Re: Consiglio per corso sicurezza dipendenti

2019-10-11 Per discussione Massimo Chirivì - ICT Consultant / IT Security Expert 

https://www.youtube.com/watch?v=SxXOQASw0ro

dai uno sguardo a questo, è una mia presentazione del 2013, un pò 
datata, ma ancora interessante.


buon lavoro

On 10/10/2019 17:41, Cosimo Streppone wrote:

On Thu, Oct 10, 2019, at 12:09, Daniele Bianco wrote:

Ciao,
avrei bisogno di un consiglio: devo tenere un breve corso (1 ora) ai 
dipendenti della mia azienda per sensibilizzarli sulla sicurezza 
informatica.
L'audience è mista, c'è qualche sviluppatore ma sono la minoranza, la 
gran parte ha conoscenze informatiche ma non sono tecnici.


Un angolo un po' diverso: ti consiglio di utilizzare Kahoot
per rendere il corso piu' interessante e divertente per tutti :-)

--
 Cosimo


--
*Massimo Chirivì - ICT Consultant / IT Security Expert*
---
via Carducci 226 - 73050 Salve (LE)
www.massimochirivi.net ** email: i...@massimochirivi.net ** cell. 
+39.335.7214260
www.innovamind.net ** email: mchir...@innovamind.net ** pec: 
innovam...@pec.it

---
Member of the Board of Directors of AIPSI - ISSA Italian Chapter - 
Microsoft Certified IT Professional (MCITP)

--
The content of this message is confidential. If you have received it by 
mistake, please inform us by an email reply and then delete the message. 
It is forbidden to copy, forward, or in any way reveal the contents of 
this message to anyone. The integrity and security of this email cannot 
be guaranteed over the Internet. Therefore, the sender will not be held 
liable for any damage caused by the message

RE: Consiglio per corso sicurezza dipendenti

2019-10-11 Per discussione lorenzo.nicolodi 
Ciao!

 

per quanto riguarda la scadenza delle password (ed il conseguente rinnovo ogni 
n gioni/mesi/settimane) una fonte attendibile sull'argomento è Microsoft, che 
nel Security Baseline Draft di Windows 10 v1903 ne parla piuttosto 
approfonditamente:

 

 

 
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

 

Per quanto riguarda del materiale sull'argomento e su come esporlo ad un 
pubblico di non addetti ai lavori, mi sento di consigliarti (avendolo fatto n 
volte in aziende diverse) di far comprendere loro la responsabilità 
diretta/personale che deriva da una non corretta gestione delle credenziali. A 
livello di materiale, spesso video divertenti inerenti all'argomento (che tu ci 
creda o no, Jessica Fletcher è una risorsa decisamente interessante 
sull'argomento password) che spezzino le spiegazioni e che supportino e/o 
riguardino quello di cui stai parlando in quel momento aiutano a mantenere la 
concentrazione su di te.

 

Ultimo, ma non per importanza, ti sconsiglierei di utilizzare la classica 
vignetta di XKCD[1] in merito alle password ed alla loro complessità: dal mio 
punto di vista la via corretta per gestire le password è tramite password 
manager (tralasciando la possibilità di usare multi-factor authentication, già 
citata e che mi trova d'accordo); preferire frasi (per altro basate sulle circa 
2000 parole che nel 95% dei casi utilizziamo durante la giornata) che 
necessitano comunque che l'utente si ricordi dove ha usato quale password 
riporta inevitabilmente al riutilizzo della stessa su più servizi oppure alla 
loro gestione non corretta (es: file excel con tutte le credenziali).

 

Ciao e buona serata!

 

[1]   https://xkcd.com/936/

 

Lorenzo Nicolodi

 

email: lorenzo.nicol...@gmail.com

 

From: italian security mailing list  On Behalf Of Marsala Sala
Sent: 10 October 2019 17:12
To: ml@sikurezza.org
Subject: Re: Consiglio per corso sicurezza dipendenti

 

Si di articoli contro il cambio di password ne ho sentiti e letti pure io.

