|
|||||||
|
|
|
 |
|
|
Strumenti |
16-09-2006, 06:23
|
#1 |
|
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: http://www.hwupgrade.it/news/sicurezza/18585.html
Seconda indagine annuale portata avanti dalla societá RSA Security mette in evidenza che le troppe password sono il punto debole nella sicurezza di un'azienda. Click sul link per visualizzare la notizia. |
|
|
|
16-09-2006, 07:20
|
#2 |
|
Senior Member
Iscritto dal: Nov 2004
Città: Padova
Messaggi: 13299
|
Cambiare password di frequente è inutile, anzi controproducente: è dimostrato che l'utente medio reagisce ad una politica di questo tipo semplificando ulteriormente la password.
__________________
Samsung HT-Q100 <--- PS4 ---> Samsung UE40F5300AY <--- PS3 60gb ---> PS Vita PSN: NewMurakami |
|
|
|
|
16-09-2006, 07:36
|
#3 |
|
Member
Iscritto dal: Mar 2006
Città: Anzio
Messaggi: 217
|
Non se la password viene fornita dall'alto. Nelle aziende "serie" non è mai il dipendente a scegliere la propria password, ma viene generata automaticamente e in modo random da programmi appositi, e questo per evitare che l'utonto di turno usi come password il nome del proprio gatto!
|
|
|
|
|
16-09-2006, 07:37
|
#4 |
|
Senior Member
Iscritto dal: Feb 2005
Città: Bitonto (Bari)
Messaggi: 597
|
Quoto...Si parte con password lunghe un'infinità di caratteri, poi siccome l'utonto non se le ricorda, le accorcia, rendendo facili gli attacchi "a dizionario"....Quanti di voi hanno come password: "pippo", "sesso", ecc?
|
|
|
|
|
16-09-2006, 08:00
|
#5 | |
|
Senior Member
Iscritto dal: Jul 2003
Messaggi: 2443
|
Quote:
__________________
You know, the thing that makes a fantasy great is the possibility that it might come true. And when you lose that possibility... it just kind of sucks. |
|
|
|
|
|
16-09-2006, 08:12
|
#6 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 3363
|
ci credete se vi dico che non ho mai usato password "a dizionario" e sempre di tipo alfanumeriche e che me le ricordo tutte? O_o
__________________
1) Corsair 275r Airflow » Corsair RM650 » AMD Ryzen 7 3700x » ASUS Pro WS X570 Ace » 2x16GB DDR4 Corsair Vengeance Pro 3200 » Aorus GTX 1080Ti 11GB » Samsung 970 Evo Plus 1TB + Crucial SSD MX500 1TB » Razer Mamba Hyperflux » Mode Sonnet w/ Alpaca v2 e NK Cherry Industrial Keys » 2 x Acer Predator XB271HU 2) iPhone 15 Pro 256GB |
|
|
|
|
16-09-2006, 08:24
|
#7 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Roma
Messaggi: 1609
|
Beh, anche io le uso alfanumeriche. Ma comunque si tende a semplificare, lasciando una parte fissa ed un' altra diversa di mese in mese ( se la policy aziendale e' quella ).
Oppure si usa mettere i mesi con caratteri alfanumerici, magari cambiando solo le cifre dell' anno. Sopra qualcuno parlava di generatori. Certo, ovviamente esistono i var i "tamagotchi" ( come li chiama un mio collega ) che generano password a random. Ma e' difficile che si usino per accedere alla rete della propria azienda. E molto piu' probabile che siano necessarie per connessioni da remoto verso altre reti. E sono la base delle VPN. |
|
|
|
|
16-09-2006, 08:38
|
#8 |
|
Member
Iscritto dal: Apr 2006
Messaggi: 108
|
Fino a che non si troverà un sistema alternativo alle PW, queste restreranno sempre l'anello debole della catena, perchè passano attraverso l'utente (o se preferite, l'utonto). A parte la scelta di pw "a dizionario", resta il rischio che le scrivano da qualche parte: più sono complesse e più sono difficili da ricordare. E quando un dipendente deve ricordarne una decina, ciascuna da 12 caratteri alfanumerici da cambiare ogni tre mesi, cui si aggiungono il PIN di 2 telefonini, il codice di 3 Bancomat, il codice di apertura dei cancelli di casa ... il proprio numero di telefono e quello del cellulare la RAM è esaurita! Il nostro cervello non è un HD fatto per ricordare dati precisi in maniera digitale per cui un 1 è un 1 ed uno 0 è uno 0. Il nostro cervello è fatto per ricordare in maniera analogica, per cui uno 0 può essere anche una O e l'1 una I, sono simili! Una maiuscola ed una minuscola sono cose ben diverse per un computer, due facce della stessa medaglia per il nostro cervello!
