Re: [ml] Static Password vs Changing Password

simo wrote:
> On Sun, 2008-05-04 at 15:19 +0200, marco misitano wrote:
>   
> > > > Per la serie "solo la matematica puà accompagnarvi verso la veritÃ", 
> > > > segnalo un bel post che discute, senza paroloni, dei reali vantaggi 
> > > > che un meccanismo di cambio dinamico delle password puà apportare:
> > > >         
> > > Si', diciamo che l'autore si e' dimenticato di dettagliuzzi tipo:
> > > - neutralizzazione del shoulder surfing
> > > - evitare la comparsa degli orribili post-it con le password
> > > - evitare la condivisione di password tra persone diverse
> > > - ridurre la finestra di uso delle credenziali durante un attacco di 
> > > phishing
> > >
> > > Cosine cosi', insomma. La matematica e' un'ottima compagna, ma bisogna 
> > > anche avere un attimo di prospettiva...
> > >
> > >       
> > Prospettiva tridimensionale direi: Tecnologia, Procedure, Persone.
> > Come dire, la tecnologia (password) e' un aspetto, ma da sola non fa 
> > tutto. C'Ã' il fattore procedurale, che se osservato da un punto di 
> > vista matematico puà offrire spunti nuovi. E poi c'Ã' la componente 
> > umana, sempre e bellamente ultima in fila. Possiamo anche usare OTP, se 
> > la prima cosa che faccio e' leggere ad alta voce l'OTP hai voglia a 
> > quanto ho neutralizzato la tecnologia.
> >     
>
> Se e' OTP, puoi leggerla ad alta voce quanto vuoi. 
dipende. se e' time based ed ho qualcuno che ascolta pronto ad usarlo 
non e' bello.
se non e' time based e la sto trascrivendo per un utilizzo successivo 
(cosa gia di per se non bella), tu te la segni e la usi quando vuoi. e 
cosi' via.

> Il concetto di OTP e'
> proprio che il segreto e' "throw-away", ovvero una volta usato non e'
> piu' valido. 
>   

appunto. finche non e' usato e nella sua finestra di tempo, meglio non 
leggerla a voce alta.

ciao

--
Marco Misitano | http://misitano.com