 | |
Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum |
[info] Silab, tutors e password.
Clicca QUI per vedere il messaggio nel forum |
| Simeon |
Volevo cercare di capire il senso di questa cosa.
Sapevo gia del fatto che i tutor disabilitavano gli account con password troppo "debole", ma non mi sono mai informato bene sulla faccenda ne interessato fino ad oggi.
Ho scoperto che la mia password in silab era stata disabilitata perche' "debole" (strano, usata per anni dappertutto nessuno me l'ha mai presa, magari non ci han provato...).
Il tutor mi spiega che praticamente craccano le password di ogni utente che si registra con un programma che al suo interno ha le parole del dizionario italiano o inglese.
E qui non capisco una cosa.
Mettiamo che io metta "stercoraro" come password. La parola è presente nel dizionario ma sarà difficile che qualcuno me la becchi (a meno che me la cracchi dai pc del silab dove risiedono effettivamente i dati, da remoto non credo siano concessi tutti i tentativi necessari per beccare una password con dizionario).
Quindi, per quale assurdo motivo se io metto "stercoraro" come password il tutor me la deve "craccare  " e quindi poterla vedere?
La password che avevo usato in silab non la uso piu da nessuna parte, pero' la cosa non mi va giu lo stesso... Suppongo ci siano delle ragioni "storiche" per questa cosa, ma almeno avvertire gli studenti... O non associare la password all'account dell'utente (il tizio mi ha detto chiaro e tondo che avrebe potuto dirmi che password avevo) |
| giulio |
Originally posted by Simeon
La password che avevo usato in silab non la uso piu da nessuna parte, pero' la cosa non mi va giu lo stesso... Suppongo ci siano delle ragioni "storiche" per questa cosa, ma almeno avvertire gli studenti... O non associare la password all'account dell'utente (il tizio mi ha detto chiaro e tondo che avrebe potuto dirmi che password avevo)
Falso. Il tutor non puo' vedere la password, neppure nel caso in
cui uno studente viene disabilitato.
La motivazione e' che i tutor non c'entrano nulla con il cracking
e la disabilitazione, che vengono fatti automaticamente da
uno script.
Vi ricordo che nel momento di creazione dell'account ogni studente
firma per l'accettazione di un regolamento (o clicca su "Accetto"
nel caso di creazione tramite terminale). In particolare
il primo punto recita cosi':
1) L’accesso ai sistemi e alla rete dei Laboratori didattici avviene sotto la propria esclusiva responsabilità e si assume le conseguenze civili e penali derivanti da un uso non corretto dei suddetti;
Quello che si cerca di evitare e' che qualcuno si impossessi
di un account altrui, per compiere azioni illegali di ogni genere,
facendo ricadere la responsabilità sul proprietario dell'account.
In buona sostanza la disabilitazione per password debole, che la
maggior parte degli studenti tende a vedere come una punizione,
vuole invece essere una tutela per quegli studenti dotati di minore
"fantasia" all'atto della creazione dell'account.
Ed in effetti la riabilitazione dell'account è immediata nel momento
in cui ci si presenta dal tutor di turno.
Non hai idea di quante persone utilizzino come password
"qwerty", "123456" o lo username. |
| luna |
| visto che si parla di account..ieri mattina sono venuta in silab per creare l'account con la nuova matricola della specialistica ma al momento dell'inserimento dati e schiacciando ok mi ha dato errore!avete per caso risolto?mi serve al piu' presto il nuovo account! |
| Simeon |
Originally posted by giulio
Falso. Il tutor non puo' vedere la password, neppure nel caso in
cui uno studente viene disabilitato.
Guarda, sto thread l'ho aperto prevalentemente per la frase del tutor "se vuoi ti faccio pure vedere qual era la tua vecchia password".
Il tutor mente o sono io a non aver capito qualcosa?
Vi ricordo che nel momento di creazione dell'account ogni studente
firma per l'accettazione di un regolamento ..
Sono d'accordo, ma pensavo che le password NON fossero associate alle matricole, invece a quanto pare è proprio così (per la frase di cui sopra e anche perchè una volta mi pare di aver visto un foglio stampato con l'elenco delle pass "deboli", non ricordo se c'erano anche le matricole a fianco però).
P.s: cmq la mia password non era affatto qwerty o 123456, era solo una parola che ha la sfortuna di ricadere nel dizionario (non in quello italiano penso). |
| giulio |
Originally posted by Simeon
Il tutor mente o sono io a non aver capito qualcosa?
Non so risponderti. L'unica cosa che ti garantisco e' che il tutor
*NON* conosce le password.
Sono d'accordo, ma pensavo che le password NON fossero associate alle matricole, invece a quanto pare è proprio così
(per la frase di cui sopra e anche perchè una volta mi pare di aver visto un foglio stampato con l'elenco delle pass "deboli", non ricordo se c'erano anche le matricole a fianco però).
No, ovviamente c'erano solo le password, nessuna associazione
con l'account.
Scemi sì, ma fino a un certo punto! :)
P.s: cmq la mia password non era affatto qwerty o 123456, era solo una parola che ha la sfortuna di ricadere nel dizionario (non in quello italiano penso).
