Indice del forum Emilia Romagna Linux Users Group
i forum di ERLUG
torna alla home page di ERLUG
 
 Forum SubscriptionsForum Subscriptions   FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

standard creazione ed assegnazione password

 
Nuovo argomento   Rispondi    Indice del forum -> ERLUG
Precedente :: Successivo  
Autore Messaggio
Francesco Biacca
Ospite





MessaggioInviato: Dom 15 Apr 2007 18:20    Oggetto: standard creazione ed assegnazione password Rispondi citando

Salve a tutti,
magari la domanda può risultare stupida, ma vorrei alcune dritte e credo
questo sia il posto migliore dove cercarle...

L'università di Bologna utilizza, per molti versi mi verrebbe da dire
ahimè, un sistema di gestione degli esami che si chiama uniwex (tramite
google lo trovate facilmente).

Precedentemente la coppia username/password era rappresentata dal numero
di matricola e dal pin del badge che ogni studente dell'Ateneo in
questione riceve all'atto dell'immatricolazione.

Recentemente, la nuova modalità di login è l'account email di ateneo e
la relativa password.

Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire in siti che, come questo, si
espongono pesantemente a problemi relativi alla privacy? (aruba ad
esempio ha un sistema un pò strano: prima ti chiede una coppia
username/password - che non ho ancora ben capito quando si debbano usare
- poi ti assegna una loro coppia username/password che dai caratteri in
uso mi pare abbastanza random).

_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux -
Top
Davide Alberani



Registrato: 04/04/07 08:47
Messaggi: 953

MessaggioInviato: Lun 16 Apr 2007 06:52    Oggetto: Re: standard creazione ed assegnazione password Rispondi citando

Francesco Biacca ha scritto:
Salve a tutti,
Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire


Se cerchi un generatore di password, puoi provare pwgen, makepasswd o apg.
Sta poi a te decidere se preferisci una password semi-random ma facilmente memorizzabile, o una completamente random (e che probabilmente dovrai scriverti da qualche parte, o aggiungere al gestore password di firefox).
Top
Profilo Invia messaggio privato HomePage
Francesco Biacca
Ospite





MessaggioInviato: Lun 16 Apr 2007 20:00    Oggetto: standard creazione ed assegnazione password Rispondi citando

Davide Alberani ha scritto:
Citazione:
Francesco Biacca wrote:
Citazione:
Salve a tutti,
Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire


Se cerchi un generatore di password, puoi provare pwgen, makepasswd o apg.
Sta poi a te decidere se preferisci una password semi-random ma facilmente memorizzabile, o una completamente random (e che probabilmente dovrai scriverti da qualche parte, o aggiungere al gestore password di firefox).


grazie della risposta, ma forse non mi sono spiegato bene.
Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".

:D

_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux -
Top
Roberto Orsini
Ospite





MessaggioInviato: Lun 16 Apr 2007 20:32    Oggetto: standard creazione ed assegnazione password Rispondi citando

Francesco Biacca wrote:

Citazione:
Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".

Usare sempre il pin del badge non va bene?

Di solito la cosa migliore da fare e` minimizzare il numero di password
che l'utente si deve ricordare e contemporaneamente dare alle password
un'aria di "importanza", in modo da evitare sia l'effetto "post-it sul
monitor", sia quello "ti do la mia pw, tanto sei un amico" (che ho visto
che all'universita` e` molto diffuso).
Quindi, no a sequenze di caratteri random, si` a password come il numero
della carta di credito (faccio per dire) o la combinazione dello scudo
planetario (che, come tutti sanno, e` 12345, quindi forse ho cannato
esempio).

Tutto questo imho. Non sono un esperto di sicurezza.
Top
Francesco Bolzoni
Ospite





MessaggioInviato: Lun 16 Apr 2007 20:44    Oggetto: standard creazione ed assegnazione password Rispondi citando

On Mon, 2007-04-16 at 21:01 +0200, Francesco Biacca wrote:
Citazione:
grazie della risposta, ma forse non mi sono spiegato bene.
Più che un generatore di password, cerco un documento, uno standard
Forse il codice per la tutela della privacy fa al caso tuo.
Se non ricordo male, dice che le password devono essere alfanumeriche,
minimo 8 caratteri. Poi di soito si aggiunge come sicurezza in piu'
l'obbligo di infilare lettere, numeri e almeno un segno di
interpunzione.
Il tutto, minimo 8 caratteri come prevede il documento.

