Precedente :: Successivo |
Autore |
Messaggio |
Francesco Biacca Ospite
|
Inviato: Dom 15 Apr 2007 18:20 Oggetto: standard creazione ed assegnazione password |
|
|
Salve a tutti,
magari la domanda può risultare stupida, ma vorrei alcune dritte e credo
questo sia il posto migliore dove cercarle...
L'università di Bologna utilizza, per molti versi mi verrebbe da dire
ahimè, un sistema di gestione degli esami che si chiama uniwex (tramite
google lo trovate facilmente).
Precedentemente la coppia username/password era rappresentata dal numero
di matricola e dal pin del badge che ogni studente dell'Ateneo in
questione riceve all'atto dell'immatricolazione.
Recentemente, la nuova modalità di login è l'account email di ateneo e
la relativa password.
Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire in siti che, come questo, si
espongono pesantemente a problemi relativi alla privacy? (aruba ad
esempio ha un sistema un pò strano: prima ti chiede una coppia
username/password - che non ho ancora ben capito quando si debbano usare
- poi ti assegna una loro coppia username/password che dai caratteri in
uso mi pare abbastanza random).
_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux - |
|
Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47 Messaggi: 953
|
Inviato: Lun 16 Apr 2007 06:52 Oggetto: Re: standard creazione ed assegnazione password |
|
|
Francesco Biacca ha scritto: | Salve a tutti,
Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire |
Se cerchi un generatore di password, puoi provare pwgen, makepasswd o apg.
Sta poi a te decidere se preferisci una password semi-random ma facilmente memorizzabile, o una completamente random (e che probabilmente dovrai scriverti da qualche parte, o aggiungere al gestore password di firefox). |
|
Top |
|
|
Francesco Biacca Ospite
|
Inviato: Lun 16 Apr 2007 20:00 Oggetto: standard creazione ed assegnazione password |
|
|
Davide Alberani ha scritto:
Citazione: | Francesco Biacca wrote:
Citazione: | Salve a tutti,
Volevo sapere: esiste un qualche standard di sicurezza per la
generazione delle password da seguire
|
Se cerchi un generatore di password, puoi provare pwgen, makepasswd o apg.
Sta poi a te decidere se preferisci una password semi-random ma facilmente memorizzabile, o una completamente random (e che probabilmente dovrai scriverti da qualche parte, o aggiungere al gestore password di firefox).
|
grazie della risposta, ma forse non mi sono spiegato bene.
Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".
:D
_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux - |
|
Top |
|
|
Roberto Orsini Ospite
|
Inviato: Lun 16 Apr 2007 20:32 Oggetto: standard creazione ed assegnazione password |
|
|
Francesco Biacca wrote:
Citazione: | Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".
|
Usare sempre il pin del badge non va bene?
Di solito la cosa migliore da fare e` minimizzare il numero di password
che l'utente si deve ricordare e contemporaneamente dare alle password
un'aria di "importanza", in modo da evitare sia l'effetto "post-it sul
monitor", sia quello "ti do la mia pw, tanto sei un amico" (che ho visto
che all'universita` e` molto diffuso).
Quindi, no a sequenze di caratteri random, si` a password come il numero
della carta di credito (faccio per dire) o la combinazione dello scudo
planetario (che, come tutti sanno, e` 12345, quindi forse ho cannato
esempio).
Tutto questo imho. Non sono un esperto di sicurezza. |
|
Top |
|
|
Francesco Bolzoni Ospite
|
Inviato: Lun 16 Apr 2007 20:44 Oggetto: standard creazione ed assegnazione password |
|
|
On Mon, 2007-04-16 at 21:01 +0200, Francesco Biacca wrote:
Citazione: | grazie della risposta, ma forse non mi sono spiegato bene.
Più che un generatore di password, cerco un documento, uno standard
| Forse il codice per la tutela della privacy fa al caso tuo.