Paradossalmente tra "pippo" e la traduzione in altra lingua di
"precipitevolissimevolmente" non c'e' differenza.
Entrambe ricadono in qualche dizionario.
E quindi la tua password è stata "indovinata" dal nostro sistema.
E quindi può essere "indovinata" anche da altri, probabilmente
con finalità diverse dalle nostre.
Ti invito a leggere il cartello esposto in SILab (dove c'è la
macchinetta per la creazione degli account) che fornisce qualche
consiglio sulla scelta della password. |
| Simeon |
Ti invito a leggere il cartello esposto in SILab (dove c'è la
macchinetta per la creazione degli account) che fornisce qualche
consiglio sulla scelta della password.
Non ce n'e' bisogno, l'ho gia cambiata ieri :)
Mi stava solo antipatico che "qualcuno" potesse leggere la mia vecchia password, ma tu mi dici che non e' cosi' quindi ok.
Continuo a pensare che il tutor con cui ho parlato ieri POTESSE vedermela, ma vabbe'... |
| Konrad |
Originally posted by Simeon
Non ce n'e' bisogno, l'ho gia cambiata ieri :)
Mi stava solo antipatico che "qualcuno" potesse leggere la mia vecchia password, ma tu mi dici che non e' cosi' quindi ok.
Continuo a pensare che il tutor con cui ho parlato ieri POTESSE vedermela, ma vabbe'...
Scusa se te l'ha sgamata perche' debole probabilmente l'avra' letta quando te lo han disabilitato (se e' uno script automatico dara' qualche risposta no?) |
| Simeon |
Originally posted by Konrad
Scusa se te l'ha sgamata perche' debole probabilmente l'avra' letta quando te lo han disabilitato (se e' uno script automatico dara' qualche risposta no?)
E' questo il punto. Mi avete sgamato la password e mi avete disabilitato l'account. Perchè dovete pure potermela leggere? |
| Bravo Yankee |
Originally posted by giulio
Non so risponderti. L'unica cosa che ti garantisco e' che il tutor
*NON* conosce le password.
Io crederei alla versione di Giulio, secondo me il Tutor voleva solo darsi qualche aria... |
| Konrad |
Originally posted by Simeon
E' questo il punto. Mi avete sgamato la password e mi avete disabilitato l'account. Perchè dovete pure potermela leggere?
Perche' tanto l'account e' disabilitato,non serve piu' a nulla la password ...certo che se usi la stessa pass anche per altre cose potrebbe essere un problema :D |
| Simeon |
Originally posted by Konrad
...certo che se usi la stessa pass anche per altre cose potrebbe essere un problema :D
Centro.
Per quanto mi riguarda non è un problema, avevo scelto appositamente una password che non usavo più da nessuna parte, ma se invece l'avessi usata dappertutto? E questi me la devono leggere perchè lo scriptino me la prende dal dizionario? Non esiste. |
| giulio |
Originally posted by Simeon
Centro.
Per quanto mi riguarda non è un problema, avevo scelto appositamente una password che non usavo più da nessuna parte, ma se invece l'avessi usata dappertutto? E questi me la devono leggere perchè lo scriptino me la prende dal dizionario? Non esiste.
Mi chiedo se ci fate o ci siete....
Ripeto: i tutor *NON* possono in alcun modo sapere le vostre
password.
Quindi accantonate pure la teoria del complotto, e non temete
per i vostri account su libero/fastweb/alice/..... |
| Simeon |
Originally posted by giulio
Mi chiedo se ci fate o ci siete....
Innanzitutto calma per favore che qui nessuno ha offeso nessuno.
Ripeto: i tutor *NON* possono in alcun modo sapere le vostre
password.
Ognuno dice una cosa diversa, un minimo di diffidenza posso manifestarla?
Quindi accantonate pure la teoria del complotto, e non temete
per i vostri account su libero/fastweb/alice/.....
Non è certamente quello che si teme (anche perchè, perlomeno con alice, si può loggare con qualsiasi user/password) |
| giulio |
Originally posted by Simeon
Innanzitutto calma per favore che qui nessuno ha offeso nessuno.
Perche', io chi ho offeso?
Ognuno dice una cosa diversa, un minimo di diffidenza posso manifestarla?
Ripeto: i tutor *NON* possono sapere le password degli
utenti, neppure quelle degli utenti disabilitati per password
debole.
Firmato:
Giulio Casella
Responsabile Laboratorio Didattico
via Comelico, 39
Se tuttora sei diffidente non posso piu' farci nulla. Controlla su
ebay che nessun tutor stia vendendo le password degli utenti del
SILab. |
| Simeon |
Originally posted by giulio
Perche', io chi ho offeso?
Beh se ci chiedi se ci siamo o se ci facciamo...
Ripeto: i tutor *NON* possono sapere le password degli
utenti, neppure quelle degli utenti disabilitati per password
debole.
Bon, ok, ti credo.
