2013/4/18 Mișu Moldovan <[email protected]> > 2013/4/18 Iulian Roman <[email protected]>: > > cam la asta ma gindisem ca unica metoda, dar ma intreb cum verifica cei > > care fac audit asta ? Adica practic nu poate fi demonstrat ca esti > > incompliant atit timp cit nu poti verifica lungimea passphrase-ului. > > Mi s-a întâmplat o dată să am de a face cu un auditor din ăsta, > lucrând în parte pentru o firmă ce avea nevoie de un asemenea audit. > Strategia lui de bază mi s-a părut a fi „seeing is believing”. Prin > urmare, nu văd de ce nu te-ar pune să-i demonstrezi că lungimea > depășește 20 de caractere introducând mai rar fraza parolă, în timp ce > el numără tastele apăsate după cum le aude, nu e nevoie să se uite, o > condiție fiind bineînțeles reușita autentificării. > > Deci părerea mea de două parale e că se cam poate... Nu contest că > poți și trișa, mai apăsând Shift, Ctrl, Alt ori un caracter greșit și > apoi Backspace. Teoretic cred că se poate și uita pentru a evita o > asemenea stratagemă, apoi tu fiind liber să-ți schimbi fraza parolă, > dacă o consideri compromisă. Dacă o face prin sondaj în rândul mai > multor utilizatori, ai pus-o, vrând-nevrând tot tre' să impui (chiar > și informal) ca utilizatorii să folosească cel puțin 20 de caractere. >
Chiar si asa, nu-l impiedica nimic pe tovarasu' utilizator sa aiba o copie fara parola a cheii pe undeva. IMHO treburile astea se rezolva cel mai convenabil prin politici de genul "utilizatorii se obliga sa aiba passphrase asa si pe dincolo pe cheie, contravenientii vor fi aspru sanctionati", cuplat cu ciulit ocazional (si evident pentru ei) urechea cand isi baga passphrase-ul ca sa vezi ca se si aplica. -- P. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
