 | |
Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum |
[SILAB] Controllo password...
Clicca QUI per vedere il messaggio nel forum |
| nous |
...ma potevano farlo?
Mi spiego meglio : ho visto appeso al gabbiotto un avviso che dice che hanno testato il file delle password di Linux e ne hanno trovato a centinaia.Bene,la mia non c'è di sicuro essendo una permutazione random di caratteri alfanumerici e numerici di lunghezza n.Ma potevano fare il test?Io una volta ho dovuto farlo sul lavoro,e ho dovuto far firmare una tonnellata di carte varie e (se non ricordo male) avvisare tutti che in seguito al controllo era consigliabile cambiare la password.
Qua han fatto tranquillamente...nessun problema per l'amor del cielo,solo curiosità. |
| 0m4r |
io quegli avvisi non li ho mai visti.
cmq piacerebbe sapere anche a me se sta cosa è "legale", nessun problema nemmeno da parte mai, tanto il in silab navigo e basta, nn ci archivio i segreti di stato ;P |
| Mino |
non è la prima volta che qualcuno fa ciò in silab :asd:
e non ha molto senso neppure "la mia non c'è di sicuro essendo una permutazione random di caratteri alfanumerici e numerici di lunghezza n" tranquillo |
| korn |
| io non mi preoccuperei, tuttavia se trovo qualcosa di sbagliato nel mio account vado a beccare quello che ha fatto il controllo e gli dico due paroline :twisted: |
| URANIO |
Be non mi sembra una tragedia ...è già successo ed è bene che lo facciano!
Tanto se la tua è sicura non la sanno di certo, e se non lo era il tuo account è stato disabilitato :D |
| nous |
Originally posted by URANIO
Be non mi sembra una tragedia ...è già successo ed è bene che lo facciano!
Tanto se la tua è sicura non la sanno di certo, e se non lo era il tuo account è stato disabilitato :D
Ok ma la domanda non è se è una tragedia o no (oddio,i miei appunti di economia!!) bensì se si può o meno. |
| URANIO |
Originally posted by nous
Io una volta ho dovuto farlo sul lavoro,e ho dovuto far firmare una tonnellata di carte varie e (se non ricordo male) avvisare tutti che in seguito al controllo era consigliabile cambiare la password.
..perchè era consigliabile cambiare password? |
| nous |
| Perchè dopo il controllo si presuppone che io avendole viste le sapessi.Inoltre con me c'era anche il mio capo,ergo 2 persone erano già a conoscenza delle password.E nel caso di una multinazionale non è bello che si sappiano password di presidenti e simili.Sarà stato eccesso di zelo da parte mia,ma meglio eccedere oggi che piangerci sopra dopodomani. |
| lord2y |
| Per quel che ne so fanno girare il jhon the ripper sul passwd ogni 6 mesi e mettono in black list gli utenti con password debole....Che abbiano l'autorità di farlo o meno: credo di si visto che ti avvisano nel libretto che ti danno all'iscrizione ;) |
| URANIO |
Originally posted by nous
Perchè dopo il controllo si presuppone che io avendole viste le sapessi.Inoltre con me c'era anche il mio capo,ergo 2 persone erano già a conoscenza delle password.E nel caso di una multinazionale non è bello che si sappiano password di presidenti e simili.Sarà stato eccesso di zelo da parte mia,ma meglio eccedere oggi che piangerci sopra dopodomani.
...potevate fare uno scriptino che controlla e se le trova disabilita l'account automaticamente senza visione di essere umano! |
| nous |
| Si,e poi la riabilitazione la si faceva a mano...considerando la dimensione dell'azienda,il numero di password scoperte ci voleva un sacco di tempo.E se disabilito l'utente che si occupa di gestione ordini , e il sistemista non è in azienda (quindi non può riabilitare l'utente) l'azienda che fa,fallisce? |
| fozzy |
in silab che io sappia é cosí...
come nella maggior parte dei posti... la password in chiaro NON deve essere visibile...
Se é visibile licenziate il responsabile dei sistemi.. |
| Virgo |
Non penso si possa fare tranne appunto che non sia esplicitamente indicato. Questo anche perche' dalla password e' possibile in alcuni casi capire le abitudini sessuali e personali di una persona e quindi penso si vada contro la privacy.....
Tutto questo IMHO :)
Ciao ciao |
| Sephirot |
non ho ben capito perchè lo fanno...
per vedere se la mia pass è debole? |
| lord2y |
Originally posted by Sephirot
non ho ben capito perchè lo fanno...
per vedere se la mia pass è debole?
creati un account con la stessa password su una tua macchina linux, scarichi il jhon the ripper e lo fai girare su quell'utente...Vedi in quanti gg, minuti, secondi ti gama la password...Poi giudicane tu la debolezza :asd: |
| joker402 |
Oggi in silab ho faticato ad accedere col mio account (ho dovuto provare 4 pc), e per il dubbio sono andato al gabbiotto, dove vedo appeso un avviso per gli studenti...
guardo e leggo bene... :shock:
praticamente diceva che hanno usato jhon the ripper 1.6 sul file delle password, e che ne hanno trovate un tot in tot minuti e più di 200 nel w-e. La parte in mezzo non l'ho letta perchè il mio occhio è andato più giù: "di seguito ci sono alcune delle password più semplici che abbiamo trovato" seguiva un elenco di una ventina di parole (del tipo roberto2, giada, marco, password, michele21, ecc...). [verificato di persona che erano le vere pwd di qualcuno]
Io dico, ma come cazzo si permettono?