Tanto credo sia inutile andare avanti con "si ma io non ci credo" "ti dico che è così". |
| Konrad |
| Ma quando hanno appeso quel bel foglietto con una lista di password sgamate da dove le han prese? |
| Jacoposki |
Originally posted by Konrad
Ma quando hanno appeso quel bel foglietto con una lista di password sgamate da dove le han prese?
ding ding ding we have a winner!
Questa è la domanda da un milione di dollari di questo thread. |
| Bravo Yankee |
Adesso, io non voglio prendere le difese di nessuno (anche perché non ce n'è ragione), ma una cosa è avere una lista delle password disabilitate per motivi di fragilità ad attacchi dizionario, una cosa è averle associate alla matricola od ai dati od al nominativo.
Su quel foglio c'erano solo le password, nessun riferimento agli utenti...quindi non capisco quale sia il problema se la sala macchine le ha date ai tutor da appendere in SILAB. |
| Jacoposki |
Beh, ragioniamo:
affermazione: "i tutor non possono sapere le password".
fatto: "in silab c'è appesa una lista di password disattivate perchè deboli".
conseguente domanda: "chi sa le password?" |
| Bravo Yankee |
Ti hanno detto che la sala macchina conosce l'abbinata user-password, mentre in SILAB ci sono solo le password esposte al pubblico...ergo, tutti sappiamo le password, ma non la loro accoppiata con lo user.
Non mi sembra grave come mossa per prevenire altre password deboli. |
| DeepBlue |
Originally posted by Jacoposki
Beh, ragioniamo:
affermazione: "i tutor non possono sapere le password".
fatto: "in silab c'è appesa una lista di password disattivate perchè deboli".
conseguente domanda: "chi sa le password?"
Non le sa nessuno.
MOLTO PROBABILMENTE (ci tengo a sottolineare che è una mia congettura, visto che posso solo immaginare come sia la struttura dei sistemi della sala macchine) le accoppiate user-password sono contenute nell'albero ldap del SiLAB, cioè dentro quel sistema che vi permette di loggarvi su linux, su windows e sui sistemi come JLI.
Le password salvate li dentro sono ovviamente in formato NON-leggibile (leggi: sono cifrate), ma è facile violarle con uno dei tanti script che ci sono in rete, specialmente se sei admin delle macchine :D
Il fatto che queste siano violabili NON COMPORTA che i tutor conoscano l'accoppiata user/password (visto che qualunque admin con un po' di sale in zucca non darebbe mai un livello di accesso di questo tipo ad un normale operatore - w sudo -) e non significa nemmeno che i sysadmin della sala macchine si divertano a crakkarvi le pass per leggervi la posta.
Infatti è pratica comune (e sana, aggiungerei) in alcune aziende lanciare script di questo tipo per trovare password troppo deboli (visto che le password deboli sono una falla in qualunque sistema) e costringere gli utenti a cambiarle (fra l'altro Giulio aveva già parlato di questi script nella prima pagina)
Nei domini è possibile anche impostare il livello di complessità delle password e fare in modo che queste abbiano una scadenza periodica, obbligando addirittura l'utente a cambiarla inserendo una password diversa da quella precedente...
Niente di strano quindi.
Poi se avete dubbi, scrivete a Giulio o agli altri della sala macchine, che mi sono sempre sembrati molto disponibili per queste cose. |
| joker402 |
Originally posted by giulio
Mi chiedo se ci fate o ci siete....
Ripeto: i tutor *NON* possono in alcun modo sapere le vostre
password.
Quindi accantonate pure la teoria del complotto, e non temete
per i vostri account su libero/fastweb/alice/.....
A me non interessa personalmente la faccenda. Però posso ben comprendere chi si interroga sulla gestione di un dato delicato come una password.
Se le pw non le sanno i tutor, ma poi vengono affisse pubblicamente, il risultato non cambia di molto (anzi, peggiora!).
Originally posted by Konrad
Ma quando hanno appeso quel bel foglietto con una lista di password sgamate da dove le han prese? Originally posted by Bravo Yankee
una cosa è avere una lista delle password disabilitate per motivi di fragilità ad attacchi dizionario, una cosa è averle associate alla matricola od ai dati od al nominativo.
Mettiamo il caso che un tale si chiami ermenegildo, un giorno va in silab e trova il famoso foglio appeso in bella vista con la lista, fra cui "333ermenegildo" o simili (è ovvio che se una password è su quel foglio allora è debole e se è debole potrebbe essere benissimo un nome, come ne ho letti nel famoso foglio).
Anche se pure il Creatore fosse all'oscuro dell'associazione user-pw...è così incredibile pensare che qualcuno ci possa arrivare? è ancora così giustificabile l'affissione pubblica delle password?
che poi nonostante si sia sollevato il problema e si sia dibattuto a lungo su questo forum, sono rimaste appese mesi.
Scrivo questo non per rompere, ma perchè mi auguro non vengano più maneggiate con leggerezza le password. (e mi riferisco ancora solo al foglio, questione magari oramai risolta) |
| DeepBlue |
Originally posted by joker402
A me non interessa personalmente la faccenda. Però posso ben comprendere chi si interroga sulla gestione di un dato delicato come una password.
Se le pw non le sanno i tutor, ma poi vengono affisse pubblicamente, il risultato non cambia di molto (anzi, peggiora!).
