.dsy:it. - [info] Silab, tutors e password.

Pages (5): « 1 [2] 3 4 5 »
Show 150 posts per page

.dsy:it. (http://www.dsy.it/forum/)
- Didattica in generale (http://www.dsy.it/forum/forumdisplay.php?forumid=115)
-- [info] Silab, tutors e password. (http://www.dsy.it/forum/showthread.php?threadid=24737)

Posted by Konrad on 19-03-2006 15:17:

Ma quando hanno appeso quel bel foglietto con una lista di password sgamate da dove le han prese?

Posted by Jacoposki on 20-03-2006 11:09:

Originally posted by Konrad
Ma quando hanno appeso quel bel foglietto con una lista di password sgamate da dove le han prese?

ding ding ding we have a winner!

Questa è la domanda da un milione di dollari di questo thread.

__________________
Mai sottovalutare l'ampiezza di banda di una station wagon piena di nastri lanciata a tutta velocità lungo l'autostrada. - Andrew S. Tanenbaum - Reti di Calcolatori

Posted by Bravo Yankee on 20-03-2006 12:11:

Adesso, io non voglio prendere le difese di nessuno (anche perché non ce n'è ragione), ma una cosa è avere una lista delle password disabilitate per motivi di fragilità ad attacchi dizionario, una cosa è averle associate alla matricola od ai dati od al nominativo.

Su quel foglio c'erano solo le password, nessun riferimento agli utenti...quindi non capisco quale sia il problema se la sala macchine le ha date ai tutor da appendere in SILAB.

Posted by Jacoposki on 20-03-2006 18:07:

Beh, ragioniamo:

affermazione: "i tutor non possono sapere le password".

fatto: "in silab c'è appesa una lista di password disattivate perchè deboli".

conseguente domanda: "chi sa le password?"

__________________
Mai sottovalutare l'ampiezza di banda di una station wagon piena di nastri lanciata a tutta velocità lungo l'autostrada. - Andrew S. Tanenbaum - Reti di Calcolatori

Posted by Bravo Yankee on 20-03-2006 19:58:

Ti hanno detto che la sala macchina conosce l'abbinata user-password, mentre in SILAB ci sono solo le password esposte al pubblico...ergo, tutti sappiamo le password, ma non la loro accoppiata con lo user.

Non mi sembra grave come mossa per prevenire altre password deboli.

Posted by DeepBlue on 20-03-2006 20:31:

Originally posted by Jacoposki
Beh, ragioniamo:

affermazione: "i tutor non possono sapere le password".

fatto: "in silab c'è appesa una lista di password disattivate perchè deboli".

conseguente domanda: "chi sa le password?"

Non le sa nessuno.

MOLTO PROBABILMENTE (ci tengo a sottolineare che è una mia congettura, visto che posso solo immaginare come sia la struttura dei sistemi della sala macchine) le accoppiate user-password sono contenute nell'albero ldap del SiLAB, cioè dentro quel sistema che vi permette di loggarvi su linux, su windows e sui sistemi come JLI.

Le password salvate li dentro sono ovviamente in formato NON-leggibile (leggi: sono cifrate), ma è facile violarle con uno dei tanti script che ci sono in rete, specialmente se sei admin delle macchine

Il fatto che queste siano violabili NON COMPORTA che i tutor conoscano l'accoppiata user/password (visto che qualunque admin con un po' di sale in zucca non darebbe mai un livello di accesso di questo tipo ad un normale operatore - w sudo -) e non significa nemmeno che i sysadmin della sala macchine si divertano a crakkarvi le pass per leggervi la posta.

Infatti è pratica comune (e sana, aggiungerei) in alcune aziende lanciare script di questo tipo per trovare password troppo deboli (visto che le password deboli sono una falla in qualunque sistema) e costringere gli utenti a cambiarle (fra l'altro Giulio aveva già parlato di questi script nella prima pagina)

Nei domini è possibile anche impostare il livello di complessità delle password e fare in modo che queste abbiano una scadenza periodica, obbligando addirittura l'utente a cambiarla inserendo una password diversa da quella precedente...

Niente di strano quindi.
Poi se avete dubbi, scrivete a Giulio o agli altri della sala macchine, che mi sono sempre sembrati molto disponibili per queste cose.

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

Posted by joker402 on 20-03-2006 21:09:

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Silab, tutors e password.

Originally posted by giulio
Mi chiedo se ci fate o ci siete....
Ripeto: i tutor *NON* possono in alcun modo sapere le vostre
password.
Quindi accantonate pure la teoria del complotto, e non temete
per i vostri account su libero/fastweb/alice/.....

A me non interessa personalmente la faccenda. Però posso ben comprendere chi si interroga sulla gestione di un dato delicato come una password.
Se le pw non le sanno i tutor, ma poi vengono affisse pubblicamente, il risultato non cambia di molto (anzi, peggiora!).