Non resta che passare alle impronte digitali ed alla scansione della retina, magari abbinate ad un generatore di PW che le cambia in continuazione in sincro col server... |
|
|
|
|
16-09-2006, 09:13
|
#9 |
|
Senior Member
Iscritto dal: Jan 2002
Città: Trieste
Messaggi: 1644
|
beh, ormai esistono anche le smart card. Lì anche se non si cambia pin non è un problema, finchè non si smarrisce la card. Purtroppo i sistemi di autenticazione a smart card sono ancora poco usati, ma mi risulta siano pienamente funzionali e non abbiano problemi di sorta, almeno per un login 'fisico' (per quello remoto non so)
|
|
|
|
|
16-09-2006, 09:28
|
#10 | |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
Quote:
Per il login da remoto è chiaro che debba essere approntata qualche struttura ad hoc (software + hardware sui PC remoti) per instaurare una connessione sicura, magari con una chiave privata residente sulla smart card (la chiave pubblica già presente sul server)... Per risolvere i problemi dello smarrimento e della duplicazione basterebbe far scadere la password ogni giorno...ed il personale (ovviamente solo quello che svolge lavoro in locale) dovrebbe riprogrammare la smart card ad ogni ingresso al lavoro (già in molte aziende il personale ha una carta per la registrazione di ingresso e uscita), magari in abbinamento alla scansione dell'impronta digitale... |
|
|
|
|
|
16-09-2006, 09:59
|
#11 |
|
Senior Member
Iscritto dal: Oct 2002
Messaggi: 3922
|
Quoto Chester. In media gli utenti che possono scegliere la password ne scelgono una semplice da ricordare, o magari la stessa che usano per la posta o altri ambiti, in modo da dover ricordare una sola password. Quando invece la password viene impostata automaticamente, l'unico modod che l'utonto trova per ricordare quella stringa di caratteri senza senso è scriverla un po' ovunque...
Una soluzione potrebbero essere gli scanner biometrici per le impronte digitali, magari in abbinamento a token fisici. Se date all'utonto una password, non si curerà minimamente di proteggerla. Se date all'utonto un oggetto fisico che funziona da chiave, probabilmente lo terrà sempre al sicuro, come è abituato a fare per le chiavi di casa, dell'auto, ecc... |
|
|
|
|
16-09-2006, 10:35
|
#12 |
|
Senior Member
Iscritto dal: May 2004
Messaggi: 1136
|
Ma l'introduzione di sistemi biometrici al posto delle password, non è come se ne utilizzasse solo una dall'e-mail all'ufficio al fantacalcio, anche se complessa?
Inoltre nei sistemi biometrici, una volta che la chiave è stata scoperta, risulta difficile cambirla (come cambiare impronta digitale?). |
|
|
|
|
16-09-2006, 10:49
|
#13 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6648
|
Non voglio offendere nessuno, però ragazzi vedo un po' di arroganza in parecchi post, magari non voluta però c'è...
