.dsy:it. - [SILAB] Controllo password...

.dsy:it. (http://www.dsy.it/forum/)
- Forum De Bell Tolls (http://www.dsy.it/forum/forumdisplay.php?forumid=7)
-- [SILAB] Controllo password... (http://www.dsy.it/forum/showthread.php?threadid=5589)

Posted by nous on 10-09-2003 14:41:

[SILAB] Controllo password...

...ma potevano farlo?
Mi spiego meglio : ho visto appeso al gabbiotto un avviso che dice che hanno testato il file delle password di Linux e ne hanno trovato a centinaia.Bene,la mia non c'è di sicuro essendo una permutazione random di caratteri alfanumerici e numerici di lunghezza n.Ma potevano fare il test?Io una volta ho dovuto farlo sul lavoro,e ho dovuto far firmare una tonnellata di carte varie e (se non ricordo male) avvisare tutti che in seguito al controllo era consigliabile cambiare la password.
Qua han fatto tranquillamente...nessun problema per l'amor del cielo,solo curiosità.

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by 0m4r on 10-09-2003 15:12:

io quegli avvisi non li ho mai visti.
cmq piacerebbe sapere anche a me se sta cosa è "legale", nessun problema nemmeno da parte mai, tanto il in silab navigo e basta, nn ci archivio i segreti di stato ;P

__________________
http://www.twitter.com/0m4r

Posted by Mino on 10-09-2003 15:13:

non è la prima volta che qualcuno fa ciò in silab :asd:

e non ha molto senso neppure "la mia non c'è di sicuro essendo una permutazione random di caratteri alfanumerici e numerici di lunghezza n" tranquillo

__________________
icq: 57553717 - mail: mino@ngi.it - web: www.minux.it - Fattori Arcani

Posted by korn on 10-09-2003 15:17:

io non mi preoccuperei, tuttavia se trovo qualcosa di sbagliato nel mio account vado a beccare quello che ha fatto il controllo e gli dico due paroline :twisted:

__________________
» Collect some stars to shine for you, and start today ‘cause there are only a few. _ (In Flames)
» Don't stop for nothing, it's full speed or nothing! I'm taking down, you know, whatever is in my way! _ ('tallica)
» I am my own god, I do as I please. _ (Pain)
» Ninetynine, ninetynine knives! Ninetynine knives inside! Nobody gets out alive! _ (The Haunted)
Web: http://www.negativesignal.com - ICQ# 171585477 - Death to software patents! And TCPA too! "e uno!", diceva il boia.

Posted by URANIO on 10-09-2003 22:18:

Be non mi sembra una tragedia ...è già successo ed è bene che lo facciano!
Tanto se la tua è sicura non la sanno di certo, e se non lo era il tuo account è stato disabilitato

__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®

Posted by nous on 11-09-2003 07:29:

Originally posted by URANIO
Be non mi sembra una tragedia ...è già successo ed è bene che lo facciano!
Tanto se la tua è sicura non la sanno di certo, e se non lo era il tuo account è stato disabilitato

Ok ma la domanda non è se è una tragedia o no (oddio,i miei appunti di economia!!) bensì se si può o meno.

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by URANIO on 11-09-2003 08:57:

Re: [SILAB] Controllo password...

Originally posted by nous
Io una volta ho dovuto farlo sul lavoro,e ho dovuto far firmare una tonnellata di carte varie e (se non ricordo male) avvisare tutti che in seguito al controllo era consigliabile cambiare la password.

..perchè era consigliabile cambiare password?

__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®

Posted by nous on 11-09-2003 09:04:

Perchè dopo il controllo si presuppone che io avendole viste le sapessi.Inoltre con me c'era anche il mio capo,ergo 2 persone erano già a conoscenza delle password.E nel caso di una multinazionale non è bello che si sappiano password di presidenti e simili.Sarà stato eccesso di zelo da parte mia,ma meglio eccedere oggi che piangerci sopra dopodomani.