Se non ricordo male, dice che le password devono essere alfanumeriche,
minimo 8 caratteri. Poi di soito si aggiunge come sicurezza in piu'
l'obbligo di infilare lettere, numeri e almeno un segno di
interpunzione.
Il tutto, minimo 8 caratteri come prevede il documento.
My two cents.
Saluti |
|
Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47 Messaggi: 953
|
Inviato: Mar 17 Apr 2007 06:35 Oggetto: standard creazione ed assegnazione password |
|
|
On Apr 16, Francesco Biacca <cbiacca@xxxxxx.xyz> wrote:
Citazione: | Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".
|
As usual: non sono un esperto.
Detto cio`, dipende dal tuo concetto di "sicuro"; se intendi "che
richieda un attacco brute force [1] per trovarla", allora l'_unica_
soluzione seria - che io sappia - e` affidarsi ad un generatore
di numeri random [2], cosa che in vario modo e misura fanno tutti
gli strumenti suggeriti.
Otterrai cosi` una password non memorizzabile (salvo a sforzarsi per
un bel po') e veramente random [3].
IMHO per quel che serve a te, e` l'approcio sbagliato; ti serve una
password abbastanza random da non poter essere trovata con un attacco
basato su dizionari, ma semplice abbastanza da poter essere ricordata.
Alcuni di quelli che ti ho suggerito - di default o meno - creano
simili password. Altrimenti, come ti hanno suggerito altri, ricicla
una che gia` usi per altri scopi e che _davvero_ conosci solo tu.
+++
[1] che richieda di testare in media meta` dell'intero insieme delle
combinazioni possibili (per una data password di lunghezza X i cui
caratteri siano scelti nell'insieme Y).
[2] ad avercelo hardware, immagino le cose migliorino. :-)
[3] che forse e` quel che intendevi tu: almeno 8 caratteri, maiuscole e
minuscole; da qualche parte trovi scritto che debba esserci almeno
una cifra ed un segno di interpunzione - secondo me questo e` un
buon modo per ridurre la forza della password e facilitare gli
attacchi [4], ma aspetto il parere di un esperto.
[4] gli dai la certezza che almeno 2 caratteri son stati scelti in un
piccolo sottoinsieme di Y, il che E` Male(tm).
_________________
Davide Alberani <alberanid@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
Top |
|
|
Nando Santagata Ospite
|
Inviato: Mar 17 Apr 2007 06:54 Oggetto: standard creazione ed assegnazione password |
|
|
On Tue, Apr 17, 2007 at 07:37:49AM +0200, Davide Alberani wrote:
Citazione: | On Apr 16, Francesco Biacca <cbiacca@xxxxxx.xyz> wrote:
Citazione: | Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".
| As usual: non sono un esperto.
Detto cio`, dipende dal tuo concetto di "sicuro"; se intendi "che
richieda un attacco brute force [1] per trovarla", allora l'_unica_
soluzione seria - che io sappia - e` affidarsi ad un generatore
di numeri random [2], cosa che in vario modo e misura fanno tutti
gli strumenti suggeriti.
Otterrai cosi` una password non memorizzabile (salvo a sforzarsi per
un bel po') e veramente random [3].
|
Il punto debole di un sistema protetto da password non e` la password (a
meno che non sia il tuo cognome o la tua data di nascita :-) , ma la
persona che lo usa.
Piu` che un informatico ci vuole uno psicologo (e a volte uno
psichiatra).
Non ha importanza quanto attentamente sia scelta una password se poi
viene scritta su un post-it e attaccata al monitor, o se il cretino la
mormora mentre la scrive con due dita (ho visto anche questo), o ancora
peggio se viene passata agli amici o letta al telefono ad un "superiore".
_________________
Rev. Nando Santagata: Telemastica & infornatica
You have reached Ritual Sacrifice. For goats, please press '1' or say 'goats'.