Il problema delle password è vecchio come il mondo, questo lo sappiamo tutti, ed è un problema che si cerca sempre di focalizzare sull'utente ritenuto sempre l'anello debole della catena... Percò come giustamente faceva notare qualcuno, sfido chiunque a ricordare 10 o 20 password per fare qualsiasi cosa... L'utente che non riesce a ricordarsi le password in un panorama di questo tipo non è un utonto, è una persona normalissima dato che io stesso da tecnico che si occupa anche di questo non la ritengo nemmeno pensabile una cosa del genere... figuriamoci chi deve usare uno strumento hw o sw che sia, e che lo usa per quello che è senza nessun interesse o passione per quello che ci sta dietro (non per cattiveria o altro, semplicemente perchè per lui è solo uno strumento e deve restare tale, come è giusto che sia...). Io mi trovo spesso a lavorare in una grossa realtà della PA del nord italia, provate a immaginare un'ente o società con 11000 dipendenti, ciascuno dei quali deve ricordarsi almeno le seguenti password: - utente di dominio - webmail - client di posta - intranet - almeno 3 utenze per applicativi vari Ragazzi, sono almeno 7 password che dovrebbero essere lunghe, alfanumeriche e dovrebbero cambiare radicalmente ogni 3 mesi, il tutto moltiplicato per 11000 persone... siamo seri... nemmeno nel migliore dei mondi possibili sarebbe realizzabile tutto questo. Sappiamo tutti che cambiarle di frequente spesso porta a password stupide, ok, però questo fenomeno è molto influenzato da quante password un utente deve cambiare e da quanto frequentemente. Dato che la frequenza è dettata dal legislatore, perchè non si lavora un po' sull'altro aspetto? Non so voi in quante aziende avete provato a lavorare, però in un buon 80% di quelle in cui sono stato io negli ultimi 5 anni ogni strumento è un mondo a se, la posta, la webmail, la intranet etc etc... Perchè non usare gli strumenti che ci sono, sono consolidati, sono utili e volendo anche relativamente semplici e non troppo costosi per limitare il numero delle password?!?!?!? Perchè non usare meccanismi come single sign-on, LDAP centralizzati e robe del genere?!?!? In qualsiasi azienda sia stato tutti usano un dominio Active Directory o un server di posta Lotus Domino, se si pagano tanti soldi in licenze perchè non si impara ad usare gli strumenti che si hanno a disposizione? Succede poi che si spendono altri soldi per qualcosa che si aveva già ma non si sapeva di avere, chessò, un altro LDAP quando in azienda ce n'erano già due pressochè inutilizzati, la complessità aumenta e le login pure, la lira si "impenna" e il numero di password pure... eccoci tornati al punto di partenza... 
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Ultima modifica di Tasslehoff : 16-09-2006 alle 10:51. |
|
|
|
|
16-09-2006, 11:00
|
#14 |
|
Member
Iscritto dal: Nov 2005
Messaggi: 57
|
...
Concondo pienamente con Tasslehoff.
In più vi cito il caso dell'ultima azienda per cui ho lavorato. Non solo non usano (anche avendoli a disposizione) sistemi di gestione centralizzata delle password (in breve single sign-on) per gli applicativi di terzi ma addirittura i software da LORO sviluppati (gestione risorse umane, e i moduli sono _TANTI_) non sanno nemmeno cosa sia: - una gestione centralizzata degli accessi per i vari moduli installati e autorizzati al singolo utente - un master data per le informazioni comuni a tutti i moduli - ... il resto ve lo risparmio per carità di patria e non si parla di un'aziendina piccola ! |
|
|
|
|
16-09-2006, 11:38
|
#15 |
|
Senior Member
Iscritto dal: Mar 2005
Città: frankfurt am main
Messaggi: 942
|
in ogni contesto di sicurezza, la robustezza del sistema e' uguale a quella dell'anello piu' debole che, guarda a caso, e' spesso l'utente
|
|
|
|
|
16-09-2006, 12:46
|
#16 | |
|
Senior Member
Iscritto dal: Jul 2002
Città: Reggio Calabria -> London
Messaggi: 12093
|
Quote:
nelle aziende serie anzikè assegnare la password dall'alto rendendola praticamente impossibile all'utente da ricordare, la fanno scegliere a lui ma mettendo dei vincoli molto restrittivi. Innanzitutto deve avere una lunghezza minima di 10 caratteri (ma dipende da azienda ad azienda), inoltre deve contenere caratteri alfabetici E numerici E simboli. Infine in certe situazioni non può contenere il proprio nome o cognome. In questo modo l'utente è praticamente costretto a scegliere una password sicura che, si spera, riesca a ricordare abbastanza facilmente.