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by lord2y on 11-09-2003 09:44:

Per quel che ne so fanno girare il jhon the ripper sul passwd ogni 6 mesi e mettono in black list gli utenti con password debole....Che abbiano l'autorità di farlo o meno: credo di si visto che ti avvisano nel libretto che ti danno all'iscrizione

__________________
Linux User#271051
Only God can judge me, is that right?
Only God can judge me now
Only God baby, nobody else. All you other motherfuckers get out my business (2Pac)

Posted by URANIO on 11-09-2003 11:44:

Originally posted by nous
Perchè dopo il controllo si presuppone che io avendole viste le sapessi.Inoltre con me c'era anche il mio capo,ergo 2 persone erano già a conoscenza delle password.E nel caso di una multinazionale non è bello che si sappiano password di presidenti e simili.Sarà stato eccesso di zelo da parte mia,ma meglio eccedere oggi che piangerci sopra dopodomani.

...potevate fare uno scriptino che controlla e se le trova disabilita l'account automaticamente senza visione di essere umano!

__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®

Posted by nous on 11-09-2003 11:57:

Si,e poi la riabilitazione la si faceva a mano...considerando la dimensione dell'azienda,il numero di password scoperte ci voleva un sacco di tempo.E se disabilito l'utente che si occupa di gestione ordini , e il sistemista non è in azienda (quindi non può riabilitare l'utente) l'azienda che fa,fallisce?

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by fozzy on 11-09-2003 12:20:

in silab che io sappia é cosí...
come nella maggior parte dei posti... la password in chiaro NON deve essere visibile...
Se é visibile licenziate il responsabile dei sistemi..

__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.

NT is the path to the Dark Side....

Posted by Virgo on 11-09-2003 22:14:

Non penso si possa fare tranne appunto che non sia esplicitamente indicato. Questo anche perche' dalla password e' possibile in alcuni casi capire le abitudini sessuali e personali di una persona e quindi penso si vada contro la privacy.....
Tutto questo IMHO
Ciao ciao

Posted by Sephirot on 11-09-2003 22:24:

non ho ben capito perchè lo fanno...
per vedere se la mia pass è debole?

__________________
SEPHIROT
mi piacciono i bluvelvet menosi - http://www.menschenfreundlicher.ch/ - "secondo me basta copiarlo in notepad"

Posted by lord2y on 12-09-2003 01:05:

Originally posted by Sephirot
non ho ben capito perchè lo fanno...
per vedere se la mia pass è debole?

creati un account con la stessa password su una tua macchina linux, scarichi il jhon the ripper e lo fai girare su quell'utente...Vedi in quanti gg, minuti, secondi ti gama la password...Poi giudicane tu la debolezza :asd:

__________________
Linux User#271051
Only God can judge me, is that right?
Only God can judge me now
Only God baby, nobody else. All you other motherfuckers get out my business (2Pac)

Posted by joker402 on 25-11-2003 22:52:

Oggi in silab ho faticato ad accedere col mio account (ho dovuto provare 4 pc), e per il dubbio sono andato al gabbiotto, dove vedo appeso un avviso per gli studenti...
guardo e leggo bene... :shock:
praticamente diceva che hanno usato jhon the ripper 1.6 sul file delle password, e che ne hanno trovate un tot in tot minuti e più di 200 nel w-e. La parte in mezzo non l'ho letta perchè il mio occhio è andato più giù: "di seguito ci sono alcune delle password più semplici che abbiamo trovato" seguiva un elenco di una ventina di parole (del tipo roberto2, giada, marco, password, michele21, ecc...). [verificato di persona che erano le vere pwd di qualcuno]
Io dico, ma come cazzo si permettono?
A prescindere dal fatto che se uno sceglie certe password ha come minimo sbagliato facoltà, il fatto di aver scritto ed appeso una cosa simile è gravissimo ed intollerabile.
A questo fatto poi possiamo aggiungere che se uno ha un nome insolito come che so 'romeo' o 'gianenrico' e uno legge su quel foglio 'romeo3', non tarda ad associare la password alla persona. E se quello ha usato quella pwd anche per la sua posta e tutto il resto? E anche se uno poi la pwd per il silab l'ha cambiata e quella era quella vecchia? si può sempre provare con quella pwd su altre sue cose...

Per me quelli del silab non hanno il diritto di fare una cosa simile. neanche se l'utente è stupido o se dopo gli hanno disattivato l'account.

p.s.:Il foglio che ho letto non era datato, ma non credo sia fuori da molto. Purtroppo non ho potuto fare una foto, sennò la postavo. Comunque vi invito a verificare.

