Re: [ml] Static Password vs Changing Password

Alberto Trivero ha scritto:
> Riguardo la questione dei post-it che la gente usa per segnarsi una o 
> più passwords e il conseguente dibattito security-related, mi sembra 
> interessante ricordare quanto sostiene Bruce Schneier: 
> http://www.theregister.co.uk/2005/07/19/password_schneier/
> Sintetizzando, è meglio che un utente scelga una password complessa e 
> difficile da ricordare e poi se la metta nel portafoglio in mezzo al 
> resto, piuttosto che scegliere una password più semplice e 
> memorizzabile ma passibile di attacchi brute force o a dizionario. 
> Aggiungere qualche semplice metodo di offuscamento migliora poi il tutto.
> E' una questione vecchia ma che ritorna ciclicamente alla ribalta e 
> solleva costantemente accese discussioni.
>
> Saluti,
>
> Alberto Trivero
C'è anche la terza via.. ovvero la password complessa che però è legata 
a me per qualche motivo particolare e non pubblico e che quindi mi 
ricordo a memoria senza bisogno di foglietti o altro.
Questa terza via è vanificata dai cambiamenti forzati della password 
(mannaggia a banca sella).. Non sarebbe meglio chiedere ad un utente una 
bella password e poi ogni x giorni consigliargli il cambio invece che 
imporlo?


--
Roberto Tagliaferri
Responsabile Progettazione & Produzione
TosNet s.r.l. - Internet Service Provider
r.tagliaferri@xxxxxxxxx
www.tosnet.it