[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2008 ml@sikurezza.org Soggetto: Re: [ml] Static Password vs Changing Password Mittente: Alberto Trivero Data: Sun, 4 May 2008 17:55:20 +0200 (CEST)
Il giorno 04/mag/08, alle ore 13:49, Claudio ha scritto:
Mi riallaccio alla comparsa dei terrificanti post-it con le password. A
mio avviso il problema sta nella proliferazione delle password e non nel
fatto che le credenziali abbiano una scadenza.
Per risolvere il problema dei post-it (o simili) occorre spingere verso il
single sign-no; in questo modo, avendo una sola password, il buon "utente
medio" non sente alcun bisogno di segnarsela - anche se viene costretto a
cambiarla ogni 30 o 60 giorni.
Del resto è in-scientificamente dimostrato che lo stesso "utente medio"
non usa mai password decenti (dal punto di vista della qualità), quindi
non è difficile attaccarle a forza bruta. Del resto, se viene imposto un
password quality particolarmente complesso (tipo: almeno 8 caratteri, di
cui due maiuscole, tre numeri, due punteggiature, massimo 2 caratteri in
comune con le 32 password precedenti etc.) è scontato che l'utente, dopo 2
ore di improperi, trova una password e la segna sul solito post-it
altrimenti la scorda entro la nottata.
Personalmente ho avuto modo di vedere che gli utenti accettano (a) una
politica di qualità delle password un po' più rigida e (b) la necessità di
cambiare la credenziale ogni X giorni qualora (c) non gli venga richiesto
di averne una dozzina, di password! c ==> a+b , ovvero: il single sign-on
fa felici utenti e amministratori ;-) forse un po' meno i
security-specialist. Ma per questo esiste il SSO con autenticazione forte,
anche se quasi ovunque è ancora fantascienza. :(
Saluti,
Alberto Trivero
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005