Tullio Andreatta ML wrote: > Gli utenti evoluti si comportano come Marcello Barnaba che utilizza >
Un sistema di home banking non è fatto per i centomila (forse) utenti evoluti, è fatto per gli altri cinquantanove miloni e passa ;) > ovvero sostituiscono una password difficile da ricordare con una > memoria "esterna" protetta da una password facile da ricordare - e > siamo punto e a capo. > Gli altri dovrebbero usare una password facile da ricordare, ma se > viene loro impedito usano altre memorie esterne, non protette da > password (le piu' comuni sono i PostIt). Non mi è ben chiaro come una password con dentro una parentesi angolata possa essere facile da ricordare, se non per qualche tecnologo. Credo che per ragionare di cosa è più sicuro, sia necessario definire il modello di minacce di cui si sta parlando. Altrimenti, qualsiasi soluzione può essere considerata insicura, compreso il keyring, la password difficile da scoprire e la smart card. Ad esempio, molte banche hanno iniziato a dare OTP su carta: è meno sicuro della password difficile da ricordare? È su carta come il PostIt, eppure in caso di compromissione del pc ti dà più garanzie di una smart card. > Infatti, qual e' il motivo di tutte le regole? E' che se si dice ad > un utente "usa quello che vuoi" usera' sempre la stessa password, > "non la stessa" cambiera' un carattere in fondo, "puoi usare tutte > le lettere che vuoi" usera' una parola di senso compiuto, se si > aggiunge "ma devono esserci anche numeri" aggiungera' una data, se > si aggiunge "ma non la userid" usera' solo un pezzo della userid, > "almeno 8 caratteri" usera' una password di massimo 8 caratteri, > se si aggiunge "non consecutivi" usera' qwerty135 ... ed ecco > che siamo finalmente arrivati a una password crittograficamente > forte! :-) Sinceramente non mi è chiaro qual'è il tuo punto: hai trovato una password facile da ricordare che rispetta le regole e ciononostante è debole... quindi le regole non impediscono di trovare password facili da ricordare. Mi stai dicendo che per averle forti bisognerebbe eliminare qualcuna delle regole, ad esempio per permettere qwerty123? Se usi password forti memorizzabili, quelle regole non ti disturbano. Se usi un keyring, non ti disturbano. Quindi? Sono inutili? Molte certamente sì. Ma questo non ha molto a che vedere con riduzioni di set di caratteri e simili. Vorresti dire che bisognerebbe insegnare agli utenti a scegliere password difficili? Che io sappia nessuno ci è mai riuscito. Per quanto ho visto però l'utente è pigro e non valuta bene i rischi, ma non è stupido (e sarebbe un'incredibile e irrealistica presunzione pensare che le sole persone intelligenti frequentino si forum di sicurezza...). Se all'utente spieghi che non è il caso di usare la stessa password sul sito del negozio online e su quello di home banking, di solito lo capisce. Quello che non capisce, secondo me, sono i rischi di una password banale (o di una password in generale, ma quello purtroppo non è un problema suo). Quindi, una volta capito che deve usare password diverse, sceglierà i nomi di tutta la famiglia. Se la password non è banale da ricordare (qwerty135 è facile solo se ne devi ricordare una sola) sarà ben felice di usare un keyring, se gli dici cos'è, proprio perché è pigro. Dopotutto i keyring sono nati più per poter usare password diverse che per permettere di usare password difficili. > (Tra l'altro, il motivo (c) e' evidenziato in questo esempio anche > dal tentativo di impedire la possibilita' di sql injection: invece > di scrivere bene il programma, si impedisce all'utente di incappare > in un bug - e cosi', come effetto collaterale, si semplifica pure > il lavoro di costruzione dei "siti fotocopia" per il phishing ...) "Invece" di scrivere bene il programma è una libera interpretazione, vedi il mio altro post: scegliere sempre una misura di sicurezza "invece" di un'altra non è buona progettazione, quale che sia la presunta capacità di scrivere codice senza errori. ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
