Re: [ml] Leggete e meditate...

----- Forwarded message from Michele <vo.sinh(at)gmail.com> -----
From: Michele <vo.sinh(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] Leggete e meditate...

Mhh denso di significato se stai a guardare i paroloni...se ti limiti ad
analizzare la situazione considerando gli attacchi che puoi portare per
OTTENERE una password e' chiaro che cambiarla ogni (esempio) 6 mesi non ti
cambia un granche`...ma se pensi la questione in termini di "ok un qualche
attacker ha ottenuto la password, limitiamo il tempo e la quantita' di
informazioni alle quali puo' accedere con la password o limitiamo il tempo
durante il quale puo` accedere (ed eventualmente ottenere privilegi
maggiori) al sistema" prende senso..alla fine il discorso e` molto simile ad
una vpn crittata con una chiave statica o con una chiave generata e
scambiata mediante rsa/dsa..

c'e` anche da dire che in una ipotetica policy non ha molto senso inserire
un cambio periodico delle password se (vedi descrizioni dell'articolo):
****Disclosure/Exposure/Loss** - non si dice agli utenti che non deve essere
detta a nessuno :) e se qualcuno la viene a sapere se ne deve richiedere una
nuova quanto prima;
Inference/Guessing - non si genera e consegna (e quindi non e` decisa
dall'utente, come ipotizza in "Inference") una password "forte" ma
abbastanza semplice da ricordare;

compilando una ipotetica policy che tenga conto dei punti sopra (che sono
direi quasi scontati) si puo` quindi pensare di cambiare periodicamente le
password. detto questo si capisce come l'articolo, IMO, parta da una visione
distorta della questione in quanto in presenza di cambio di password
periodico le problematiche di cui sopra devono essere gia` state valutate ed
arginate. Rimane fuori solo Snooping che, pensando ad una ipotetica rete
interna, si dovrebbe avere accesso fisico per poter sniffare la password o
installare keylogger a meno che firewall, ids, antivirus e proxy di sorta
abbiano fallito e l'attacker sia riuscito ad installare una backdoor o altro
(se non sono stati previsti allora qualcosa non va nella policy oltre alle
password cambiate a tempo). Il caso poi in cui qualcuno comunichi
all'esterno della rete la propria password in chiaro (sul suo account email
ad esempio) rientra nel punto "Disclosure/Exposure/Loss".

Michele

On 5/2/06, Stefano Zanero <s.zanero(at)securenetwork.it> wrote:
>
>Gene Spafford parla del cambio periodico delle password... e della sua
>inutilita'. Un pezzo denso di significato.
>
>http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/
>
----- End forwarded message -----