My two cents.

Saluti
Top
Davide Alberani



Registrato: 04/04/07 08:47
Messaggi: 953

MessaggioInviato: Mar 17 Apr 2007 06:35    Oggetto: standard creazione ed assegnazione password Rispondi citando

On Apr 16, Francesco Biacca <cbiacca@xxxxxx.xyz> wrote:

Citazione:
Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".

As usual: non sono un esperto.
Detto cio`, dipende dal tuo concetto di "sicuro"; se intendi "che
richieda un attacco brute force [1] per trovarla", allora l'_unica_
soluzione seria - che io sappia - e` affidarsi ad un generatore
di numeri random [2], cosa che in vario modo e misura fanno tutti
gli strumenti suggeriti.
Otterrai cosi` una password non memorizzabile (salvo a sforzarsi per
un bel po') e veramente random [3].

IMHO per quel che serve a te, e` l'approcio sbagliato; ti serve una
password abbastanza random da non poter essere trovata con un attacco
basato su dizionari, ma semplice abbastanza da poter essere ricordata.
Alcuni di quelli che ti ho suggerito - di default o meno - creano
simili password. Altrimenti, come ti hanno suggerito altri, ricicla
una che gia` usi per altri scopi e che _davvero_ conosci solo tu.


+++
[1] che richieda di testare in media meta` dell'intero insieme delle
combinazioni possibili (per una data password di lunghezza X i cui
caratteri siano scelti nell'insieme Y).
[2] ad avercelo hardware, immagino le cose migliorino. :-)
[3] che forse e` quel che intendevi tu: almeno 8 caratteri, maiuscole e
minuscole; da qualche parte trovi scritto che debba esserci almeno
una cifra ed un segno di interpunzione - secondo me questo e` un
buon modo per ridurre la forza della password e facilitare gli
attacchi [4], ma aspetto il parere di un esperto.
[4] gli dai la certezza che almeno 2 caratteri son stati scelti in un
piccolo sottoinsieme di Y, il che E` Male(tm).
_________________
Davide Alberani <alberanid@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/
Top
Profilo Invia messaggio privato HomePage
Nando Santagata
Ospite





MessaggioInviato: Mar 17 Apr 2007 06:54    Oggetto: standard creazione ed assegnazione password Rispondi citando

On Tue, Apr 17, 2007 at 07:37:49AM +0200, Davide Alberani wrote:
Citazione:
On Apr 16, Francesco Biacca <cbiacca@xxxxxx.xyz> wrote:
Citazione:
Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".
As usual: non sono un esperto.
Detto cio`, dipende dal tuo concetto di "sicuro"; se intendi "che
richieda un attacco brute force [1] per trovarla", allora l'_unica_
soluzione seria - che io sappia - e` affidarsi ad un generatore
di numeri random [2], cosa che in vario modo e misura fanno tutti
gli strumenti suggeriti.
Otterrai cosi` una password non memorizzabile (salvo a sforzarsi per
un bel po') e veramente random [3].

Il punto debole di un sistema protetto da password non e` la password (a
meno che non sia il tuo cognome o la tua data di nascita :-) , ma la
persona che lo usa.

Piu` che un informatico ci vuole uno psicologo (e a volte uno
psichiatra).
Non ha importanza quanto attentamente sia scelta una password se poi
viene scritta su un post-it e attaccata al monitor, o se il cretino la
mormora mentre la scrive con due dita (ho visto anche questo), o ancora
peggio se viene passata agli amici o letta al telefono ad un "superiore".