To sacrifice a loved one or pet, press the pound key. |
|
Top |
|
|
Ivan Sergio Borgonovo Ospite
|
Inviato: Mar 17 Apr 2007 08:32 Oggetto: standard creazione ed assegnazione password |
|
|
On Tue, 17 Apr 2007 07:37:49 +0200
Davide Alberani <da@xxxxxx.xyz> wrote:
Citazione: | [3] che forse e` quel che intendevi tu: almeno 8 caratteri,
maiuscole e minuscole; da qualche parte trovi scritto che debba
esserci almeno una cifra ed un segno di interpunzione - secondo me
questo e` un buon modo per ridurre la forza della password e
facilitare gli attacchi [4], ma aspetto il parere di un esperto.
[4] gli dai la certezza che almeno 2 caratteri son stati scelti in
un piccolo sottoinsieme di Y, il che E` Male(tm).
|
bhe "algoritmicizzare" la scelta "che non sia in un dizionario, noto
o non noto" è un po' difficile ;)
Completamente random sono anche:
ciaociao
password
12345678
;)
_________________
Ivan Sergio Borgonovo
http://www.webthatworks.it |
|
Top |
|
|
Daniele Palumbo Ospite
|
Inviato: Mar 17 Apr 2007 10:17 Oggetto: standard creazione ed assegnazione password |
|
|
On Monday 16 April 2007 21:34, Roberto Orsini wrote:
Citazione: | o la combinazione dello scudo
planetario (che, come tutti sanno, e` 12345, quindi forse ho cannato
esempio).
|
w mel brooks :D
bye
d. |
|
Top |
|
|
Francesco Biacca Ospite
|
Inviato: Mar 17 Apr 2007 18:53 Oggetto: standard creazione ed assegnazione password |
|
|
Roberto Orsini ha scritto:
Citazione: | Francesco Biacca wrote:
Citazione: | Più che un generatore di password, cerco un documento, uno standard
appunto, che mi dica quale deve essere la logica per generare delle
password "sicure".
|
Usare sempre il pin del badge non va bene?
|
ah boh, per me andava benissimo .. per chi gestisce il sistema no, visto
che hanno cambiato tutto
Citazione: |
Di solito la cosa migliore da fare e` minimizzare il numero di password
che l'utente si deve ricordare e contemporaneamente dare alle password
un'aria di "importanza", in modo da evitare sia l'effetto "post-it sul
monitor", sia quello "ti do la mia pw, tanto sei un amico" (che ho visto
che all'universita` e` molto diffuso).
|
concordo pienamente e aggiungo che ho visto questa situazione anche in
molte aziende locali
_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux - |
|
Top |
|
|
Francesco Biacca Ospite
|
Inviato: Mar 17 Apr 2007 18:55 Oggetto: standard creazione ed assegnazione password |
|
|
Francesco Bolzoni ha scritto:
Citazione: | On Mon, 2007-04-16 at 21:01 +0200, Francesco Biacca wrote:
Citazione: | grazie della risposta, ma forse non mi sono spiegato bene.
Più che un generatore di password, cerco un documento, uno standard
| Forse il codice per la tutela della privacy fa al caso tuo.
|
ti ringrazio, vedrò tramite google di capirne di più.
Citazione: | Se non ricordo male, dice che le password devono essere alfanumeriche,
minimo 8 caratteri. Poi di soito si aggiunge come sicurezza in piu'
l'obbligo di infilare lettere, numeri e almeno un segno di
interpunzione.
Il tutto, minimo 8 caratteri come prevede il documento.
|
avevo anche sentito da qualche amico sistemista che le password
dovrebbero contenere un certo numero di caratteri minuscoli, un certo
numero maiuscoli e poi dei caratteri speciali (e questo mi pare concorde
con il metodo di generazione delle password offerto da pacchetti come ad
esempio phpmyadmin).
_________________
Francesco h4mm3r` Biacca
cbiacca@xxxxxx.xyz
GNU/PG keyid: 0x9B7F0C1F
you can download my public key at:
http://www.olympuslabs.org/h4mm3r.asc
you can visit my personal blog at:
http://www.olympuslabs.org
- Powered by Debian GNU/Linux - |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|