Regole sulle Password

**SuperMariano81** · 03-11-2004, 15:50

Ciao

ragazzi del forum, ho bisogno del vostro prezioso aiuto, e di un po di chiarezza.
Ho dieci uffici che si devono collegare a delle pagine protette per visualizzare ed inserire dati sensibili.
Ogni ufficio ha la sua password, per ora decisa dal sottoscritto, ma per prevenire futuri problemi (pubblichiamo informazioni quali indirizzi, numeri telefonici e di cellulari abbastanza delicati) sto sviluppando delle pagine in ASP per la modifica di tale password.
Avrei delle delucidazioni da chiedervi, in particolare.
1) Faccio bene a decidere e distribuire io la prima password? (tanto se vogliono la camibano loro, no?)
2) Sul DB (access) la password (nuova a vecchia che sia) deve essere criptata? Ed i dati personali?
2a) Esiste una procedua che cripta i dati in maniera "sicura ed automantica"
2b) Secondo me l'admin dovrebbe conoscere le password dei suoi utenti, è corretto secondo voi oppure è un idea mia strampalata (e quando mi chiamano dicendomi che non ri ricodano la pass che faccio, visto che è criptata?)
3) La lunghezza minima sono otto caratteri, di cui 2 numeri ed una lettera maiuscola, vero?
3a) Esiste uno script già bello e impacchettato che mi faccia questo controllo.
4) La password va cambiata ogni sei mesi, almeno questo è corretto?

Ok per ora mi sembra di aver messo giù un po di dubbi, spero di non venir aggredito dai "guru" del forum ma di ricevere un po di info che non fa mai male.

PS ho dato un occhiata qui (http://www.garanteprivacy.it) ma non mi sembra chiaro al 100%

grazie mille e scusatate per la lunghezza del post.

**diegoctn** · 03-11-2004, 15:57

Per quanto mi riguarda:

1) Si, ma con l'obbligo di cambiarla al primo accesso.
2) Campo di tipo password.
3) Ti ci vuole un algoritmo, un pò difficile da fare.
4)Non devi conoscerla. Quando ti chiamano ne metti una nuova tu con l'obbligo di cambiarla.
5)Otto carattteri alfanumerici
6)Non lo so.
7)Si.

**rixx** · 03-11-2004, 15:58

ciao

allura:

1) temo di non avere capito bene cosa intendi

2)per maggiore protezione conviene sempre averla criptata
2a)l'algoritmo MD5 è uno dei migliori per quanto io sappia, però se non conosci bene asp magari ti sarà un po difficile integrarlo, ora non mi ricordo dove puoi trovare due funzioni che appunto ti cryptano con md5 ma in 1 minuto su google trovi ciò che ti serve
2b)l'admin non dovrebbe conoscere la password degli utenti se non viene scritto esplicitamente da qualche parte, si tratta di dati personali contrari credo ai termini di legge, i vari algoritmi di crypting (eccetto md5) sono reversibili
3)la lunghezza minima la decidi tu! cmq 8 caratteri lascia un buon margine di sicurezza
3a)non so suppongo di si però

4)boh se la vuoi fare cambiare ogni sei mesi... sono tutte cose che decidi tu non ne vedo l'utilità cmq

**SuperMariano81** · 03-11-2004, 16:41

Grazie almeno qualcosa di giusto avevo fatto!

Allora ho una decina di uffici che si devono collegare con utente e password univoci (così ho pure un controllo sugli accessi

)al mio sito, dove pubblico delle info abbastanza delicare (telefoni, cellulare ed indirizzi per dirne alcune).
Logicamente l'admin può accedere alle pagine per modificarle mentre gli altri no, solo alla sola visualizzazione delle info in se.
So che dovrebbe essere approvata (o già lo è) una normativa sulla privacy e sulla gestione delle password, nonchè delle regole sulla compilazione manutenzione e cambio delle stesse.
Mi sono rivolto a voi per avere delle info in più di quelle in mio possesso.

Secondo voi devo pure criptare i numeri di telefono che salvo nel DB (ditemi_di_no)
Per criptare la pwd vedo di trovare qualcosa già pronto on line, avete suggerimenti dove cercare?
In che senso rixx non vedi l'utilità di cambiare la pwd ogni 6 mesi?

**rixx** · 03-11-2004, 16:45

Originariamente inviato da SuperMariano81
Grazie almeno qualcosa di giusto avevo fatto!

Secondo voi devo pure criptare i numeri di telefono che salvo nel DB (ditemi_di_no)
Per criptare la pwd vedo di trovare qualcosa già pronto on line, avete suggerimenti dove cercare?
In che senso rixx non vedi l'utilità di cambiare la pwd ogni 6 mesi?

dunque come ti ho detto se cerchi su google trovi l'md5 ovvero una funzione con algoritmo che crypta le password nel miglior modo possibile..
Personalmente se le informazioni fossero veramente delicate le crypterei tutte quante, non solo il numero di telefono e la password, non è che devi ma se poi qualcuno ti fa casino ci rimetti un sacco di grane legali..
mentre non capisco a coa serva cambiare la password ogni sei mesi, ripeto lo puoi benissimo fare ma non ne vedo l'utilità..la password come fanno a scegliersela poi?

**SuperMariano81** · 03-11-2004, 16:50

Così sono obbligati ad avere una pwd nuova altrimenti non la faranno mai quella nuova ma useranno sempre la prima che gli viene fornita, già pronta e più comoda!
Come faranno a cambiarla? sto preparando delle paginette ad oc...

**rixx** · 03-11-2004, 16:58

se vogliono cambiarla la cambiano ma se non vogliono si tengono quella che hanno!!!!!!!!!!!!!

**diegoctn** · 03-11-2004, 17:07

Segui le regole dei server windows. Scadenza password ogni tot di giorni.

**SuperMariano81** · 03-11-2004, 17:09

Allora non la cambieranno mai :rollo: ,fidati, la lascieranno memorizzata in I.E. e se succederanno casini sarà stato tutto inutile aver criptato password e valori!
Se ogni burlone (

per non dire di peggio) che passa può accedere al mio sito cliccano su un bookmark, sul pulsantone login senza digitare nulla (già salvato in IE) e vedere info particolari, a lui non riervate sono problemi non trovi

Meglio obbligare l'utente a cambiare la pwd ogni tanto

.

Discussione: Regole sulle Password

Strumenti discussione

Ricerca discussione

Visualizza

Regole sulle Password

Permessi di invio