Hardware Upgrade Forum - View Single Post - RSA Security: troppe password sono l'anello debole nella sicurezza delle aziende

Tasslehoff · 16-09-2006, 10:49

Non voglio offendere nessuno, però ragazzi vedo un po' di arroganza in parecchi post, magari non voluta però c'è...
Il problema delle password è vecchio come il mondo, questo lo sappiamo tutti, ed è un problema che si cerca sempre di focalizzare sull'utente ritenuto sempre l'anello debole della catena...
Percò come giustamente faceva notare qualcuno, sfido chiunque a ricordare 10 o 20 password per fare qualsiasi cosa...
L'utente che non riesce a ricordarsi le password in un panorama di questo tipo non è un utonto, è una persona normalissima dato che io stesso da tecnico che si occupa anche di questo non la ritengo nemmeno pensabile una cosa del genere... figuriamoci chi deve usare uno strumento hw o sw che sia, e che lo usa per quello che è senza nessun interesse o passione per quello che ci sta dietro (non per cattiveria o altro, semplicemente perchè per lui è solo uno strumento e deve restare tale, come è giusto che sia...).
Io mi trovo spesso a lavorare in una grossa realtà della PA del nord italia, provate a immaginare un'ente o società con 11000 dipendenti, ciascuno dei quali deve ricordarsi almeno le seguenti password:
- utente di dominio
- webmail
- client di posta
- intranet
- almeno 3 utenze per applicativi vari

Ragazzi, sono almeno 7 password che dovrebbero essere lunghe, alfanumeriche e dovrebbero cambiare radicalmente ogni 3 mesi, il tutto moltiplicato per 11000 persone... siamo seri... nemmeno nel migliore dei mondi possibili sarebbe realizzabile tutto questo.

Sappiamo tutti che cambiarle di frequente spesso porta a password stupide, ok, però questo fenomeno è molto influenzato da quante password un utente deve cambiare e da quanto frequentemente.

Dato che la frequenza è dettata dal legislatore, perchè non si lavora un po' sull'altro aspetto?
Non so voi in quante aziende avete provato a lavorare, però in un buon 80% di quelle in cui sono stato io negli ultimi 5 anni ogni strumento è un mondo a se, la posta, la webmail, la intranet etc etc...
Perchè non usare gli strumenti che ci sono, sono consolidati, sono utili e volendo anche relativamente semplici e non troppo costosi per limitare il numero delle password?!?!?!? Perchè non usare meccanismi come single sign-on, LDAP centralizzati e robe del genere?!?!?
In qualsiasi azienda sia stato tutti usano un dominio Active Directory o un server di posta Lotus Domino, se si pagano tanti soldi in licenze perchè non si impara ad usare gli strumenti che si hanno a disposizione? Succede poi che si spendono altri soldi per qualcosa che si aveva già ma non si sapeva di avere, chessò, un altro LDAP quando in azienda ce n'erano già due pressochè inutilizzati, la complessità aumenta e le login pure, la lira si "impenna" e il numero di password pure... eccoci tornati al punto di partenza...

16-09-2006, 10:49	#13
Tasslehoff Senior Member Iscritto dal: Nov 2001 Città: Kendermore Messaggi: 6652	Non voglio offendere nessuno, però ragazzi vedo un po' di arroganza in parecchi post, magari non voluta però c'è... Il problema delle password è vecchio come il mondo, questo lo sappiamo tutti, ed è un problema che si cerca sempre di focalizzare sull'utente ritenuto sempre l'anello debole della catena... Percò come giustamente faceva notare qualcuno, sfido chiunque a ricordare 10 o 20 password per fare qualsiasi cosa... L'utente che non riesce a ricordarsi le password in un panorama di questo tipo non è un utonto, è una persona normalissima dato che io stesso da tecnico che si occupa anche di questo non la ritengo nemmeno pensabile una cosa del genere... figuriamoci chi deve usare uno strumento hw o sw che sia, e che lo usa per quello che è senza nessun interesse o passione per quello che ci sta dietro (non per cattiveria o altro, semplicemente perchè per lui è solo uno strumento e deve restare tale, come è giusto che sia...). Io mi trovo spesso a lavorare in una grossa realtà della PA del nord italia, provate a immaginare un'ente o società con 11000 dipendenti, ciascuno dei quali deve ricordarsi almeno le seguenti password: - utente di dominio - webmail - client di posta - intranet - almeno 3 utenze per applicativi vari Ragazzi, sono almeno 7 password che dovrebbero essere lunghe, alfanumeriche e dovrebbero cambiare radicalmente ogni 3 mesi, il tutto moltiplicato per 11000 persone... siamo seri... nemmeno nel migliore dei mondi possibili sarebbe realizzabile tutto questo. Sappiamo tutti che cambiarle di frequente spesso porta a password stupide, ok, però questo fenomeno è molto influenzato da quante password un utente deve cambiare e da quanto frequentemente. Dato che la frequenza è dettata dal legislatore, perchè non si lavora un po' sull'altro aspetto? Non so voi in quante aziende avete provato a lavorare, però in un buon 80% di quelle in cui sono stato io negli ultimi 5 anni ogni strumento è un mondo a se, la posta, la webmail, la intranet etc etc... Perchè non usare gli strumenti che ci sono, sono consolidati, sono utili e volendo anche relativamente semplici e non troppo costosi per limitare il numero delle password?!?!?!? Perchè non usare meccanismi come single sign-on, LDAP centralizzati e robe del genere?!?!? In qualsiasi azienda sia stato tutti usano un dominio Active Directory o un server di posta Lotus Domino, se si pagano tanti soldi in licenze perchè non si impara ad usare gli strumenti che si hanno a disposizione? Succede poi che si spendono altri soldi per qualcosa che si aveva già ma non si sapeva di avere, chessò, un altro LDAP quando in azienda ce n'erano già due pressochè inutilizzati, la complessità aumenta e le login pure, la lira si "impenna" e il numero di password pure... eccoci tornati al punto di partenza... __________________ https://tasslehoff.burrfoot.it \| Cloud? Enough is enough! \| SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Ultima modifica di Tasslehoff : 16-09-2006 alle 10:51.