[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2006 ml@sikurezza.org Soggetto: Re: [ml] Leggete e meditate... Mittente: ascii Data: Thu, 11 May 2006 17:44:31 +0200 (CEST)
Tullio Andreatta ML wrote: > .. ha senso limitare il tempo a *MENO DI SEI MESI*?!? In sei mesi un > attacker ti trasferisce l'hard disk usando il payload di un pacchetto > ICMP PING ogni 5 minuti; prova tutti gli exploit di privilege excalation > conosciuti (solo nei week-end), e sperimenta qualcuno di quelli nuovi > scoperti nel frattempo; usa il server come base per crearsi una botnet > di 100.000 computers; genera un CD con tutti gli indirizzi e-mail che > transitano nella tua casella postale e lo vende su eBay; ... imho se l'attacker ha ottenuto privilegi di superuser non ha piu' bisogno di inserire password (se ne ha dovuta inserire qualcuna) al pari la maggior parte degli hack degni di questo nome non necessitano di password come dire.. chi ha bisogno di password con tutti questi BOF? tornando al discorso originale la mia semplicistica opinione e': - far expirare le passwd serve sono contro i bruteforce - contro lo sniffing solo le otp risolvono, giusto? - avere password complesse aiuta contro JTR e RB (nel caso non ci sia salt o l'attacker abbia le RB con quel salt) parlo di attacchi zero-knowledge, attacker esterni e cattivi : ) per il resto come qualcuno aveva intelligentemente argomentato bisogna vedere cosa protegge la pwd in questione e non esiste una policy generale ciao, ascii, http://www.ush.it/
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005