sicurezza e gestire password

[Linkato]

Originariamente inviato da lanciafiamme
2-3-4-5-7 sono del tutto inutili
Per una ricerca bruteforce vale, essenzialmente, solo la lunghezza
https://www.grc.com/haystack.htm

Ma esiste ancora la ricerca brute-force? Ci sono sistemi online che ancora la permettono? Dopo dieci secondi sei out da me se cerchi di usarlo...

[NonCeLaFaccio+]

Uhm ... i tuoi utenti non riescono a creare le password con delle regole semplici e tu per aiutarli gliele complichi?

Sai che succederà? Succederà che nessuno potrà ricordare a mente una password astrusa di 18 caratteri che cambia ogni settimana e così tutti finiranno per scriverla da qualche parte e poi qualcuno perderà il foglietto, qualcun'altro lo ruberà per scherzo al collega o glielo sostituirà ... e addio sicurezza.

Secondo me il compito di chi fa sicurezza non è di rompere le palle agli utenti con regole pazzesche ma di ragionare su quali siano le reali esigenze di protezione, da un lato, e di utont-care, dall'altro.

Te lo dice uno che lavora in banca e che è perseguitato da queste policy aziendali astruse (ma tanto poi si trova sempre come fregarli quei b......i della sicurezza )

[mamo139]

scuate io non ho mai capito perchè esiste il bruteforce...
tutte le volte che ho dovuto implementare un login, anche il più stupido, ho sempre impostato un numero massimo di tentativi giornalieri per ip...
anche solo impostandolo a 500 al giorno (limite che un umano non raggiungerà mai) vi rende la vita impossibile a qualunque bruteforce.

[kalosjo]

Brute force a parte.

Pwd casuale inviata all'email. Al primo accesso obbligo di modifica con notifica via email dell'accesso e della modifica.

Così mette quello che vuole lui e se non è lui viene avvisato subito.......

Il resto solo rotture di balle per te e per loro

[Manuelandro]

tu ti lamenti per queste sciocchezzuole?

io oggi ho appena terminato di impaginare in InDesign una presentazione di circa 15 pagine,
tutto perfettino, tutto a modo. Mando il pdf al project manager e dopo 10 minuti mi risponde
"Me lo mandi in Word?"

..........



............


..................sto ancora decidendo come ammazzarlo e vivere felice.

[lanciafiamme]

Originariamente inviato da bootzenn
non avevamo capito puoi ripetercelo per la 3 volta

Per la terza volta: meglio una password lunga di una inutilmente complessa

[Alhazred]

Originariamente inviato da Kahm
1)non deve essere minore di 18 caratteri
2)non deve contenere nomi di cose oggetti,persone e città
3)non deve essere o contenere l'user o una sequenza di 3 caratteri dell'user
4)avere almeno due lettere maiuscola che non siano vicine
5)avere almeno 3 numeri diversi e non in posizione vicina
6)va cambiata ogni settimana altrimenti si blocca
7)non deve essere uguale ad una passowrd precedentemente inserita per almeno 6 mesi prima

Non mi registrerei mai ad un sito che mi chiede queste restrizioni per la password

[Kahm]

Originariamente inviato da Alhazred
Non mi registrerei mai ad un sito che mi chiede queste restrizioni per la password

altra riunione, altro problema

mi hanno richiesto un genera password automatico!

lo faccio....
passo per gli uffici e noto che si segnano le password su un documento di testo sul desktop

io: "ma hai fatto un casino per sta sicurezza e mo ti segni cosi le password?"
lui: "aaaAAAH si è vero, sono pigro"

che devo fare? spaccargli la testa?
comunque il capo ha accettato di togliere sta restrizione...

[lanciafiamme]

Ecco la risposta, definitiva

http://keepass.info/

[fcaldera]

io direi di lasciare il campo password con una lunghezza minima di 12 caratteri e poi nella pagina di cambio password metti un link a questa immagine