Alberto Trivero wrote:
E' una questione di ricerca di compromessi adeguati. Il fatto che un utente possa tenere in memoria, per sue ragioni, una password considerata sicura secondo i classici criteri di complessità, non implica che, in qualche modo (phishing attack, compromissione del sistema dell'utente, shoulder surfing, etc..), qualcuno non possa entrarvi lo stesso in possesso. Cambiare la password di un utente ogni un tot di tempo dà qualche garanzia di sicurezza in più contro questi problemi, non molto, ma qualcosina sì.
Ultimamente sono molto perplesso riguardo al concetto di qualità della password, specialmente quando si parla di password memorizzabili. Da quando mi occupo di sicurezza sento parlare di password di 8 caratteri, casuali oppure scelte con un qualsiasi criterio. Solo che negli ultimi quindici anni, qualcosa nelle capacità di calcolo dei computer è cambiato ;) Tralascio per ora il discorso relativo ad altri strumenti di autenticazione e rimango sulle password. Se non sbaglio i calcoli, una password casuale di 8 caratteri sono qualcosa come 2^48 bit (8 caratteri da un set di circa 64). Appena ci si sposta dalla password casuale, quale che sia il criterio di selezione, il numero crolla rapidamente. Non so a che punto siano le prestazioni dei cracker, ma ho l'impressione che 48 bit rappresentino in molti casi ancora una protezione anche se le password possono essere provate a velocità arbitraria e senza impedimenti, ad esempio perché si ha un hash a disposizione (nessuno investe troppo per la mia password su un blog), ma appena si cala un po' credo che la protezione diventi trascurabile. Viceversa, se ci sono impedimenti (rallentamenti, blocchi dopo un certo numero di tentativi ecc.), la qualità diventa un problema meno importante, come dimostrano le recenti discussione sui PIN dei bancomat. Allora forse, invece di continuare a discutere sulle caratteristiche delle password, sarebbe il caso di concentrarsi di più (noi, le norme, la formazione, lo sviluppo di codice) su quali criteri usare per i rallentamenti, su quali per il blocco (temporaneo) delle credenziali e sulle situazioni in cui hash e simili sono disponibili, partendo dall'ipotesi che se il sistema dell'utente è compromesso, non c'è qualità della password, memoria o keyring che tenga.
Riguardo al cambio della password, anche qui è una questione di modelli delle minacce. Secondo me, cambiare la password dell'home banking di un utente è inutile, perché quando la password viene compromessa, viene anche utilizzata subito e l'utente se ne accorge in breve tempo, il tutto prima che ci sia necessità di cambiarla ("tutto aiuta" non è una grande idea quando implica anche una grossa scomodità per l'utente). Viceversa, in un'azienda cambiare la password può voler dire mettere un limite alla condivisione, quando si ritiene che la cosa costituisca un problema.
ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