__________________
|
|
|
|
|
|
16-09-2006, 12:49
|
#17 | |
|
Senior Member
Iscritto dal: Jul 2002
Città: Reggio Calabria -> London
Messaggi: 12093
|
Quote:
 anke se non per tutti i login....
__________________
|
|
|
|
|
|
16-09-2006, 13:25
|
#18 |
|
Senior Member
Iscritto dal: Feb 2006
Città: AQ
Messaggi: 2787
|
ma solo io sono dell'opinione che si potrebbe risolvere il tutto tramite sistemi incrociati di sicurezza?
smartcard+password, sistemi biometrici + password, o addirittura smart card, sistemi biometrici e password insieme? In questo modo si andrebbe incontro alle esigenze dell'utente: la smart gestisce l'accesso alle diverse utenze su programmi e database diversi, e la password serve a prevenire il fatto che ci possa essere una perdita della card. Se la password viene scoperta senza smart non si può fare nulla e viceversa: l'utente dovrebbe ricordare una sola password (e a questo punto può essere davvero complicata) e questa verrebbe incrociata con ciò che è contenuto nella card... Oppure la mia è una soluzione senza senso? mi piacerebbe sapere quali sono eventuali controindicazioni, visto che personalmente non ne vedo
|
|
|
|
|
16-09-2006, 13:44
|
#19 |
|
Senior Member
Iscritto dal: Oct 2003
Messaggi: 574
|
X casacup
Ho appena fatto l'esame di elementi di sicurezza e viene indicato come il + sicuro il sistema misto (riconoscimento biometrico sul token (la smart-card ad es.) e poi il token x il resto), anche se non sempre è economicamente conveniente farlo.......
|
|
|
|
|
16-09-2006, 14:11
|
#20 | |
|
Senior Member
Iscritto dal: Feb 2006
Città: AQ
Messaggi: 2787
|
Quote:
 vabbè, a parte gli scherzi, un lettore di smart card non credo sia così dispendioso (parliamo di aziende di dimensione almeno media cmq...), sicuramente costa meno di uno scanner di retina o di impronte. Il problema di fondo è per l'accesso in remoto: di certo non si può fornire ogni dipendete di un lettore di smartcard/retina/impronte digitali, sarebbe sicuramente dispendioso, senza contare la necessità di avere cmq un software dedicato sul pc di casa. E quindi quale potrebbe essere la soluzione? Un accesso con privilegi limitati dall'esterno grazie alla sola password potrebbe aiutare, ma credo sia un semplice palliativo... Forse si potrebbero usare una doppia password, delle quale una è propria dell'utente, l'altra invece è generata da un dispositivo (mostravano una cosa simile in una pubblicità di una banca, non ricordo quale) che le genera secondo un algoritmo presente nel server con validità temporale limitata (tipo 30 secondi, o cose del genere). anzi, a ben pensarci questo sistema potrebbe essere utilizzato anche per la sicurezza locale, però sarebbe sicuramente più rischioso, poichè se uno di questi aggeggini venisse perso costringerebbe a cambiare la chiave interna dell'algoritmo, oltre alla possibilità che l'algoritmo stessa possa uscire fuori. certo, una chiave a 1024 bit risolverebbe il problema o sto di nuovo dicendo un mare di cazzate?
__________________
Acer 3820TG Codice:
Ho venduto a: 23answer23, clamasa, salsero71, nik4, lollo_79, Star, krystis, tari80, BananaFlanders, froZZen, Perfavore83, Holy_knight; Ho comprato da: kikki2, ThE cX MaN, PantWeb, robby85, aldarev, markese, Drago, NLDoMy, Hells, Dragonx21, axlaxl, Homer314, e tanti tanti altri :) |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:49.
