> Alberto Trivero wrote: >> Per la serie "solo la matematica può accompagnarvi verso la verità", >> segnalo un bel post che discute, senza paroloni, dei reali vantaggi che >> un meccanismo di cambio dinamico delle password può apportare: > > Si', diciamo che l'autore si e' dimenticato di dettagliuzzi tipo: > - neutralizzazione del shoulder surfing > - evitare la comparsa degli orribili post-it con le password > - evitare la condivisione di password tra persone diverse > - ridurre la finestra di uso delle credenziali durante un attacco di > phishing > > Cosine cosi', insomma. La matematica e' un'ottima compagna, ma bisogna > anche avere un attimo di prospettiva...
Mi riallaccio alla comparsa dei terrificanti post-it con le password. A mio avviso il problema sta nella proliferazione delle password e non nel fatto che le credenziali abbiano una scadenza. Per risolvere il problema dei post-it (o simili) occorre spingere verso il single sign-no; in questo modo, avendo una sola password, il buon "utente medio" non sente alcun bisogno di segnarsela - anche se viene costretto a cambiarla ogni 30 o 60 giorni. Del resto è in-scientificamente dimostrato che lo stesso "utente medio" non usa mai password decenti (dal punto di vista della qualità), quindi non è difficile attaccarle a forza bruta. Del resto, se viene imposto un password quality particolarmente complesso (tipo: almeno 8 caratteri, di cui due maiuscole, tre numeri, due punteggiature, massimo 2 caratteri in comune con le 32 password precedenti etc.) è scontato che l'utente, dopo 2 ore di improperi, trova una password e la segna sul solito post-it altrimenti la scorda entro la nottata. Personalmente ho avuto modo di vedere che gli utenti accettano (a) una politica di qualità delle password un po' più rigida e (b) la necessità di cambiare la credenziale ogni X giorni qualora (c) non gli venga richiesto di averne una dozzina, di password! c ==> a+b , ovvero: il single sign-on fa felici utenti e amministratori ;-) forse un po' meno i security-specialist. Ma per questo esiste il SSO con autenticazione forte, anche se quasi ovunque è ancora fantascienza. :( ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