Mettiamo il caso che un tale si chiami ermenegildo, un giorno va in silab e trova il famoso foglio appeso in bella vista con la lista, fra cui "333ermenegildo" o simili (è ovvio che se una password è su quel foglio allora è debole e se è debole potrebbe essere benissimo un nome, come ne ho letti nel famoso foglio).
Se uno usa il suo nome nella password limitandosi ad aggiungere pochi caratteri in coda o in testa, scusate, ma è un PIRLA TOTALE, perché le combinazioni che partono dai nomi nomi o dalle date di nascita sono le prime che si tentano quando si cerca di violare una password.
Mesi fa ho visto che una delle password era "pipistrello": in un attacco basato su dizionario, questa password verrebbe violata in pochi minuti/ore (a seconda del sistema di autenticazione e di quanto tempo il sistema lascia l'utente "in sospeso" fra un login e l'altro).
Questa è una polemica assurda e mi stupisce che si sia generata all'interno di un dipartimento come il nostro.
IMO ;) |
| yoruno |
Originally posted by DeepBlue
Questa è una polemica assurda e mi stupisce che si sia generata all'interno di un dipartimento come il nostro. Pienamente d'accordo.
Tra l'altro vorrei far notare che dire Mettiamo il caso che un tale si chiami ermenegildo, un giorno va in silab e trova il famoso foglio appeso in bella vista con la lista, fra cui "333ermenegildo" o simili (è ovvio che se una password è su quel foglio allora è debole e se è debole potrebbe essere benissimo un nome, come ne ho letti nel famoso foglio).
Anche se pure il Creatore fosse all'oscuro dell'associazione user-pw...è così incredibile pensare che qualcuno ci possa arrivare? è ancora così giustificabile l'affissione pubblica delle password?
non ha senso, dato che le password affisse sono state disattivate, ergo non vanno più, sono inutili, non servono a nulla.
Quindi non ci sono problemi di ''violazione account''.
Anzi, ottima mossa per far cambiare la password agli utOnti ;) |
| giulio |
Originally posted by joker402
Scrivo questo non per rompere, ma perchè mi auguro non vengano più maneggiate con leggerezza le password. (e mi riferisco ancora solo al foglio, questione magari oramai risolta)
E' proprio per questo che quel foglio è esposto e continuerà ad
essere esposto.
Lo scopo è la sensibilizzazione degli utenti sull'importanza di
una password "forte".
Spesso mi sento dire:
"Tanto non ho nulla da proteggere nel mio account, non ho
materiale riservato".
Ebbene il problema non è quanto un intruso può fare con il
vostro materiale, ma quali azioni illegali questo intruso può fare
con il vostro account.
Ci è già capitato di essere interpellati dalla polizia postale e delle
telecomunicazioni per questioni di questo tipo, ma nel momento
in cui il reato fosse particolarmente grave (ad esempio qualcosa
che ha a che fare con la pedo-pornografia), le conseguenze per il
proprietario dell'account sarebbero spiacevoli (per usare un
eufemismo), soprattutto se il proprietario è totalmente ignaro di
tutto.
E tutto per una password debole.
Originally posted by DeepBlue
Questa è una polemica assurda e mi stupisce che si sia generata all'interno di un dipartimento come il nostro.
Quoto in pieno, e mi permetto di consigliarvi una lettura:
Kevin Mitnick - L'arte dell'inganno
E' scritto (secondo la mia opinione non benissimo) da uno dei
più famosi hacker del mondo, e tratta di una tecnica chiamata
social engineering, e racconta, tra le altre cose, di alcuni
aneddoti interessanti su come carpire password o account. |
| Jacoposki |
| grazie per le risposte, non c'era polemica da parte mia :) |
| joker402 |
Originally posted by DeepBlue
Se uno usa il suo nome nella password limitandosi ad aggiungere pochi caratteri in coda o in testa, scusate, ma è un PIRLA TOTALE
sono d'accordissimo, mi verrebbe anche da dire "peggio per loro", ma credo che la password sia comunque un dato personale che NON vada diffuso in questo modo. (anche uno che parcheggia sulle strisce è un pirla totale, ma la legge non mi permette di farci tutto quello che voglio a quella macchina!)
Originally posted by yoruno
Tra l'altro vorrei far notare che dire non ha senso, dato che le password affisse sono state disattivate, ergo non vanno più, sono inutili, non servono a nulla.
Quindi non ci sono problemi di ''violazione account''.
Magari le usano per la posta o altro (dato che sono pw deboli, è anche più probabile che utilizzino per tutto la stessa), e magari non sanno neanche che la loro pw è affissa perchè non passano in silab...
Continuo ad augurarmi che la pratica della pubblica gogna fatta a questo modo non venga più usata. |
| giulio |
Originally posted by joker402
Magari le usano per la posta o altro (dato che sono pw deboli, è anche più probabile che utilizzino per tutto la stessa)
Forse anche questo puo' essere un vantaggio della disabilitazione,
non credi?
