafford parla del cambio periodico delle password... e 
> della sua inutilita'. Un pezzo denso di significato.
> 
> http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/
> 
> -- 
> Cordiali saluti,
> Ing. Stefano Zanero
> ---------------------------
> CTO & Co-founder
> Secure Network S.r.l.
> www.securenetwork.it 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>