Re: [ml] Static Password vs Changing Password

Il giorno 08/mag/08, alle ore 08:21, Roberto Tagliaferri - Tosnet srl  
ha scritto:

> Alberto Trivero ha scritto:
> > Riguardo la questione dei post-it che la gente usa per segnarsi una  
> > o più passwords e il conseguente dibattito security-related, mi  
> > sembra interessante ricordare quanto sostiene Bruce Schneier: http://www.theregister.co.uk/2005/07/19/password_schneier/
> > Sintetizzando, è meglio che un utente scelga una password complessa  
> > e difficile da ricordare e poi se la metta nel portafoglio in mezzo  
> > al resto, piuttosto che scegliere una password più semplice e  
> > memorizzabile ma passibile di attacchi brute force o a dizionario.  
> > Aggiungere qualche semplice metodo di offuscamento migliora poi il  
> > tutto.
> > E' una questione vecchia ma che ritorna ciclicamente alla ribalta e  
> > solleva costantemente accese discussioni.
> >
> > Saluti,
> >
> > Alberto Trivero
> C'è anche la terza via.. ovvero la password complessa che però è  
> legata a me per qualche motivo particolare e non pubblico e che  
> quindi mi ricordo a memoria senza bisogno di foglietti o altro.
> Questa terza via è vanificata dai cambiamenti forzati della password  
> (mannaggia a banca sella).. Non sarebbe meglio chiedere ad un utente  
> una bella password e poi ogni x giorni consigliargli il cambio  
> invece che imporlo?
>
> --
> Roberto Tagliaferri

E' una questione di ricerca di compromessi adeguati. Il fatto che un  
utente possa tenere in memoria, per sue ragioni, una password  
considerata sicura secondo i classici criteri di complessità, non  
implica che, in qualche modo (phishing attack, compromissione del  
sistema dell'utente, shoulder surfing, etc..), qualcuno non possa  
entrarvi lo stesso in possesso. Cambiare la password di un utente ogni  
un tot di tempo dà qualche garanzia di sicurezza in più contro questi  
problemi, non molto, ma qualcosina sì.

Saluti,

Alberto Trivero