martedì 24 gennaio 2012

Password sicure

25 commenti:

  1. Chissà perché ho come una sensazione di deja-vu...

    RispondiElimina
  2. Già visto, già visto!
    Non sto a dirti quanti colleghi hanno come password " $mio_nome1 " e ad ogni rinnovo aumentano il contatore di +1
    Basta contare da quanto tempo stanno in azienda, e con due - tre tentativi la indovini.
    Hacker, come no...

    RispondiElimina
  3. Per la mia esperienza, $nome_moglie01 (uomini) e $nome_figlio01 (donne) apre almeno metà dei computer aziendali (gli altri non saranno sposati!).

    RispondiElimina
  4. L'altra idea geniale è la pwd uguale per tutti i sistemi e i servizi. Un grande classico dopo la pwd su post-it.
    ilcomizietto

    RispondiElimina
  5. Le mie colleghe, essendo da cambiare ogni 3 mesi, hanno 4 varianti:
    1- Inverno2012.
    2- Primavera2012.
    3- Estate2012.
    4- Autunno2012.

    Io uso parole latine che i primi giorni mi insulto per aver scelto....ma sono piuttosto complesse da indovinare =D

    RispondiElimina
  6. Io ai miei utonti non faccio scegliere la password, gliela dò io e usano quella e basta, sarò forse un tirranno?
    Se poi iniziano a menarla perchè sono complicate le cambio con una ancora più complicata.
    (le password sono basate su di un piccolo algoritmo casuale che mi inserisce all'interno oltre lettere e numeri anche caratteri speciali)

    RispondiElimina
    Risposte
    1. Di solito, questo è il sistema migliore perché le scrivano su un post-it attaccato al monitor.
      Con la scusa che è difficile e che non hanno potuto personalizzarla...

      Elimina
    2. Concordo in toto: qui da noi infatti usiamo il metodo "password illeggibile" per i sistemi in cui non possiamo forzare il cambio ma in cui l'utOnto può modificare la password. La frase "La password è @a8jba98haA##, cambiala tranquillamente al primo accesso" funziona sempre! :D

      Elimina
  7. Uahahahah!
    Quando sono arrivata a "Furbo eh?" sono quasi caduta dalla sedia causa grasse risate!
    Adoro 'ste vignette!

    RispondiElimina
  8. La cosa carina era la password d'amministratore del server su cui era sito del Primo Ministro polacco. Ieri hanno fatto un bel defacing a quel sito, per mostrare disaccordo con ACTA che Polonia vuole firmare il 26. Uno dei hacker ha postato sul sito polacco che tratta di sicurezza la password del amministratore. Indovinate... la password era: Admin1

    RispondiElimina
  9. @ Bitmover
    Messaggio di servizio, vediamo se riusciamo a venirne a capo.
    Sia io che te abbiamo i commenti sfalsati di -9 ore.
    Sul blog di Rabza è tutto in regola.

    Hai idee?

    RispondiElimina
  10. io uso $mio_nome" e aumento il contatore +1 ogni volta ma perchè qua sappiamo le psw dei colleghi del proprio ufficio, perchè magari abbiamo bisogno di usare il pc di un altro... tanto non ho su niente di segreto, quindi chissene! non sto lavorando per la nasa o la cia!
    anyway, la mia psw mersonale che è #CENSURA# viene classificata come media.

    RispondiElimina
  11. Nooooo, mi si è aperto un mondo. Pensavo che ytrewq fosse intelligentissima come cosa, ma Qwerty e 123465 sono troppo sicure (Si nota che sono ironico?)

    Parlando seriamente non posso fare la predica fino in fondo. Senza accorgermene le password che creo sono sempre dello stesso numero di caratteri anche se generalmente comprendono il minimo indispensabile (lettere di cui almeno una maiuscola, numeri e caratteri non standard come lettere accentate o segni di punteggiatura). almeno per servizi come poste e ebay le password è pensata meglio :-)

    RispondiElimina
  12. Da quando ho letto questa striscia di XKCD ho avuto una vera epifania sulle password...

    RispondiElimina
    Risposte
    1. Pro: Randall ha perfettamente ragione, e anche un brute force farebbe una fatica terribile a scardinare la pwd
      Contro: ormai i sistemi sono programmati ad accettare solo queste Passw0rd

      Per la cronaca, anche io sono rimasto basito quando l'ho letta.

      Elimina
  13. @valeren: guarda i miei utenti non ci provano nemmeno a mettere i post-it, perchè l'ultima volta ci stava scappando la rissa proprio per quello e si sono trovati bloccati per 15 giorni con un servizio perchè io ero in ferie e la password sul foglietto era sparita.
    E ovviamente io per telefono non ho rilasciato alcunchè

    RispondiElimina
  14. @Massimiliano
    Sei un temerario! Io ho provato una volta a rifiutarmi di dare i dati via telefono, ne è uscita una crisi che quella in medioriente la risolvevi con un braccio legato dietro la schiena (Cit. Leo Ortolani ;-p ). Basti pensare alla fine il mio capo mi ha imposto di fare lo spelling delle password a questi decelebrati.