Originally posted by Konrad
Ma quando hanno appeso quel bel foglietto con una lista di password sgamate da dove le han prese?

Originally posted by Bravo Yankee
una cosa è avere una lista delle password disabilitate per motivi di fragilità ad attacchi dizionario, una cosa è averle associate alla matricola od ai dati od al nominativo.

Mettiamo il caso che un tale si chiami ermenegildo, un giorno va in silab e trova il famoso foglio appeso in bella vista con la lista, fra cui "333ermenegildo" o simili (è ovvio che se una password è su quel foglio allora è debole e se è debole potrebbe essere benissimo un nome, come ne ho letti nel famoso foglio).
Anche se pure il Creatore fosse all'oscuro dell'associazione user-pw...è così incredibile pensare che qualcuno ci possa arrivare? è ancora così giustificabile l'affissione pubblica delle password?
che poi nonostante si sia sollevato il problema e si sia dibattuto a lungo su questo forum, sono rimaste appese mesi.

Scrivo questo non per rompere, ma perchè mi auguro non vengano più maneggiate con leggerezza le password. (e mi riferisco ancora solo al foglio, questione magari oramai risolta)

__________________
Ogni uomo mente, ma dategli una maschera e sarà sincero.
~ joker402 ~

Posted by DeepBlue on 21-03-2006 08:02:

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Silab, tutors e password.

Originally posted by joker402
A me non interessa personalmente la faccenda. Però posso ben comprendere chi si interroga sulla gestione di un dato delicato come una password.
Se le pw non le sanno i tutor, ma poi vengono affisse pubblicamente, il risultato non cambia di molto (anzi, peggiora!).

Mettiamo il caso che un tale si chiami ermenegildo, un giorno va in silab e trova il famoso foglio appeso in bella vista con la lista, fra cui "333ermenegildo" o simili (è ovvio che se una password è su quel foglio allora è debole e se è debole potrebbe essere benissimo un nome, come ne ho letti nel famoso foglio).

Se uno usa il suo nome nella password limitandosi ad aggiungere pochi caratteri in coda o in testa, scusate, ma è un PIRLA TOTALE, perché le combinazioni che partono dai nomi nomi o dalle date di nascita sono le prime che si tentano quando si cerca di violare una password.

Mesi fa ho visto che una delle password era "pipistrello": in un attacco basato su dizionario, questa password verrebbe violata in pochi minuti/ore (a seconda del sistema di autenticazione e di quanto tempo il sistema lascia l'utente "in sospeso" fra un login e l'altro).

Questa è una polemica assurda e mi stupisce che si sia generata all'interno di un dipartimento come il nostro.

IMO

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

Posted by yoruno on 21-03-2006 08:16:

Originally posted by DeepBlue
Questa è una polemica assurda e mi stupisce che si sia generata all'interno di un dipartimento come il nostro.

Pienamente d'accordo.

Tra l'altro vorrei far notare che dire

Mettiamo il caso che un tale si chiami ermenegildo, un giorno va in silab e trova il famoso foglio appeso in bella vista con la lista, fra cui "333ermenegildo" o simili (è ovvio che se una password è su quel foglio allora è debole e se è debole potrebbe essere benissimo un nome, come ne ho letti nel famoso foglio).
Anche se pure il Creatore fosse all'oscuro dell'associazione user-pw...è così incredibile pensare che qualcuno ci possa arrivare? è ancora così giustificabile l'affissione pubblica delle password?

non ha senso, dato che le password affisse sono state disattivate, ergo non vanno più, sono inutili, non servono a nulla.

Quindi non ci sono problemi di ''violazione account''.

Anzi, ottima mossa per far cambiare la password agli utOnti

__________________
"Voi che tingete i mari del colore dello zinco, che tramutate i boschi in gialli deserti, i venti in fumi di polveri da sparo e che bruciate i cieli. Voi che volete ripetere i malvagi atti della sconsiderata Lilith, che fu la prima moglie di Adamo e poi la sposa del Diavolo. Voi che volete ripetere la ribellione scatenata da Lucifero, del mondo celeste il più splendente. Voi! Ascoltate l'afflizione della sottospecie alata che vola alta nel cielo." [Angel Sanctuary]
::: mail: yoruno@dsy.it ::: ::: My Site ::: ::: Dsy Photo Gallery ::: ::: DeviantART Gallery :::

Posted by giulio on 21-03-2006 08:46:

Re: Silab, tutors e password.

