2013/4/18 Iulian Roman <[email protected]>: > cam la asta ma gindisem ca unica metoda, dar ma intreb cum verifica cei > care fac audit asta ? Adica practic nu poate fi demonstrat ca esti > incompliant atit timp cit nu poti verifica lungimea passphrase-ului.
Mi s-a întâmplat o dată să am de a face cu un auditor din ăsta, lucrând în parte pentru o firmă ce avea nevoie de un asemenea audit. Strategia lui de bază mi s-a părut a fi „seeing is believing”. Prin urmare, nu văd de ce nu te-ar pune să-i demonstrezi că lungimea depășește 20 de caractere introducând mai rar fraza parolă, în timp ce el numără tastele apăsate după cum le aude, nu e nevoie să se uite, o condiție fiind bineînțeles reușita autentificării. Deci părerea mea de două parale e că se cam poate... Nu contest că poți și trișa, mai apăsând Shift, Ctrl, Alt ori un caracter greșit și apoi Backspace. Teoretic cred că se poate și uita pentru a evita o asemenea stratagemă, apoi tu fiind liber să-ți schimbi fraza parolă, dacă o consideri compromisă. Dacă o face prin sondaj în rândul mai multor utilizatori, ai pus-o, vrând-nevrând tot tre' să impui (chiar și informal) ca utilizatorii să folosească cel puțin 20 de caractere. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