_________________
Rev. Nando Santagata: Telemastica & infornatica
You have reached Ritual Sacrifice. For goats, please press '1' or say 'goats'.
To sacrifice a loved one or pet, press the pound key.
Top
Ivan Sergio Borgonovo
Ospite





MessaggioInviato: Mar 17 Apr 2007 08:32    Oggetto: standard creazione ed assegnazione password Rispondi citando

On Tue, 17 Apr 2007 07:37:49 +0200
Davide Alberani <da@xxxxxx.xyz> wrote:

Citazione:
[3] che forse e` quel che intendevi tu: almeno 8 caratteri,
maiuscole e minuscole; da qualche parte trovi scritto che debba
esserci almeno una cifra ed un segno di interpunzione - secondo me
questo e` un buon modo per ridurre la forza della password e
facilitare gli attacchi [4], ma aspetto il parere di un esperto.
[4] gli dai la certezza che almeno 2 caratteri son stati scelti in
un piccolo sottoinsieme di Y, il che E` Male(tm).

bhe "algoritmicizzare" la scelta "che non sia in un dizionario, noto
o non noto" è un po' difficile ;)
Completamente random sono anche:
ciaociao
password
12345678
;)

_________________
Ivan Sergio Borgonovo
http://www.webthatworks.it
Top
Daniele Palumbo
Ospite





MessaggioInviato: Mar 17 Apr 2007 10:17    Oggetto: standard creazione ed assegnazione password Rispondi citando

On Monday 16 April 2007 21:34, Roberto Orsini wrote:
Citazione:
o la combinazione dello scudo
planetario (che, come tutti sanno, e` 12345, quindi forse ho cannato
esempio).

w mel brooks :D

bye
d.
Top
Francesco Biacca
Ospite





MessaggioInviato: Mar 17 Apr 2007 18:53    Oggetto: standard creazione ed assegnazione password Rispondi citando

Roberto Orsini ha scritto:
Citazione:
Francesco Biacca wrote:

Citazione:
Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".

Usare sempre il pin del badge non va bene?

ah boh, per me andava benissimo .. per chi gestisce il sistema no, visto
che hanno cambiato tutto

Citazione:

Di solito la cosa migliore da fare e` minimizzare il numero di password
che l'utente si deve ricordare e contemporaneamente dare alle password
un'aria di "importanza", in modo da evitare sia l'effetto "post-it sul
monitor", sia quello "ti do la mia pw, tanto sei un amico" (che ho visto
che all'universita` e` molto diffuso).

concordo pienamente e aggiungo che ho visto questa situazione anche in
molte aziende locali



_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux -
Top
Francesco Biacca
Ospite





MessaggioInviato: Mar 17 Apr 2007 18:55    Oggetto: standard creazione ed assegnazione password Rispondi citando

Francesco Bolzoni ha scritto:
Citazione:
On Mon, 2007-04-16 at 21:01 +0200, Francesco Biacca wrote:
Citazione:
grazie della risposta, ma forse non mi sono spiegato bene.
Più che un generatore di password, cerco un documento, uno standard
Forse il codice per la tutela della privacy fa al caso tuo.

ti ringrazio, vedrò tramite google di capirne di più.

Citazione:
Se non ricordo male, dice che le password devono essere alfanumeriche,
minimo 8 caratteri. Poi di soito si aggiunge come sicurezza in piu'
l'obbligo di infilare lettere, numeri e almeno un segno di
interpunzione.
Il tutto, minimo 8 caratteri come prevede il documento.

avevo anche sentito da qualche amico sistemista che le password
dovrebbero contenere un certo numero di caratteri minuscoli, un certo
numero maiuscoli e poi dei caratteri speciali (e questo mi pare concorde
con il metodo di generazione delle password offerto da pacchetti come ad
esempio phpmyadmin).



Citazione:

My two cents.

Saluti




------------------------------------------------------------------------

_______________________________________________
Erlug mailing list
Erlug@xxxxxx.xyz
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://www.linuxfacile.org
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da SincreTech S.r.l.
-----------------------------------------------------------


_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux -
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ERLUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it

torna alla home page di ERLUG
Per informazioni o problemi, contattare info@erlug.linux.it.
La connettività per questo sito e per gli altri nostri servizi è offerta da Ehiweb.it