Il giorno 08/mag/08, alle ore 08:21, Roberto Tagliaferri - Tosnet srl
ha scritto:
Alberto Trivero ha scritto:
Riguardo la questione dei post-it che la gente usa per segnarsi una
o più passwords e il conseguente dibattito security-related, mi
sembra interessante ricordare quanto sostiene Bruce Schneier: http://www.theregister.co.uk/2005/07/19/password_schneier/
Sintetizzando, è meglio che un utente scelga una password complessa
e difficile da ricordare e poi se la metta nel portafoglio in mezzo
al resto, piuttosto che scegliere una password più semplice e
memorizzabile ma passibile di attacchi brute force o a dizionario.
Aggiungere qualche semplice metodo di offuscamento migliora poi il
tutto.
E' una questione vecchia ma che ritorna ciclicamente alla ribalta e
solleva costantemente accese discussioni.
Saluti,
Alberto Trivero
C'è anche la terza via.. ovvero la password complessa che però è
legata a me per qualche motivo particolare e non pubblico e che
quindi mi ricordo a memoria senza bisogno di foglietti o altro.
Questa terza via è vanificata dai cambiamenti forzati della password
(mannaggia a banca sella).. Non sarebbe meglio chiedere ad un utente
una bella password e poi ogni x giorni consigliargli il cambio
invece che imporlo?
--
Roberto Tagliaferri
E' una questione di ricerca di compromessi adeguati. Il fatto che un
utente possa tenere in memoria, per sue ragioni, una password
considerata sicura secondo i classici criteri di complessità, non
implica che, in qualche modo (phishing attack, compromissione del
sistema dell'utente, shoulder surfing, etc..), qualcuno non possa
entrarvi lo stesso in possesso. Cambiare la password di un utente ogni
un tot di tempo dà qualche garanzia di sicurezza in più contro questi
problemi, non molto, ma qualcosina sì.
Saluti,
Alberto Trivero________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
