<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 2 Jul 2020, at 15:59, Fabrizio Paolini via Gulli <<a href="mailto:gulli@lists.linux.it" class="">gulli@lists.linux.it</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Capisco, parlavi di una giustificazione ma non l'hai data (sono curioso)</div></div></blockquote><div><br class=""></div><div>Perché sono pigro. C’è un post non ricordo se sul sito di mailman o sugli archivi di una delle lists.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><br class=""></div><div class="">Domanda della quale so già la risposta (è palese) quindi le password degli utenti normali "storate" nel server mailman sono in chiaro? <br class=""></div></div></div></blockquote><div><br class=""></div><div>Ovviamente sì.</div><div>Considera che la quasi totalità sono generate automaticamente, e quindi uniche.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Il discorso di una password diversa per ogni servizio andava bene nel periodo da te citato, hai mai contato quante password usiamo sul lavoro e quante di esse sono condivise con i colleghi e quante per scopi personali ? Ho fatto un rapido calcolo delle prime e ne ho contate più di 20 molte delle quali scadono ogni 30 giorni. </div></div></div></blockquote><div><br class=""></div><div>È esattamente l’opposto: proprio ora che i servizi sono molteplici è fondamentale avere password distinte per ciascuno (e anche indirizzi email differenziati) per diminuire l’impatto potenziale delle violazioni dei servizi.</div><div>Nota che le password con scadenza erano una puttanata già vent’anni fa, e finalmente anche il suo promotore - che aveva una reputazione enorme e anche meritata - qualche anno fa ha riconosciuto che fanno solo danni.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Posso anche mettere la mie password su un servizio on line (o su smart phone) di password managing (anche se preferisco usare 4/5 password per tutti i servizi prima di averne una che permette di vederle tutte e/o di perderle tutte se dimenticata)  ma non metterei mai la password collegata direttamente all'utenza del presidente dell'azienda che permetterebbe di lavorare in tutto e per tutto a suo nome su servizi cruciali (ebbene si ce ne sono molti che ancora non richiedono la smart card)</div></div></div></blockquote><div><br class=""></div><div>Infatti ti ho parlato esplicitamente di keepass, che non ti obbliga a legarti a un servizio online. Che comunque è ordini di grandezza più sicuro rispetto a condividere la password con più servizi.</div><div>Generi la password direttamente dentro l’applicazione, per ogni nuovo servizio a cui ti iscrivi. La generi della massima complessità permessa dal servizio (buona fortuna con quelli italiani, che nel 2020 riesco ancora a rompere grazie al mio cognome), non hai bisogno di vederla mai né ovviamente di conoscerla.</div><div>E sì, se c’è un posto in cui conservare password critiche è proprio quello. Anche se, ovviamente, quando si tratta di secret per servizi interni servono altri strumenti. Ma stiamo parlando di password personali, e se tu hai la password del presidente dell’azienda significa che l’azienda ha almeno due problemi critici (e quasi certamente viola il GDPR).</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Cmq le password sono superate, per le cose serie si usa l'autenticazione in due fattori</div></div></div></blockquote><div><br class=""></div><div>Appunto, due fattori:</div><div>1 - password (e per un po’ non ci sarà alternativa)</div><div>2 - app, token hardware, per le banche e i masochisti gli SMS</div><div><br class=""></div><div>Chiudendo, è sorprendente un modo di pensare di questo tipo, dopo tutta la letteratura sull’argomento che è stata resa disponibile negli ultimi 10/15 anni. Sia riguardo la condivisione delle password tra servizi, sia nell’uso di un password manager. Su questo le community che si occupano di security sono unanimi (come anche sull’uso di token hardware come strumento fondamentale, ma al riguardo le resistenze sono forti soprattutto ai gestori dei servizi che vogliono mantenere engagement anche costringendoti a usare la loro app come secondo fattore di autenticazione).