Se una password debole e' opportuno non utilizzarla per la posta
elettronica
Continuo ad augurarmi che la pratica della pubblica gogna fatta a questo modo non venga più usata.
La pubblica gogna? Con le password non piu' in uso e totalmente anonime?
Non credo che tu possa parlare di pubblica gogna.
Test:
State uscendo di casa, dimenticando di chiudere la porta a chiave.
Incontrate il vostro vicino sul pianerottolo, che vi dice:
"Attenzione, stai dimenticando di chiudere a chiave la porta".
La vostra risposta è:
a) Stai zitto, pirla, che se qualcuno ti sente mi ruba in casa
b) Grazie, se non me l'avessi detto mi avrebbero rubato in casa
A voi la risposta e l'analogia. |
| yoruno |
Originally posted by giulio
La pubblica gogna? Con le password non piu' in uso e totalmente anonime?
Non credo che tu possa parlare di pubblica gogna. Tra l'altro potrebbe essere un ottimo spunto per scegliere password un po' più robuste di "password" :asd:
Ps.: tra l'altro l'uso della stessa passord per tutto è quanto di peggio si possa fare... se poi la password è "password"... :P |
| DarkSchneider |
E' successo anche a me di essere stato disabilitato, ma in fondo è corretto perchè ciò disincentiva l'uso di password non sicure, è una forma di protezione in fondo...
che ci costa sceglierci una password alfanumerica ... ( è anche un buon esercizio per la memoria ....:D:D) |
| joker402 |
Originally posted by giulio
La pubblica gogna? Con le password non piu' in uso e totalmente anonime?
Non credo che tu possa parlare di pubblica gogna. Se mi chiamo tertulliano e ho scelto tertulliano1 come pw, quanti tertulliano ci saranno in dipartimento? nessuno capisce che sono io? non arrivano al mio cognome e alle mie caselle mail, magari lasciate ai prof per i voti di qualche esame e pubblicate?
Se pensate giustamente che sia importante proteggere gli account da terzi che possono usarli per scopi illegittimi, dovreste anche aver immediatamente pensato agli account di posta dello sfigato che, una volta affissa la password, può vedersi utilizzato l'account da terzi.
Io ho capito quello che scrivete. Sono completamente d'accordo che chi usa "password" come pw abbia sbagliato università, e non voglio difendere la stupidità della scelta di pw deboli. Ho argomentato come sono riuscito per far capire il mio punto di vista, rimango sulla mia questione di principio della scorrettezza di pubblicare le pw, e forse è meglio chiudere qui perchè era solo una piccola questione che vedo che non è condivisa o che non riesco a far capire. :) |
| giulio |
Originally posted by joker402
Se mi chiamo tertulliano e ho scelto tertulliano1 come pw, quanti tertulliano ci saranno in dipartimento? nessuno capisce che sono io? non arrivano al mio cognome e alle mie caselle mail, magari lasciate ai prof per i voti di qualche esame e pubblicate?
Se pensate giustamente che sia importante proteggere gli account da terzi che possono usarli per scopi illegittimi, dovreste anche aver immediatamente pensato agli account di posta dello sfigato che, una volta affissa la password, può vedersi utilizzato l'account da terzi.
Cerco di spiegarmi meglio se uno che si chiama tertulliano usa
"tertulliano1" come password cerco di costringerlo a cambiarla.
Anche pubblicandola.
Se mr. Tertulliano si inca**a perche' l'ho pubblicata, sono
contento perche' la sua rabbia lo portera' a cambiare la
password anche su Libero/Yahoo/BancoPosta/BancaIntesa/....
Io ho capito quello che scrivete. Sono completamente d'accordo che chi usa "password" come pw abbia sbagliato università, e non voglio difendere la stupidità della scelta di pw deboli. Ho argomentato come sono riuscito per far capire il mio punto di vista, rimango sulla mia questione di principio della scorrettezza di pubblicare le pw, e forse è meglio chiudere qui perchè era solo una piccola questione che vedo che non è condivisa o che non riesco a far capire. :)
Io invece sono convinto che sarebbe scorretto solo se le associassimo
allo username. |
| Simeon |
Originally posted by DeepBlue
Mesi fa ho visto che una delle password era "pipistrello": in un attacco basato su dizionario, questa password verrebbe violata in pochi minuti/ore (a seconda del sistema di autenticazione e di quanto tempo il sistema lascia l'utente "in sospeso" fra un login e l'altro).
(premetto che non sono io ad aver usato quella pass :asd: )
A parte che (IMO) non esiste sistema che dia a qualcuno la possibilità di fare tutte ste prove per beccare la password (sia per tempo intercorso tra un tentativo e l'altro sia per massimo numero di tentativi).
Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo? Nel caso assurdo che qualcuno si metta a craccargliela e faccia danni (di che genere non lo so) se ne assume la responsabilità e via.
Non capisco proprio perche andare a disabilitare e pubblicare le password.
Poi, come diceva qualcuno, perchè pubblicare le password nel foglietto a disposizione di tutti, magari uno scrive il cognome seguito da "999". E' una cosa stupida, ovvio, ma cioè... vedersi sbattuta una "password" tra virgolette (che magari usa dappertutto) su un foglietto a disposizione di tutti non è proprio il massimo della vita.