A prescindere dal fatto che se uno sceglie certe password ha come minimo sbagliato facoltà, il fatto di aver scritto ed appeso una cosa simile è gravissimo ed intollerabile.
A questo fatto poi possiamo aggiungere che se uno ha un nome insolito come che so 'romeo' o 'gianenrico' e uno legge su quel foglio 'romeo3', non tarda ad associare la password alla persona. E se quello ha usato quella pwd anche per la sua posta e tutto il resto? E anche se uno poi la pwd per il silab l'ha cambiata e quella era quella vecchia? si può sempre provare con quella pwd su altre sue cose...
Per me quelli del silab non hanno il diritto di fare una cosa simile. neanche se l'utente è stupido o se dopo gli hanno disattivato l'account.
p.s.:Il foglio che ho letto non era datato, ma non credo sia fuori da molto. Purtroppo non ho potuto fare una foto, sennò la postavo. Comunque vi invito a verificare. |
| fozzy |
Se le password non vengono associate ad un nome direi che hanno tutti i diritti di farlo, anzi, meglio così che non dire nulla..
Se poi qualcuno pensa che se non gli dicono nulla vive meglio.. beh.. potrebbe essere un gran brutto risveglio. |
| Lord_Tom |
Secondo me questo eccesso nel controllare le password è esagerato, ma chissà! di questi tempi...
potrebbe esserci un infiltrato di Al Qaeda in mezzo a noi |
| ElEtAbbOZ |
Originally posted by fozzy
Se le password non vengono associate ad un nome direi che hanno tutti i diritti di farlo, anzi, meglio così che non dire nulla..
Se poi qualcuno pensa che se non gli dicono nulla vive meglio.. beh.. potrebbe essere un gran brutto risveglio.
queste password corrispondevano a nomi propri o a date di nascita [e altre parole]. Come dice Joker, se c'è una password gianaugusto, non è difficile capire che quella è la pass del gianaugusto che c'è nel proprio corso. e poi anche se non c'è accanto l'username non è difficile recuperare i numeri di matricola. Cmq avrebbero potuto trovare altri modi per comunicare agni interessati che la loro pass è debole. |
| Cr34t|v3 |
In realta john vien fatto girare ogni settimana circa, visto che il file di passwd non e' shadow (per problemi di autenticazione in NIS) e' in chiaro a tutti, e chiunque potrebbe copiarlo e crackarlo a casa propia... poi venire in lab e fare dei casini agli utenti.
John provvede a disabilitare gli utenti crackati per passwd debole.
La sicurezza non e' il massimo in silab...
provare per credere.. http://www.openwall.com/john/ |
| korn |
Originally posted by joker402
Io dico, ma come cazzo si permettono? [..]
A questo fatto poi possiamo aggiungere che se uno ha un nome insolito come che so 'romeo' o 'gianenrico' e uno legge su quel foglio 'romeo3', non tarda ad associare la password alla persona. E se quello ha usato quella pwd anche per la sua posta e tutto il resto?
Esatto.
E poi non accetto critiche sulle password da chi mi assegna uno stupido pin di 4 cifre per una console dalla quale si controllano gli aspetti più importanti del corso di studi.
Va bene testare il livello di sicurezza delle password e obbligare i singoli utenti a cambiarla se non è sufficiente, va bene appendere avvisi ma elencare le password penso non sia nemmeno legale, perché se tra quelle ci fosse una password riconducibile ad una persona che conosco e di cui conosco le abitudini non mi ci vorrebbe molto ad associarla. |
| fozzy |
ripeto secondo me se è uno è così furbo da mettere il proprio nome come password merita di averla esposta.
E poi cosa te ne fai tanto è disabilitata.. Qualuno potrebbe averla usata pure per la posta? meglio ancora magari capisce che è seriamente il caso di cambiarla..
Visto che scrivere nelle istruzioni di non usare password banali non è servito le espongono..
Non ci vedo assolutamente un male in tutto ciò, anzi...
PS: Il pin del SIFA non viene assegnato in SiLab... |
| korn |
Originally posted by fozzy
PS: Il pin del SIFA non viene assegnato in SiLab...
Ma il Silab è parte dell'università, e se l'organizzazione è fuffa a monte non accetto che si facciano le pulci a noi.
Altra cosa: l'aula delta fa parte del Silab? Chiedo perché una volta a lezione ho visto scritto nella console di login di una delle macchine "MasterUser" come utente, e mi ci è voluto un attimo per indovinare la password e accedere come AMMINISTRATORE.
Tra l'altro quell'aula è in rete con il Garr, quindi pensa a cosa avrei potuto fare se fossi stato un pò più stronzo (invece ho semplicemente fatto logoff e sono rientrato come utente fuffa). |
|
|
|
|
