Il giorno 04/mag/08, alle ore 13:49, Claudio ha scritto:
Mi riallaccio alla comparsa dei terrificanti post-it con le
password. A
mio avviso il problema sta nella proliferazione delle password e non
nel
fatto che le credenziali abbiano una scadenza.
Per risolvere il problema dei post-it (o simili) occorre spingere
verso il
single sign-no; in questo modo, avendo una sola password, il buon
"utente
medio" non sente alcun bisogno di segnarsela - anche se viene
costretto a
cambiarla ogni 30 o 60 giorni.
Del resto è in-scientificamente dimostrato che lo stesso "utente
medio"
non usa mai password decenti (dal punto di vista della qualità),
quindi
non è difficile attaccarle a forza bruta. Del resto, se viene
imposto un
password quality particolarmente complesso (tipo: almeno 8
caratteri, di
cui due maiuscole, tre numeri, due punteggiature, massimo 2
caratteri in
comune con le 32 password precedenti etc.) è scontato che l'utente,
dopo 2
ore di improperi, trova una password e la segna sul solito post-it
altrimenti la scorda entro la nottata.
Personalmente ho avuto modo di vedere che gli utenti accettano (a) una
politica di qualità delle password un po' più rigida e (b) la
necessità di
cambiare la credenziale ogni X giorni qualora (c) non gli venga
richiesto
di averne una dozzina, di password! c ==> a+b , ovvero: il single
sign-on
fa felici utenti e amministratori ;-) forse un po' meno i
security-specialist. Ma per questo esiste il SSO con autenticazione
forte,
anche se quasi ovunque è ancora fantascienza. :(
Riguardo la questione dei post-it che la gente usa per segnarsi una o
più passwords e il conseguente dibattito security-related, mi sembra
interessante ricordare quanto sostiene Bruce Schneier: http://www.theregister.co.uk/2005/07/19/password_schneier/
Sintetizzando, è meglio che un utente scelga una password complessa e
difficile da ricordare e poi se la metta nel portafoglio in mezzo al
resto, piuttosto che scegliere una password più semplice e
memorizzabile ma passibile di attacchi brute force o a dizionario.
Aggiungere qualche semplice metodo di offuscamento migliora poi il
tutto.
E' una questione vecchia ma che ritorna ciclicamente alla ribalta e
solleva costantemente accese discussioni.
Saluti,
Alberto Trivero
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