Imo mr cognome farebe benissimo ad incazzarsi: gli fate un favore?
Forse.
Gli procurate un fastidio?
Sicuramente.
Cioè, se disabilitare le password deboli è l'unico modo per impedire appropriazioni di account stiamo freschi... Non ho mai visto niente del genere da nessuna parte, a parte quelle procedure di registrazione che si limitano a segnalare se la tua password e' debole, media o sicura. |
| giulio |
Originally posted by Simeon
Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo?
ubi maior minor cessat.
Ci rinuncio. |
| yoruno |
Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo? Perchè è una password debole. Non serve il corso di Sicurezza per rendersene conto. :|
Se la password la trova anche un quindicenne con una scansione da dizionario direi che è il caso di ringraziare e cambiarla con qualcosa di un po' più complesso senza lamentarsi ;)
Consiglio la lettura di Gimmeyourpassword e delle altre storie, magari aiuta :P |
| DeepBlue |
Originally posted by Simeon
(premetto che non sono io ad aver usato quella pass :asd: )
A parte che (IMO) non esiste sistema che dia a qualcuno la possibilità di fare tutte ste prove per beccare la password (sia per tempo intercorso tra un tentativo e l'altro sia per massimo numero di tentativi).
Scommettiamo?
Perchè l'utente di turno non può usarsi la sua pass "pipistrello" per qualche suo motivo? Nel caso assurdo che qualcuno si metta a craccargliela e faccia danni (di che genere non lo so) se ne assume la responsabilità e via.
Perché in caso di illeciti e di indagini CREA SOLO PROBLEMI, non solo all'IDIOTA che usa password deboli, ma a tutti, a partire dai sysadmin, fino agli altri studenti, visto che poi ci ritroviamo la polizia girare per il SiLAB.
Non capisco proprio perche andare a disabilitare e pubblicare le password.
Occacchio, la mia password era debole e l'hanno pubblicata...forse è meglio che io NE USI UN'ALTRA
Poi, come diceva qualcuno, perchè pubblicare le password nel foglietto a disposizione di tutti, magari uno scrive il cognome seguito da "999". E' una cosa stupida, ovvio, ma cioè... vedersi sbattuta una "password" tra virgolette (che magari usa dappertutto) su un foglietto a disposizione di tutti non è proprio il massimo della vita.
Vedi risposta precedente.
Imo mr cognome farebe benissimo ad incazzarsi: gli fate un favore?
Forse.
Gli procurate un fastidio?
Sicuramente.
Ve lo chiedo sinceramente, visto che è tanto che non guardo il foglio in questione: ma voi avete mai visto pubblicata una password che conteneva un cognome?
In ogni caso, se il signor cognome si incazza, farebbe meglio a cambiare facoltà! IMO eh :)
Cioè, se disabilitare le password deboli è l'unico modo per impedire appropriazioni di account stiamo freschi... Non ho mai visto niente del genere da nessuna parte, a parte quelle procedure di registrazione che si limitano a segnalare se la tua password e' debole, media o sicura.
Bene: tu cosa suggerisci? |
| joker402 |
Originally posted by DeepBlue
Ve lo chiedo sinceramente, visto che è tanto che non guardo il foglio in questione: ma voi avete mai visto pubblicata una password che conteneva un cognome?
cognomi no, un nome poco comune e sicuramente riconducibile a una persona si. |
| Sephirot |
Originally posted by Simeon
Nel caso assurdo che qualcuno si metta a craccargliela e faccia danni (di che genere non lo so) se ne assume la responsabilità e via.
ma ti rendi conto dell'assurdita' che hai appena scritto? |
| Simeon |
Originally posted by yoruno
Perchè è una password debole. Non serve il corso di Sicurezza per rendersene conto. :|
Se la password la trova anche un quindicenne con una scansione da dizionario direi che è il caso di ringraziare e cambiarla con qualcosa di un po' più complesso senza lamentarsi ;)
Consiglio la lettura di Gimmeyourpassword e delle altre storie, magari aiuta :P
ME NE RENDO CONTO CHE E' UNA PASSWORD DEBOLE (in caps, magari cosi' si capisce definitivamente).
Ma provate anche a mettervi nei panni di chi si vede la password disabilitata e pubblicata (soprattutto nel caso la password stessa sia riconducibile all'utente).
A questo punto non fate prima ad implementare uno di quei sistemi che ti permettono di inserire password alfanumeriche o salcavolo cosa invece di disabilitare e pubblicare? |
| Simeon |
Originally posted by DeepBlue
Scommettiamo?
C'era un IMO li in mezzo alla frase, probabilmente mi sbaglio. Di fatto non ne ho mai visto uno.
Perché in caso di illeciti e di indagini CREA SOLO PROBLEMI, non solo all'IDIOTA che usa password deboli, ma a tutti, a partire dai sysadmin, fino agli altri studenti, visto che poi ci ritroviamo la polizia girare per il SiLAB.
La... la polizia? :eek: Mi sa che mi sfuggono utilizzi dell'account silab (fin'ora l'ho usato per vedere i risultati di inglese e per accedere ai pc di laboratorio).