Ma io non concordo, l'errore più umano e comune è scrivere le password o 
stamparle e poi dimenticare quel biglietto. Poi se faccio pulizie butto via 
pezzi di carta e pure la mia password e uno che fa doxing che magari trova 
tutte le tue referenze piu una password ci tenta e magari è fortunato. Nelle 
discariche si trova di tutto e lo spionaggio industriale non è una cosa da film 
o un americanata. Le regole di hacking etico o non etico lo trovi ovunque. E 
rubare password è la moda del momento. Mi piace la filosofia ti do la pass e tu 
la cambi ma a lunghezza specifica e con simboli.

Fare social engineering con una banca è dura con double authentication dopo 
Mitnick. Ora con sta cosa che dall'app devi immetti utente pass e poi ti fanno 
la finta chiamata inserendo il numero lo trovo diabolico E se uno  perde il 
telefono? E lo trovo con pass salvate chiamo immetto il codice? Era meglio il 
gioco di memoria a 12 cifre.

Saluti

 

Il gio 10 ott 2019, 16:45 roberto diana mailto:roberto.di...@gmail.com> > ha scritto:

Ciao 

 

Il giorno gio 10 ott 2019 alle ore 14:31 Marsala Sala mailto:kristinaalb...@gmail.com> > ha scritto:



usare password uguali per ogni sito e di fare il logout. Puoi parlare dell MITM 
e del http e https. E perché sono importanti due chiavi di autenticazione e il 
cambio di password spesso.



 

 io sapevo che cambiare spesso la password non era una bestpratics in termini 
di sicurezza confermate ? Sto cercando un pò di risorse che avevo letto ma non 
le trovo

Re: Consiglio per corso sicurezza dipendenti

2019-10-11 Per discussione Franco Tessarollo 
Costringere gli utenti a cambiare spesso la password porta come immediata
conseguenza la proliferazione di “password deboli”, in base al principio
del minimo sforzo.
Ne parlo ampiamente qui:
https://www.pensieroprofondo.blog/2018/08/21/le-password-che-scadono/

Suggerendo anche l’utilizzo di un TOOL per verificare il grado di
complessità della password, prima di usarla.
Questo TOOL (che non invia alcuna password in rete) è liberamente
scaricabile da qui:
https://www.pensieroprofondo.blog/download/passwordmeter/

Franco Tessarollo
www.pensieroprofondo.blog


Il giorno gio 10 ott 2019 alle 16:45 roberto diana 
ha scritto:

> Ciao
>
> Il giorno gio 10 ott 2019 alle ore 14:31 Marsala Sala <
> kristinaalb...@gmail.com> ha scritto:
> 
>
>> usare password uguali per ogni sito e di fare il logout. Puoi parlare
>> dell MITM e del http e https. E perché sono importanti due chiavi di
>> autenticazione e il cambio di password spesso.
>>
> 
>
>>
>  io sapevo che cambiare spesso la password non era una bestpratics in
> termini di sicurezza confermate ? Sto cercando un pò di risorse che avevo
> letto ma non le trovo 
>
>
>

Re: Consiglio per corso sicurezza dipendenti

2019-10-11 Per discussione Damiano Bianchi 
Ricordo che tempo fa (2016) ha fatto scalpore la posizione[1] del NIST 
riguardo la pratica di fare scadere la password, nel NIST 800-63[2] 
viene di fatto eliminata la pratica di forzare il cambio della pw, che 
non è più considerata (almeno nella PA statunitense) una best practice.


Ciao,
DB


[1]: 
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/


[2]: https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret



On 10.10.19 16:35, roberto diana wrote:
 io sapevo che cambiare spesso la password non era una bestpratics in 
termini di sicurezza confermate ? Sto cercando un pò di risorse che 
avevo letto ma non le trovo

Re: Consiglio per corso sicurezza dipendenti

2019-10-11 Per discussione Sandro Fontana 
i miei 2 cent sulle password  e 2 cent su 2FA … [scusate un po’ di parte]:

https://www.linkedin.com/pulse/change-your-password-said-sandro-fontana/

https://www.linkedin.com/pulse/two-factor-authentication-coming-sandro-fontana/



Sandro Fontana,  
mobile: +39 335 8125031  skype/twitter: sinetqnlap
http://www.linkedin.com/in/sfontana