    Ok, forse esagero (visione distorta dal periodo pieno di stress), ma siamo tutti d'accordo nel dire che gli utOnti trattano le istruzioni con le password come la carta igienica: ti serve una volta e subito, ma poi non mi importa che fine facciano.

    RispondiElimina
  15. @Valeren: il discorso è che quella pass serviva per accedere ad un applicativo particolare necessario per sottoscrivere gli abbonamenti a sky, se io non dò la password loro non fanno gli abbonamenti.
    Per dieci giorni nessun abbonamento.
    Da allora le password si scrivono su di un'agenda se occorre, e solo se questa è debitamente messa al sicuro, oppure se non sono troppo stronzo con le password (e lo sono) se le ricordano a memoria.
    Francamente sino a quando sarò io il responsabile della sicurezza li dentro, si fà come dico io su quello che amministro io, oppure mi date una deroga e fate quello che volete, ma al primo problema sò azzi loro.
    :-)

    RispondiElimina
  16. @Gama & Valeren: Immaginavo di non essere il solo in questa situazione. :)

    @Anonimo: Posso aggiungere anche [cognome]+[numero] dove in genere "numero" e' rappresentato dalle ultime due cifre dell'anno di nascita oppure da un numero crescente da 01 in avanti. :D

    @Anonimo: Io saro' anche troppo paranoico ma ho una password diversa per ogni sito, forum e blog. E sono password da piu' di dodici caratteri con lettere minuscole, maiuscole e simboli vari piu' o meno comprensibili. Tutto rigorosamente casuale. :)

    @D: Un classico, anche io ho un paio di utOnte messe uguale (ora siamo a inverno2012 o, per variare, INVERNO2012). :P

    @Massimiliano: Io purtroppo non ho facolta' di scelta delle password degli utOnti che gestisco ma sono d'accordo con Valeren che se dai una password incasinata poi rischi di ritrovarla scritta sotto le tastiere, su un post-it o dentro un cassetto.

    @Rabza: Mi fa piacere. :D

    @Loner: Ha aggiunto il numero "1" dopo "Admin"? Cavolo, uno scienziato. :P

    @Valeren: Appena ho un attimo do un'occhiata alle impostazioni del blog ma sinceramente non ne ho la piu' pallida idea. :|

    @Dani: Il problema non e' avere qualcosa di segreto, se fosse per quello nel mio computer dell'ufficio potrei usare "pippo123". Il problema e' impedire a chi non deve accedere al PC (interni all'azienda o esterni che siano) di indovinare senza grossi problemi la password perche' dopo e' il tuo account che viene visualizzato nei log se ci sono dei casini. :)

    @lufo88: Ah, eri ironico? :P

    @lukasbrunner: mi associo a chi e' rimasto basito leggendo quella striscia. O_O

    RispondiElimina
  17. Non ho ben capito il discorso sugli orari dei commenti comunque io ho impostato l'ora del fuso orario di Roma se vi può servire, se invece la mia è una boiata provvedo istantaneamente a rendermi evanescente...

    RispondiElimina
    Risposte
    1. Io nelle impostazioni ho il fuso orario corretto (Roma) ma i commenti sono comunque sfalsati come orario. Sto investigando il problema. :)

      Elimina
  18. Beh, che dire... Io sono stato OBBLIGATO ad eliminare la password di root su... Udite udite! Un server FIREWALL che, in teoria DOVREBBE proteggere l'infrastruttura IT dell'azienda... Motivo? Il loro sistemista ha una certa età e il più delle volte dimentica le cose ma, e questa è forte, il titolare per questioni di sicurezza non vuole che le password vengano scritte, quindi per evitare di dovermi chiamare ogni volta, facciamo che la password la lasciamo in bianco! Vero che è inutile dire che sono rimasto tra il basito e lo shocked, con uno sguardo perso e la mascella arrivata al suolo?

    RispondiElimina
    Risposte
    1. Un firewall senza password? O_o

      Elimina
    2. Esatto! Un po' come dire una cioccolata con la panna senza cioccolata! Ma tant'è... Quando si dice la sicurezza prima di tutto!

      Elimina
    3. Da me c'e' un utOnto che come password utilizza 12345678 e NON scherzo (dai un'occhiata a questa storia). Senza considerare poi quelli che usano nome+anno o una parola a caso dal dizionario che viene trovata in 3 nanosecondi con un qualunque programma di brute forcing. :)

      Elimina