joker402

dsy core staff

User info:

Registered: Nov 2002
Posts: 2429 (0.29 al dì)
Location: Milano
Corso: TICom
Anno: II+
Time Online: 49 Days, 14:29:03: [...]
Status: Offline

Post actions:

Originally posted by giulio
La pubblica gogna? Con le password non piu' in uso e totalmente anonime?

Non credo che tu possa parlare di pubblica gogna.

Se mi chiamo tertulliano e ho scelto tertulliano1 come pw, quanti tertulliano ci saranno in dipartimento? nessuno capisce che sono io? non arrivano al mio cognome e alle mie caselle mail, magari lasciate ai prof per i voti di qualche esame e pubblicate?
Se pensate giustamente che sia importante proteggere gli account da terzi che possono usarli per scopi illegittimi, dovreste anche aver immediatamente pensato agli account di posta dello sfigato che, una volta affissa la password, può vedersi utilizzato l'account da terzi.

Io ho capito quello che scrivete. Sono completamente d'accordo che chi usa "password" come pw abbia sbagliato università, e non voglio difendere la stupidità della scelta di pw deboli. Ho argomentato come sono riuscito per far capire il mio punto di vista, rimango sulla mia questione di principio della scorrettezza di pubblicare le pw, e forse è meglio chiudere qui perchè era solo una piccola questione che vedo che non è condivisa o che non riesco a far capire.

__________________
Ogni uomo mente, ma dategli una maschera e sarà sincero.
~ joker402 ~

giulio

.no title at all.

User info:

Registered: Jul 2003
Posts: 153 (0.02 al dì)
Location: Earth
Corso: Once upon a time...
Anno:
Time Online: 8 Days, 21:56:12 [...]
Status: Offline

Post actions:

Originally posted by joker402
Se mi chiamo tertulliano e ho scelto tertulliano1 come pw, quanti tertulliano ci saranno in dipartimento? nessuno capisce che sono io? non arrivano al mio cognome e alle mie caselle mail, magari lasciate ai prof per i voti di qualche esame e pubblicate?
Se pensate giustamente che sia importante proteggere gli account da terzi che possono usarli per scopi illegittimi, dovreste anche aver immediatamente pensato agli account di posta dello sfigato che, una volta affissa la password, può vedersi utilizzato l'account da terzi.

Simeon

User info:

Registered: Aug 2004
Posts: 984 (0.13 al dì)
Location: Milano
Corso: Informatica
Anno: IT IS OVER!
Time Online: 14 Days, 19:29:42 [...]
Status: Offline

Post actions:

Originally posted by DeepBlue

Mesi fa ho visto che una delle password era "pipistrello": in un attacco basato su dizionario, questa password verrebbe violata in pochi minuti/ore (a seconda del sistema di autenticazione e di quanto tempo il sistema lascia l'utente "in sospeso" fra un login e l'altro).

(premetto che non sono io ad aver usato quella pass )

A parte che (IMO) non esiste sistema che dia a qualcuno la possibilità di fare tutte ste prove per beccare la password (sia per tempo intercorso tra un tentativo e l'altro sia per massimo numero di tentativi).

Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo? Nel caso assurdo che qualcuno si metta a craccargliela e faccia danni (di che genere non lo so) se ne assume la responsabilità e via.

Non capisco proprio perche andare a disabilitare e pubblicare le password.

Poi, come diceva qualcuno, perchè pubblicare le password nel foglietto a disposizione di tutti, magari uno scrive il cognome seguito da "999". E' una cosa stupida, ovvio, ma cioè... vedersi sbattuta una "password" tra virgolette (che magari usa dappertutto) su un foglietto a disposizione di tutti non è proprio il massimo della vita.

Imo mr cognome farebe benissimo ad incazzarsi: gli fate un favore?
Forse.
Gli procurate un fastidio?
Sicuramente.

Cioè, se disabilitare le password deboli è l'unico modo per impedire appropriazioni di account stiamo freschi... Non ho mai visto niente del genere da nessuna parte, a parte quelle procedure di registrazione che si limitano a segnalare se la tua password e' debole, media o sicura.

Last edited by Simeon on 21-03-2006 at 21:04

giulio

.no title at all.

User info:

Registered: Jul 2003
Posts: 153 (0.02 al dì)
Location: Earth
Corso: Once upon a time...
Anno:
Time Online: 8 Days, 21:56:12 [...]
Status: Offline

Post actions:

Originally posted by Simeon
Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo?

yoruno

.grande:maestro.

User info:

Registered: Jul 2003
Posts: 10602 (1.29 al dì)
Location: Altrove
Corso: 404 error
Anno: 404 error
Time Online: 123 Days, 2:50:08: [...]
Status: Offline

Post actions:

Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo?

Perchè è una password debole. Non serve il corso di Sicurezza per rendersene conto.