> Il giorno 10 ott 2019, alle ore 17:45, lorenzo.nicol...@gmail.com ha scritto:
> 
> Ciao!
>  
> per quanto riguarda la scadenza delle password (ed il conseguente rinnovo 
> ogni n gioni/mesi/settimane) una fonte attendibile sull'argomento è 
> Microsoft, che nel Security Baseline Draft di Windows 10 v1903 ne parla 
> piuttosto approfonditamente:
>  
> https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/
>  
> Per quanto riguarda del materiale sull'argomento e su come esporlo ad un 
> pubblico di non addetti ai lavori, mi sento di consigliarti (avendolo fatto n 
> volte in aziende diverse) di far comprendere loro la responsabilità 
> diretta/personale che deriva da una non corretta gestione delle credenziali. 
> A livello di materiale, spesso video divertenti inerenti all'argomento (che 
> tu ci creda o no, Jessica Fletcher è una risorsa decisamente interessante 
> sull'argomento password) che spezzino le spiegazioni e che supportino e/o 
> riguardino quello di cui stai parlando in quel momento aiutano a mantenere la 
> concentrazione su di te.
>  
> Ultimo, ma non per importanza, ti sconsiglierei di utilizzare la classica 
> vignetta di XKCD[1] in merito alle password ed alla loro complessità: dal mio 
> punto di vista la via corretta per gestire le password è tramite password 
> manager (tralasciando la possibilità di usare multi-factor authentication, 
> già citata e che mi trova d'accordo); preferire frasi (per altro basate sulle 
> circa 2000 parole che nel 95% dei casi utilizziamo durante la giornata) che 
> necessitano comunque che l'utente si ricordi dove ha usato quale password 
> riporta inevitabilmente al riutilizzo della stessa su più servizi oppure alla 
> loro gestione non corretta (es: file excel con tutte le credenziali).
>  
> Ciao e buona serata!
>  
> [1] https://xkcd.com/936/
>  
> Lorenzo Nicolodi
>  
> email: lorenzo.nicol...@gmail.com
>  
> From: italian security mailing list  On Behalf Of Marsala 
> Sala
> Sent: 10 October 2019 17:12
> To: ml@sikurezza.org
> Subject: Re: Consiglio per corso sicurezza dipendenti
>  
> Si di articoli contro il cambio di password ne ho sentiti e letti pure io.
> Ma io non concordo, l'errore più umano e comune è scrivere le password o 
> stamparle e poi dimenticare quel biglietto. Poi se faccio pulizie butto via 
> pezzi di carta e pure la mia password e uno che fa doxing che magari trova 
> tutte le tue referenze piu una password ci tenta e magari è fortunato. Nelle 
> discariche si trova di tutto e lo spionaggio industriale non è una cosa da 
> film o un americanata. Le regole di hacking etico o non etico lo trovi 
> ovunque. E rubare password è la moda del momento. Mi piace la filosofia ti do 
> la pass e tu la cambi ma a lunghezza specifica e con simboli.
> Fare social engineering con una banca è dura con double authentication dopo 
> Mitnick. Ora con sta cosa che dall'app devi immetti utente pass e poi ti 
> fanno la finta chiamata inserendo il numero lo trovo diabolico E se uno  
> perde il telefono? E lo trovo con pass salvate chiamo immetto il codice? Era 
> meglio il gioco di memoria a 12 cifre.
> Saluti
>  
> Il gio 10 ott 2019, 16:45 roberto diana  ha scritto:
>> Ciao 
>>  
>> Il giorno gio 10 ott 2019 alle ore 14:31 Marsala Sala 
>>  ha scritto:
>> 
>>> usare password uguali per ogni sito e di fare il logout. Puoi parlare dell 
>>> MITM e del http e https. E perché sono importanti due chiavi di 
>>> autenticazione e il cambio di password spesso.
>> 
>>  
>>  io sapevo che cambiare spesso la password non era una bestpratics in 
>> termini di sicurezza confermate ? Sto cercando un pò di risorse che avevo 
>> letto ma non le trovo  
>>  
>>  
> 
> -- 
> Questo messaggio e' stato analizzato con Libra ESVA ed e' risultato non 
> infetto. 
> Clicca qui per segnalarlo come spam. 
> Clicca qui per metterlo in blacklist
>