Bene: tu cosa suggerisci?
Di impedire l'inserimento di password deboli subito invece che disabilitare e pubblicare dopo, ma non so se sia possibile. |
| Simeon |
| Quando penso alla password del SIFA mi sento in trappola, 4 cifre. |
| yoruno |
Originally posted by Simeon
Ma provate anche a mettervi nei panni di chi si vede la password disabilitata e pubblicata (soprattutto nel caso la password stessa sia riconducibile all'utente). Mi sono messo nei panni: la cambio. :)Originally posted by Simeon
Quando penso alla password del SIFA mi sento in trappola, 4 cifre. Ecco, questa è l'assurdo infatti... |
| nous |
| E' un topic decisamente assurdo, peccato perchè era cominciato con una domanda tutto sommato legittima. |
| Simeon |
Originally posted by giulio
Ci è già capitato di essere interpellati dalla polizia postale e delle
telecomunicazioni per questioni di questo tipo, ma nel momento
in cui il reato fosse particolarmente grave (ad esempio qualcosa
che ha a che fare con la pedo-pornografia), le conseguenze per il
proprietario dell'account sarebbero spiacevoli (per usare un
eufemismo), soprattutto se il proprietario è totalmente ignaro di
tutto.
E tutto per una password debole.
Questo passaggio mi era sfuggito completamente, però continuo a pensare che sia meglio impedire subito l'inserimento di pass deboli invece che far fare tutta la trafila. |
| karplus |
Se permettete un leggero ottino vi racconto un episodio analogo: un giorno arrivo bel bello in silab x un esame. Sono in anticipo, mi loggo e mi dice di contattare l'admin.
Ok vado dal tutor, mentre smanetto leggo "max size quota exceeded", strano penso, mi pareva di avere un 3/4mb. Me lo riattivano e vado a farmi l'esame. E per fortuna che i tutor ci sono sempre, sennò nada esame.
Dopo qualche gg torno e controllo lo spazio libero: 3 mega e rotti.
Dopo qualche altro giorno torno, mi riloggo, user disabilitata. Vado dal tutor e leggo la stessa cosa sul monitor, alchè glielo dico, non é la prima volta che succede e cmq avevano ancora quei 3mb liberi. Aldilà del "libera un po' di spazio" non sanno spiegarmi perchè sia successo 2 volte sta cosa.
Ora questa domanda la giro a voi: se il limite già di x sè esiguo di 20mb, é effettivamente 20mb, com'è che a 16mb di spazio occupato l'account viene disabilitato?
Tra l'altro ho notato che in z: ci sono un po' di cartelle di profili, solo che non vengono usate. Occupano spazio e obbligano cmq a saltare tutte le volte i wizard, impostare proxy ecc...
pps a voler essere cattivi una volta mi ero chiesto il senso di avere winamp, itunes e windows media player tutti e 3 nello stesso pc :D |
| Polsy |
Originally posted by karplus
Se permettete un leggero ottino vi racconto un episodio analogo: un giorno arrivo bel bello in silab x un esame. Sono in anticipo, mi loggo e mi dice di contattare l'admin.
Ok vado dal tutor, mentre smanetto leggo "max size quota exceeded", strano penso, mi pareva di avere un 3/4mb. Me lo riattivano e vado a farmi l'esame. E per fortuna che i tutor ci sono sempre, sennò nada esame.
Dopo qualche gg torno e controllo lo spazio libero: 3 mega e rotti.
Dopo qualche altro giorno torno, mi riloggo, user disabilitata. Vado dal tutor e leggo la stessa cosa sul monitor, alchè glielo dico, non é la prima volta che succede e cmq avevano ancora quei 3mb liberi. Aldilà del "libera un po' di spazio" non sanno spiegarmi perchè sia successo 2 volte sta cosa.
Ora questa domanda la giro a voi: se il limite già di x sè esiguo di 20mb, é effettivamente 20mb, com'è che a 16mb di spazio occupato l'account viene disabilitato?
Tra l'altro ho notato che in z: ci sono un po' di cartelle di profili, solo che non vengono usate. Occupano spazio e obbligano cmq a saltare tutte le volte i wizard, impostare proxy ecc...
pps a voler essere cattivi una volta mi ero chiesto il senso di avere winamp, itunes e windows media player tutti e 3 nello stesso pc :D
io sapevo che il limite era 15M |
| karplus |
ma l'hd virtuale é da 20mb!! :?
Infatti la seconda volta ho controllato apposta e avevo 3 e rotti mb liberi.