Originally posted by joker402

Scrivo questo non per rompere, ma perchè mi auguro non vengano più maneggiate con leggerezza le password. (e mi riferisco ancora solo al foglio, questione magari oramai risolta)

E' proprio per questo che quel foglio è esposto e continuerà ad
essere esposto.
Lo scopo è la sensibilizzazione degli utenti sull'importanza di
una password "forte".
Spesso mi sento dire:
"Tanto non ho nulla da proteggere nel mio account, non ho
materiale riservato".
Ebbene il problema non è quanto un intruso può fare con il
vostro materiale, ma quali azioni illegali questo intruso può fare
con il vostro account.
Ci è già capitato di essere interpellati dalla polizia postale e delle
telecomunicazioni per questioni di questo tipo, ma nel momento
in cui il reato fosse particolarmente grave (ad esempio qualcosa
che ha a che fare con la pedo-pornografia), le conseguenze per il
proprietario dell'account sarebbero spiacevoli (per usare un
eufemismo), soprattutto se il proprietario è totalmente ignaro di
tutto.
E tutto per una password debole.

Originally posted by DeepBlue
Questa è una polemica assurda e mi stupisce che si sia generata all'interno di un dipartimento come il nostro.

Quoto in pieno, e mi permetto di consigliarvi una lettura:

Kevin Mitnick - L'arte dell'inganno

E' scritto (secondo la mia opinione non benissimo) da uno dei
più famosi hacker del mondo, e tratta di una tecnica chiamata
social engineering, e racconta, tra le altre cose, di alcuni
aneddoti interessanti su come carpire password o account.

Posted by Jacoposki on 21-03-2006 10:05:

grazie per le risposte, non c'era polemica da parte mia

__________________
Mai sottovalutare l'ampiezza di banda di una station wagon piena di nastri lanciata a tutta velocità lungo l'autostrada. - Andrew S. Tanenbaum - Reti di Calcolatori

Posted by joker402 on 21-03-2006 10:31:

Originally posted by DeepBlue
Se uno usa il suo nome nella password limitandosi ad aggiungere pochi caratteri in coda o in testa, scusate, ma è un PIRLA TOTALE

sono d'accordissimo, mi verrebbe anche da dire "peggio per loro", ma credo che la password sia comunque un dato personale che NON vada diffuso in questo modo. (anche uno che parcheggia sulle strisce è un pirla totale, ma la legge non mi permette di farci tutto quello che voglio a quella macchina!)

Originally posted by yoruno
Tra l'altro vorrei far notare che dire non ha senso, dato che le password affisse sono state disattivate, ergo non vanno più, sono inutili, non servono a nulla.

Quindi non ci sono problemi di ''violazione account''.

Magari le usano per la posta o altro (dato che sono pw deboli, è anche più probabile che utilizzino per tutto la stessa), e magari non sanno neanche che la loro pw è affissa perchè non passano in silab...
Continuo ad augurarmi che la pratica della pubblica gogna fatta a questo modo non venga più usata.

__________________
Ogni uomo mente, ma dategli una maschera e sarà sincero.
~ joker402 ~

Posted by giulio on 21-03-2006 11:18:

Originally posted by joker402
Magari le usano per la posta o altro (dato che sono pw deboli, è anche più probabile che utilizzino per tutto la stessa)

Forse anche questo puo' essere un vantaggio della disabilitazione,
non credi?
Se una password debole e' opportuno non utilizzarla per la posta
elettronica

Continuo ad augurarmi che la pratica della pubblica gogna fatta a questo modo non venga più usata.

La pubblica gogna? Con le password non piu' in uso e totalmente anonime?

Non credo che tu possa parlare di pubblica gogna.

Test:

State uscendo di casa, dimenticando di chiudere la porta a chiave.
Incontrate il vostro vicino sul pianerottolo, che vi dice:
"Attenzione, stai dimenticando di chiudere a chiave la porta".

La vostra risposta è:

a) Stai zitto, pirla, che se qualcuno ti sente mi ruba in casa

b) Grazie, se non me l'avessi detto mi avrebbero rubato in casa

A voi la risposta e l'analogia.

Posted by yoruno on 21-03-2006 12:02:

Originally posted by giulio
La pubblica gogna? Con le password non piu' in uso e totalmente anonime?

Non credo che tu possa parlare di pubblica gogna.

Tra l'altro potrebbe essere un ottimo spunto per scegliere password un po' più robuste di "password" :asd:

Ps.: tra l'altro l'uso della stessa passord per tutto è quanto di peggio si possa fare... se poi la password è "password"...

Posted by DarkSchneider on 21-03-2006 12:24:

E' successo anche a me di essere stato disabilitato, ma in fondo è corretto perchè ciò disincentiva l'uso di password non sicure, è una forma di protezione in fondo...
che ci costa sceglierci una password alfanumerica ... ( è anche un buon esercizio per la memoria ....)

All times are GMT. The time now is 16:58.

Pages (5): « 1 [2] 3 4 5 »
Show all 61 posts from this thread on one page