Se la password la trova anche un quindicenne con una scansione da dizionario direi che è il caso di ringraziare e cambiarla con qualcosa di un po' più complesso senza lamentarsi

Consiglio la lettura di Gimmeyourpassword e delle altre storie, magari aiuta

__________________
"Voi che tingete i mari del colore dello zinco, che tramutate i boschi in gialli deserti, i venti in fumi di polveri da sparo e che bruciate i cieli. Voi che volete ripetere i malvagi atti della sconsiderata Lilith, che fu la prima moglie di Adamo e poi la sposa del Diavolo. Voi che volete ripetere la ribellione scatenata da Lucifero, del mondo celeste il più splendente. Voi! Ascoltate l'afflizione della sottospecie alata che vola alta nel cielo." [Angel Sanctuary]
::: mail: yoruno@dsy.it ::: ::: My Site ::: ::: Dsy Photo Gallery ::: ::: DeviantART Gallery :::

DeepBlue

tired guy

User info:

Registered: Sep 2003
Posts: 4258 (0.52 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline

Post actions:

Originally posted by Simeon
(premetto che non sono io ad aver usato quella pass )

A parte che (IMO) non esiste sistema che dia a qualcuno la possibilità di fare tutte ste prove per beccare la password (sia per tempo intercorso tra un tentativo e l'altro sia per massimo numero di tentativi).

Scommettiamo?

Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo? Nel caso assurdo che qualcuno si metta a craccargliela e faccia danni (di che genere non lo so) se ne assume la responsabilità e via.

Perché in caso di illeciti e di indagini CREA SOLO PROBLEMI, non solo all'IDIOTA che usa password deboli, ma a tutti, a partire dai sysadmin, fino agli altri studenti, visto che poi ci ritroviamo la polizia girare per il SiLAB.

Non capisco proprio perche andare a disabilitare e pubblicare le password.

Occacchio, la mia password era debole e l'hanno pubblicata...forse è meglio che io NE USI UN'ALTRA

Poi, come diceva qualcuno, perchè pubblicare le password nel foglietto a disposizione di tutti, magari uno scrive il cognome seguito da "999". E' una cosa stupida, ovvio, ma cioè... vedersi sbattuta una "password" tra virgolette (che magari usa dappertutto) su un foglietto a disposizione di tutti non è proprio il massimo della vita.

Vedi risposta precedente.

Imo mr cognome farebe benissimo ad incazzarsi: gli fate un favore?
Forse.
Gli procurate un fastidio?
Sicuramente.

Ve lo chiedo sinceramente, visto che è tanto che non guardo il foglio in questione: ma voi avete mai visto pubblicata una password che conteneva un cognome?
In ogni caso, se il signor cognome si incazza, farebbe meglio a cambiare facoltà! IMO eh

Cioè, se disabilitare le password deboli è l'unico modo per impedire appropriazioni di account stiamo freschi... Non ho mai visto niente del genere da nessuna parte, a parte quelle procedure di registrazione che si limitano a segnalare se la tua password e' debole, media o sicura.

Bene: tu cosa suggerisci?

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

joker402

dsy core staff

User info:

Registered: Nov 2002
Posts: 2429 (0.29 al dì)
Location: Milano
Corso: TICom
Anno: II+
Time Online: 49 Days, 14:29:03: [...]
Status: Offline

Post actions:

Originally posted by DeepBlue
Ve lo chiedo sinceramente, visto che è tanto che non guardo il foglio in questione: ma voi avete mai visto pubblicata una password che conteneva un cognome?

__________________
Ogni uomo mente, ma dategli una maschera e sarà sincero.
~ joker402 ~

Sephirot

.grande:maestro.

User info:

Registered: Nov 2001
Posts: 3856 (0.44 al dì)
Location: South of No North
Corso: Informatica
Anno: III
Time Online: 60 Days, 15:06:08: [...]
Status: Offline

Post actions:

Originally posted by Simeon
Nel caso assurdo che qualcuno si metta a craccargliela e faccia danni (di che genere non lo so) se ne assume la responsabilità e via.

__________________
SEPHIROT
mi piacciono i bluvelvet menosi - http://www.menschenfreundlicher.ch/ - "secondo me basta copiarlo in notepad"

Simeon

User info:

Registered: Aug 2004
Posts: 984 (0.13 al dì)
Location: Milano
Corso: Informatica
Anno: IT IS OVER!
Time Online: 14 Days, 19:29:42 [...]
Status: Offline

Post actions:

Originally posted by yoruno
Perchè è una password debole. Non serve il corso di Sicurezza per rendersene conto.

Se la password la trova anche un quindicenne con una scansione da dizionario direi che è il caso di ringraziare e cambiarla con qualcosa di un po' più complesso senza lamentarsi

Consiglio la lettura di Gimmeyourpassword e delle altre storie, magari aiuta

Simeon

User info:

Registered: Aug 2004
Posts: 984 (0.13 al dì)
Location: Milano
Corso: Informatica
Anno: IT IS OVER!
Time Online: 14 Days, 19:29:42 [...]
Status: Offline

Post actions:

Originally posted by DeepBlue
Scommettiamo?

C'era un IMO li in mezzo alla frase, probabilmente mi sbaglio. Di fatto non ne ho mai visto uno.