Quindi abbiamo un hd da 20mb e possiamo usarne solo 15? |
| mt661588 |
Ciao a tutti, non voglio polemizzare sulle password, assolutamente, però io sono arrivato in uni la bellezza di 3 anni fa, e già allora (se non sbaglio) c'era un elenco di pwd deboli e non mi sembra che siano cambiati quei fogli (può essere anche che non siano delle pwd vere ma solo inventate alla fine sono solo dei nomi comuni e le parole più utilizzate "nel campo dell'informatica"), quindi a mio parere se uno usa una di quelle pwd mi sembra che sia un po stupido, poi cmq siamo in un dipartimento di informatica, mi sembra il minimo un po di sicurezza. In ogni caso se qualcuno si vede scritta la propria pwd in un foglio appeso in silab per la buona volontà di chi lavora in sala macchine, ci pensi bene prima di cominciare a rompere le scatole, perchè se capita lo studente smanettone che si fa girare in silab un programmino in un linguaggio che gli pare che gli permette di craccare la pwd di un qualsiasi utente, non so quanto sia bello.
Un'altra cosa ho letto nei post precedenti una persona che ha scritto se io mi chiamo pincopallo e metto come pwd pincopallo1 che problema cè? la mia risposta è perchè io l'ho già provato a fare e consiglio di farlo: hai mai provato a scrivere su google il tuo nome e cognome oppure la tua matricola? Guarda cosa esce se sei fortunato non ti esce nulla altrimenti trovi un po di dati.
Per quanto riguarda lo spazio della quota disco sono 40Mb in windows e 30Mb in linux, la maggior parte delle volte c'è gente (sono un tutor e capita che mi viene chiesto) che mi dice ma io non ho su nulla è impossibile che ho la memoria piena, e magari facendo un controllo si scopre che c'è la cache di mozilla, firefox e quello che volete che è piena, certe volte non mi accorgo neanche io che la supero, faccio dei controlli e vedo se l'ho superata la cancello a mano. Per chi gli sembrasse esigua la quantità di spazio pensi a quanti studenti siamo, io sono andato più volte in sala macchine e a parte il fatto che stanno finendo i nastri per fare i backup (perchè primo hanno un costo non indifferente, e secondo l'Uni non ha più fondi), tutti quelli che ci sono sono impilati uno sopra l'altro e non sanno più dove metterli.
Spero di aver chiarito un po, questa non vuole essere una polemica. |
| mt661588 |
| Prima che mi dimentico io non conosco la pwd di nessuno ma non penso che anche gli altri tutor si mettano li a cercare di craccare le pwd e farle vedere a tutti. Se poi c'è qualcuno che lo fa penso che una mail in sala macchine non faccia male e verrano presi dei provvedimenti. |
| karplus |
Non voglio contraddirti ma sono stra-iper-mega-arci-sicuro che l'hd virtuale di win é 20mb. Quella della cache é cmq un buon suggerimento che mi era stato dato da un tutor.
Certo che se ci fosse la decenza di impostare sto benedetto proxy su firefox, io e molti faremmo a meno del portablefirefox che si porta via un po' di spazio...
Ho notato che il mozilla profile manager c'è solo nei pc dell'aula sigma, e se cambi pc devi cmq ri-addare il tuo profilo alla lista dei profili.
Quanto alla storia delle pw, io mi sono iscritto a settembre 2004 e ricordo che la mia pw era fra quelle appese :D |
| DeepBlue |
Originally posted by karplus
Certo che se ci fosse la decenza di impostare sto benedetto proxy su firefox, io e molti faremmo a meno del portablefirefox che si porta via un po' di spazio...
:? non ho capito |
| karplus |
Allora, firefox c'è su tutti i pc. Peccato che in nessun pc (non fra quelli che abbia mai usato) é settato il proxy come per ie, quindi se si vuole usare il firefox locale, bisogna impostare il proxy ad ogni login.
Per evitare di rifarlo ogni santissima volte che vado in silab, ho messo nel mio spazio portablefirefox, che si porta un bel po' di spazio. E come me altra gente ho visto. |
| poledrisk85 |
| consiglio linux in silab..almeno nn devi settare ogni volta il proxy! |
| karplus |
| si infatti uso linux quando devo usare il pc x i cavoli miei, ma quando ci sono lab o programmi che ci sono solo sotto win devo usare win... |
| poledrisk85 |
| mi pare che a parte visual studio tutti i prog che ci sono su win ci siano anke su linux(anke se non sono visibili tipo eclipse!) |
| karplus |
credo proprio di si, però ricordo che all'ultimo lab di multimedia volevo usare gimp con linux, figurati se non c'è! E invece, perlomeno fra le icone, non c'era.
beh np, non voglio certo iniziare una diatriba sull'argomento :D:D |
| poledrisk85 |
| basta cercare con la shell di linux...non è poi così difficile..cmq lasciamo stare quest'argomento come dici tu! |
| lbonny |
X mt661588
Ho letto che sei un tutor ed ho la necessità di modificare la mia password del sillab, nn ricordo più la precedente.
Il problema è che non ho la possibilità di venire in via comelico, come faccio?? Spero in una tua risposta.
grazie |
| poledrisk85 |
| in teoria nn si può far cambiare la passwd quindi devi x forza recarti in silab :(! |
| mt661588 |
| Devi x forza passare, noi non possiamo cambiare le pwd alle persone così, questa è la legge che ci è stata imposta, e mi sembra anche giusto tanto i tutor sono li, se poi te lavori ti posso dire di andare al sabato mattina, il silab è aperto fino alle 12, x altro non so cosa dirti |
|
|
|
|
