Re: [ml] Programma per calcolare la robustezza di una password

Uhm... 

----- Forwarded message from Simo Sorce <simo.sorce<at>xsec.it> -----
Subject: Re: [ml] Programma per calcolare la robustezza di una password
From: Simo Sorce <simo.sorce<at>xsec.it>
Date: Fri, 16 Jul 2004 09:50:27 +0200

On Wed, 2004-07-14 at 17:00, Lonely Wolf wrote:
> voglio dire io posso anche scegliermi una password sufficientemente lunga e
> che non "matchi" con nessuno dei criteri preimpostati in uno di questi
> programmi, ma niente vieta che la medesima sia cmq
> "weak" o semplice da individuare a un attaccante sufficientemente dotato di
> immaginazione o quanto meno che abbia avuto modo di farsi un'idea della
> persona "studiandola/osservandola"....
> E'vero, un programma simile può anche obbligarmi a immettere una password di
> lunghezza minima N, può obbligarmi a mettere qualche maiuscola e pure un
> paio di numeri, ma non potrà mai (?) distinguere una password
> lunga+maiuscole+numeri cmq BANALE/WEAK o facile da ricordare, (che alla
> fine, è quello che vogliono gli utenti) da una veramente STRONG, visto che
> per lui, una password Strong sarà sempre e cmq una password che supera i
> vari if..else... 

Non ho mica capito cosa intendi ...

Secondo me, prima dovresti definire che cosa cosideri weak e che cosa
consideri strong, poi definire come controllare la tua definizione, poi
confrontare questa tua procedura con quella adottata da cracklib e
vedere se sono equivalenti.

Trovo cracklib abbastanza efficace nel determniare una buona password,
tutto sta ovviamente nel livello di fastidio che si vuole creare
all'utente.

Certo che 5i^^oS0R<3 non è esattamente una password strong (e questo a
seconda delle definizioni), ma cracklib è in grado di riconoscere anche
questa come non strong (o la si può migliorare a farlo).

Ma tieni conto che la password deve essere forte a sufficienza per chi
non ti conosca perchè si ritiene poco probabile che chi ha le competenze
ti conosca o chi ti conoca abbia le competenze per tentare di indovinare
la tua password. Anche perchè ormai tutti i sistemi decenti loggano ben
bene e ti rallentano sempre più (o ti disabilitano) man mano che fai
tentativi errati.

Tutto è relativo ovviamente e finchè c'è gente (troppissima) che
continua ad usare protocolli in chiaro come pop3, imap, ftp o telnet c'è
ben poco da assicurarsi password inimmaginabili.

Simo.

-- 
Simo Sorce - simo.sorce<at>xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

----- End forwarded message -----