Salve ragazzi. Stavo pensando ad una cosa: e se nell'amministrazione creassi un sitema che ad ogni accesso cambia la password e la invia ad un indirizzo e-mail predefinito? E magari dopo n tentativi blocca l'accesso all'amministrazione?
Sarebbe utile come cosa (tralasciando l'usabilità ma basandosi solo sulla sicurezza)?
pensa se la tua banca ti cambiasse pin del bancomat ogni volta che lo usi .... certo che se non ci fidiamo piu' nemmeno delle password scelte dall' utente la vedo brutta ( al massimo consiglio di impostargliele in automatico generate in random alfanumeriche da minimo 8 o 10 caratteri ) ... devi progettare per il cavo' di un casino' o devi fare un sito ?
che poi se uno la sventola ai 4 venti la sua password, mica se la puo' prendere con te se gli rubano l' accesso ... un po' come gridare il proprio pin del bancomat, vai a dire alla banca che non e' sicura
Proprio per questo! Poichè molto spesso gli utenti non custodiscono le proprie password con cura io gliele cambio in automatico
Inoltre, da profano dell'hacking di un db, se la password dovesse venire scoperta sarebbero guai. In questo modo io rendo le cose molto più difficili visto che ogni volta l'attaccante dovrebbe ripartire da zero e non avrebbe più di tre possibilità
Ovviamente non è un sistema molto comodo però nel caso si dovesse costruire un sito più sicuro del normale... (a parte che sicuramente non lo costruirei io
La robustezza di una password non e' data tanto dalla frequenza con cui si cambia, ma da come e' costituita la password stessa.
Una volta andr3a aveva riportato una tempistica per il brute force di una pwd prodotta da MD5(). per una pwd di 8 digit alfanumerica occorrono circa 15 anni a saperlo fare come si deve.
Quindi se ad ogni 5 tentativi metti un timeout di 5 minuti gli anni necessari diventeranno 100.
Ps... Senza dimenticare che il momento delicato e' proprio quando le password vanno a spasso per la rete.....
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Ci avevo pensato però a quel punto un altro sistema lo si sarebbe trovato
Però pure quella dell'intervallo mi piace come idea!
Senza considerare ceh se io fossi tuo utente, scapperei dopo il secondo cambio password, oppure verrei a cercarti per picchiarti!!!
Sai che nervoso!
"La teoria è quando si sa tutto e niente funziona. La pratica è quando
tutto funziona e nessuno sa il perché. In questo caso, abbiamo messo
insieme la teoria e la pratica: non c'è niente che funziona... e nessuno sa
il perché!" (Albert Einstein)
Ma quello era un sistema che io avevo pensato tipo per un super admin! Mica per tutti gli utenti! E pensa se avessi avuto mio padre come utente: quello non sa nemmeno accendere il computer vuoi che capisca che il sistema gli ha cambiato la password! E chi se lo sente quando poi comincerà a dire "le macchine stanno prendendo il sopravvento", "stiamo diventando fiacchi!" e cose del genere! Poi me ne devo solo andare di casa!:master:
Allora fai conto che "tutti" siano tuo padre...[supersaibal]Originariamente inviato da mircov
Ma quello era un sistema che io avevo pensato tipo per un super admin! Mica per tutti gli utenti! E pensa se avessi avuto mio padre come utente: quello non sa nemmeno accendere il computer vuoi che capisca che il sistema gli ha cambiato la password! E chi se lo sente quando poi comincerà a dire "le macchine stanno prendendo il sopravvento", "stiamo diventando fiacchi!" e cose del genere! Poi me ne devo solo andare di casa!
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Infatti
Allora fai una cosa ....[supersaibal]Originariamente inviato da mircov
Infatti
Al supercalifragilisticespiralidoso super_ma_quanto_la_lungo_lui amministratore, dagli una lista di pin numerati da 1000 a 5000.
Poi quando si connette gli chiedi la conferma... quale numero ha il codice adb1234hgdyr453323234 ??? se risponde giusto bene, altrimenti gli cancelli il database cosi' impara.... Ovviamente quel pin una volta "consumato" si butta.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Permessi di invio
Rispondi quotando