2010/6/10 Alessio Cecchi: > Dario Fiumicello ha scritto: [...] > Penso che è, quasi, la norma conservare nei propri DB le password in chiaro > specialmente per la posta elettronica, almeno nell'ambito dei medi/grossi > ISP. Non è invece la norma ne tanto meno elegante farlo sapere in giro.
Penso che sia un errore grave quasi quanto sbagliare ancora il congiuntivo :-) E non esiste alcuna necessità per farlo (intendo, conservare la password, non sbagliare il congiuntivo...) se non per la pigrizia - o l'ignoranza - di implementare un sistema di password self-reset. È forse per questo amo i provider che sono costretti a rispettare certe compliance, perché sono costretti dagli auditor a non fare certe porcherie. Grazie per esistere ISO27001! purtroppo non esistono multe abbastanza salate in certi casi > Le password i chiaro sono utili per attività di help-desk, fondamentali in > caso di migrazioni o altre attività straordinarie. Sono assolutamente in disaccordo, non hanno alcun senso in entrambi i casi. E in nessun altro, per quel che possa immaginarmi... Per lo meno in ambiti che siano _minimamente_ professionali. > Però un conto è > mantenerle per solo questo tipo di attività ed n conto è inviarle in chiaro, > specie per la PEC. Non ha senso mantenerle in chiaro, punto. Fammi un solo esempio in cui ti serva la password di un utente! > Noi quando installiamo un mail server per questo genere di contesti facciamo > presente al cliente che è possibile mantenere in chiaro una copia della > password, se lui lo ritiene opportuno ci specifica che vuole avere anche le > password in chiaro. Poi a livello di sistema questa password in chiaro non è > mai utilizzati dai software che fanno sempre riferimento ad un hash per il > confronto delle password fornite dall'utente, si tratta solo di un campo > extra nel DB. Qualcuno le vuole, altri no. Noi facciamo presente i pro ed i > contro poi decidano loro. Bene, grazie per l'informazione. Aggiungo alla mia già lunga black list dei fornitori di servizi italiani... non si sa mai, mi dovesse servire una PEC un giorno... > Certo non è bello sapere che nei DB dei grossi ISP ci sono le nostre > password anche in chiaro. > > Ritengo opportuno che a livello di contratto ed utilizzo dei nostri dati > sarebbe opportuno che l'ISP specificasse se archivia o meno le nostre > password in chiaro. Riterrei ancora meglio che venissero obbligati ad essere compliant ISO27001 - o qualsiasi altro standard - e venissero obbligati a lavorare professionalmente, ovvero conservassero soltanto gli hash delle password ed implementassero dei seri e sicuri meccanismi di password self-reset, dove chiunque non possa telefonare ad un help desk spacciandosi per il cliente e facendosi leggere al telefono - o mandare per email - la password della PEC Mi meraviglia piuttosto che si possano veramente scrivere certe cose in una mailing list di sicurezza. Magari altrove, ma non qua... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