__________________
Ogni uomo mente, ma dategli una maschera e sarà sincero.
~ joker402 ~

Posted by fozzy on 26-11-2003 06:44:

Se le password non vengono associate ad un nome direi che hanno tutti i diritti di farlo, anzi, meglio così che non dire nulla..
Se poi qualcuno pensa che se non gli dicono nulla vive meglio.. beh.. potrebbe essere un gran brutto risveglio.

__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.

NT is the path to the Dark Side....

Posted by Lord_Tom on 26-11-2003 09:14:

Secondo me questo eccesso nel controllare le password è esagerato, ma chissà! di questi tempi...
potrebbe esserci un infiltrato di Al Qaeda in mezzo a noi

Posted by ElEtAbbOZ on 26-11-2003 09:28:

Originally posted by fozzy
Se le password non vengono associate ad un nome direi che hanno tutti i diritti di farlo, anzi, meglio così che non dire nulla..
Se poi qualcuno pensa che se non gli dicono nulla vive meglio.. beh.. potrebbe essere un gran brutto risveglio.

queste password corrispondevano a nomi propri o a date di nascita [e altre parole]. Come dice Joker, se c'è una password gianaugusto, non è difficile capire che quella è la pass del gianaugusto che c'è nel proprio corso. e poi anche se non c'è accanto l'username non è difficile recuperare i numeri di matricola. Cmq avrebbero potuto trovare altri modi per comunicare agni interessati che la loro pass è debole.

__________________
Non cliccare!
MSN: eletabboz@hotmail.com

Posted by Cr34t|v3 on 26-11-2003 14:03:

In realta john vien fatto girare ogni settimana circa, visto che il file di passwd non e' shadow (per problemi di autenticazione in NIS) e' in chiaro a tutti, e chiunque potrebbe copiarlo e crackarlo a casa propia... poi venire in lab e fare dei casini agli utenti.
John provvede a disabilitare gli utenti crackati per passwd debole.
La sicurezza non e' il massimo in silab...
provare per credere.. http://www.openwall.com/john/

__________________
Debian rules
Linux User #305560

cerchi una casa in affito x le tue vacanze? Casa Vacanze Sicilia http://www.marsala.sicilia.it

Posted by korn on 26-11-2003 14:52:

Originally posted by joker402
Io dico, ma come cazzo si permettono? [..]
A questo fatto poi possiamo aggiungere che se uno ha un nome insolito come che so 'romeo' o 'gianenrico' e uno legge su quel foglio 'romeo3', non tarda ad associare la password alla persona. E se quello ha usato quella pwd anche per la sua posta e tutto il resto?

Esatto.

E poi non accetto critiche sulle password da chi mi assegna uno stupido pin di 4 cifre per una console dalla quale si controllano gli aspetti più importanti del corso di studi.

Va bene testare il livello di sicurezza delle password e obbligare i singoli utenti a cambiarla se non è sufficiente, va bene appendere avvisi ma elencare le password penso non sia nemmeno legale, perché se tra quelle ci fosse una password riconducibile ad una persona che conosco e di cui conosco le abitudini non mi ci vorrebbe molto ad associarla.

Posted by fozzy on 26-11-2003 18:48:

ripeto secondo me se è uno è così furbo da mettere il proprio nome come password merita di averla esposta.
E poi cosa te ne fai tanto è disabilitata.. Qualuno potrebbe averla usata pure per la posta? meglio ancora magari capisce che è seriamente il caso di cambiarla..
Visto che scrivere nelle istruzioni di non usare password banali non è servito le espongono..
Non ci vedo assolutamente un male in tutto ciò, anzi...

PS: Il pin del SIFA non viene assegnato in SiLab...

__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.

NT is the path to the Dark Side....

Posted by korn on 27-11-2003 12:40:

Originally posted by fozzy
PS: Il pin del SIFA non viene assegnato in SiLab...

Ma il Silab è parte dell'università, e se l'organizzazione è fuffa a monte non accetto che si facciano le pulci a noi.

Altra cosa: l'aula delta fa parte del Silab? Chiedo perché una volta a lezione ho visto scritto nella console di login di una delle macchine "MasterUser" come utente, e mi ci è voluto un attimo per indovinare la password e accedere come AMMINISTRATORE.
Tra l'altro quell'aula è in rete con il Garr, quindi pensa a cosa avrei potuto fare se fossi stato un pò più stronzo (invece ho semplicemente fatto logoff e sono rientrato come utente fuffa).

All times are GMT. The time now is 07:14.

Show all 23 posts from this thread on one page