simo wrote:
On Sun, 2008-05-04 at 15:19 +0200, marco misitano wrote:
Per la serie "solo la matematica può accompagnarvi verso la verità",
segnalo un bel post che discute, senza paroloni, dei reali vantaggi
che un meccanismo di cambio dinamico delle password può apportare:
Si', diciamo che l'autore si e' dimenticato di dettagliuzzi tipo:
- neutralizzazione del shoulder surfing
- evitare la comparsa degli orribili post-it con le password
- evitare la condivisione di password tra persone diverse
- ridurre la finestra di uso delle credenziali durante un attacco di
phishing
Cosine cosi', insomma. La matematica e' un'ottima compagna, ma bisogna
anche avere un attimo di prospettiva...
Prospettiva tridimensionale direi: Tecnologia, Procedure, Persone.
Come dire, la tecnologia (password) e' un aspetto, ma da sola non fa
tutto. C'è' il fattore procedurale, che se osservato da un punto di
vista matematico può offrire spunti nuovi. E poi c'è' la componente
umana, sempre e bellamente ultima in fila. Possiamo anche usare OTP, se
la prima cosa che faccio e' leggere ad alta voce l'OTP hai voglia a
quanto ho neutralizzato la tecnologia.
Se e' OTP, puoi leggerla ad alta voce quanto vuoi.
dipende. se e' time based ed ho qualcuno che ascolta pronto ad usarlo
non e' bello.
se non e' time based e la sto trascrivendo per un utilizzo successivo
(cosa gia di per se non bella), tu te la segni e la usi quando vuoi. e
cosi' via.
Il concetto di OTP e'
proprio che il segreto e' "throw-away", ovvero una volta usato non e'
piu' valido.
appunto. finche non e' usato e nella sua finestra di tempo, meglio non
leggerla a voce alta.
ciao
--
Marco Misitano | http://misitano.com
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