Perché in caso di illeciti e di indagini CREA SOLO PROBLEMI, non solo all'IDIOTA che usa password deboli, ma a tutti, a partire dai sysadmin, fino agli altri studenti, visto che poi ci ritroviamo la polizia girare per il SiLAB.

La... la polizia? Mi sa che mi sfuggono utilizzi dell'account silab (fin'ora l'ho usato per vedere i risultati di inglese e per accedere ai pc di laboratorio).

Bene: tu cosa suggerisci?

Di impedire l'inserimento di password deboli subito invece che disabilitare e pubblicare dopo, ma non so se sia possibile.

Last edited by Simeon on 22-03-2006 at 14:31

Simeon

User info:

Registered: Aug 2004
Posts: 984 (0.13 al dì)
Location: Milano
Corso: Informatica
Anno: IT IS OVER!
Time Online: 14 Days, 19:29:42 [...]
Status: Offline

Post actions:

Quando penso alla password del SIFA mi sento in trappola, 4 cifre.

yoruno

.grande:maestro.

User info:

Registered: Jul 2003
Posts: 10602 (1.29 al dì)
Location: Altrove
Corso: 404 error
Anno: 404 error
Time Online: 123 Days, 2:50:08: [...]
Status: Offline

Post actions:

Originally posted by Simeon
Ma provate anche a mettervi nei panni di chi si vede la password disabilitata e pubblicata (soprattutto nel caso la password stessa sia riconducibile all'utente).

Mi sono messo nei panni: la cambio.

Originally posted by Simeon
Quando penso alla password del SIFA mi sento in trappola, 4 cifre.

Ecco, questa è l'assurdo infatti...

__________________
"Voi che tingete i mari del colore dello zinco, che tramutate i boschi in gialli deserti, i venti in fumi di polveri da sparo e che bruciate i cieli. Voi che volete ripetere i malvagi atti della sconsiderata Lilith, che fu la prima moglie di Adamo e poi la sposa del Diavolo. Voi che volete ripetere la ribellione scatenata da Lucifero, del mondo celeste il più splendente. Voi! Ascoltate l'afflizione della sottospecie alata che vola alta nel cielo." [Angel Sanctuary]
::: mail: yoruno@dsy.it ::: ::: My Site ::: ::: Dsy Photo Gallery ::: ::: DeviantART Gallery :::

nous

.:Retore Pomposo:.

User info:

Registered: Dec 2001
Posts: 2945 (0.33 al dì)
Location: Fino Mornasco - Como
Corso: Informatica
Anno: Specialista
Time Online: 16 Days, 13:56:49 [...]
Status: Offline

Post actions:

E' un topic decisamente assurdo, peccato perchè era cominciato con una domanda tutto sommato legittima.

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Simeon

User info:

Registered: Aug 2004
Posts: 984 (0.13 al dì)
Location: Milano
Corso: Informatica
Anno: IT IS OVER!
Time Online: 14 Days, 19:29:42 [...]
Status: Offline

Post actions:

Originally posted by giulio

Ci è già capitato di essere interpellati dalla polizia postale e delle
telecomunicazioni per questioni di questo tipo, ma nel momento
in cui il reato fosse particolarmente grave (ad esempio qualcosa
che ha a che fare con la pedo-pornografia), le conseguenze per il
proprietario dell'account sarebbero spiacevoli (per usare un
eufemismo), soprattutto se il proprietario è totalmente ignaro di
tutto.
E tutto per una password debole.

karplus

.grande:maestro.

User info:

Registered: Jun 2004
Posts: 1207 (0.15 al dì)
Location:
Corso: Informatica per la Comunicazione (magistrale)
Anno:
Time Online: 7 Days, 2:28:19 [...]
Status: Offline

Post actions:

Se permettete un leggero ottino vi racconto un episodio analogo: un giorno arrivo bel bello in silab x un esame. Sono in anticipo, mi loggo e mi dice di contattare l'admin.

Ok vado dal tutor, mentre smanetto leggo "max size quota exceeded", strano penso, mi pareva di avere un 3/4mb. Me lo riattivano e vado a farmi l'esame. E per fortuna che i tutor ci sono sempre, sennò nada esame.


Dopo qualche gg torno e controllo lo spazio libero: 3 mega e rotti.

Dopo qualche altro giorno torno, mi riloggo, user disabilitata. Vado dal tutor e leggo la stessa cosa sul monitor, alchè glielo dico, non é la prima volta che succede e cmq avevano ancora quei 3mb liberi. Aldilà del "libera un po' di spazio" non sanno spiegarmi perchè sia successo 2 volte sta cosa.


Ora questa domanda la giro a voi: se il limite già di x sè esiguo di 20mb, é effettivamente 20mb, com'è che a 16mb di spazio occupato l'account viene disabilitato?

Tra l'altro ho notato che in z: ci sono un po' di cartelle di profili, solo che non vengono usate. Occupano spazio e obbligano cmq a saltare tutte le volte i wizard, impostare proxy ecc...

pps a voler essere cattivi una volta mi ero chiesto il senso di avere winamp, itunes e windows media player tutti e 3 nello stesso pc