</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Saluti </div></div></div></blockquote><div><br class=""></div><div>Ciao</div><div>Andrea</div><br class=""><blockquote type="cite" class=""><div class=""><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il giorno gio 2 lug 2020 alle ore 15:20 Andrea Dell'Amico via Gulli <<a href="mailto:gulli@lists.linux.it" class="">gulli@lists.linux.it</a>> ha scritto:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;" class="">È il comportamento standard i mailman 2 da sempre, e c’è una giustificazione.<div class=""><br class=""></div><div class="">Puoi evitare che il reminder ti venga spedito, disattivandolo nelle preferenze del tuo utente.</div><div class=""><br class=""></div><div class="">Inoltre 'Come penso tutti (e forse io abbondo un po') ho 4 o 5 password che utilizzo per i servizi’ forse poteva essere vero negli anni ’90 (i primi anni ’90, prima dell’avvento dell’internet commerciale): dovresti avere una password differente per ciascun servizio e usare un password manager - se non vuoi un servizio esterno, keepass funziona molto bene ed esistono versioni per qualunque sistema. In questo modo avrai bisogno di ricordare al più due password: quella del tuo desktop e quella del password manager (e quella del password manager può essere sostituita con un keyfile).</div><div class=""><br class=""></div><div class="">Ciao</div><div class="">Andrea</div><div class=""><div class=""><br class=""><blockquote type="cite" class=""><div class="">On 2 Jul 2020, at 11:26, Fabrizio Paolini via Gulli <<a href="mailto:gulli@lists.linux.it" target="_blank" class="">gulli@lists.linux.it</a>> wrote:</div><br class=""><div class=""><div dir="ltr" class="">Buongiorno,<div class="">sono iscritto alla lista da tanti anni e devo essere sincero ho sempre cestinato senza ritegno tutti "i promemoria per gli iscritti", oggi ne ho aperto uno per errore e che vi trovo alla fine?</div><div class=""><br class=""></div><div class="">[Citazione]</div><div class="">Se hai domande, problemi, commenti, ecc., inviali a<br class=""><a href="mailto:mailman-owner@lists.linux.it" target="_blank" class="">mailman-owner@lists.linux.it</a>. Grazie!<br class=""><br class="">Password per <a href="mailto:fabry.paolini@gmail.com" target="_blank" class="">fabry.paolini@gmail.com</a>:<br class=""><br class=""><br class="">Lista                                    Password // URL<br class="">----                                     -------- <br class=""><a href="mailto:gulli@lists.linux.it" target="_blank" class="">gulli@lists.linux.it</a>                     XXXXXXX<br class=""><a href="https://lists.linux.it/options/gulli/fabry.paolini%40gmail.com" rel="noreferrer" target="_blank" class="">https://lists.linux.it/options/gulli/fabry.paolini%40gmail.com</a><br class=""><div class="">...</div></div><div class="">[/Citazione]</div><div class=""><br class=""></div><div class="">Vi trovo il nome utente e la password in chiaro (che qui ho sostituito con ugual numero di X). Ora la password sicuramente serve per cancellazioni e modifiche e ma deve girare in chiaro tutti i mesi in un promemoria automatico che da informazioni generiche?</div><div class="">Come penso tutti (e forse io abbondo un po') ho 4 o 5 password che utilizzo per i servizi, nello specifico questa password è quella che uso per accedere al mio computer portatile. In ogni caso avere password in chiaro sulla posta elettronica non è mai consigliabile</div><div class=""><br class=""></div><div class="">Vi pregherei se possibile di configurare la lista in modo che non spari password e nomi utente nell'etere.</div><div class=""><br class=""></div><div class="">Saluti</div></div>
-- <br class="">Mailing list info: <a href="https://lists.linux.it/listinfo/gulli" target="_blank" class="">https://lists.linux.it/listinfo/gulli</a><br class="">Pagina web del GULLI: <a href="http://www.linux.livorno.it/" target="_blank" class="">www.linux.livorno.it</a><br class=""></div></blockquote></div><br class=""><div class="">
-- <br class="">Andrea Dell'Amico<br class=""><a href="http://adellam/" target="_blank" class="">http://adellam</a>. <a href="http://sevenseas.org/" target="_blank" class="">sevenseas.org/</a><br class=""><br class=""><br class="">
</div>
<br class=""></div></div>-- <br class="">
Mailing list info: <a href="https://lists.linux.it/listinfo/gulli" rel="noreferrer" target="_blank" class="">https://lists.linux.it/listinfo/gulli</a><br class="">
Pagina web del GULLI: <a href="http://www.linux.livorno.it/" rel="noreferrer" target="_blank" class="">www.linux.livorno.it</a><br class="">
</blockquote></div>
-- <br class="">Mailing list info: <a href="https://lists.linux.it/listinfo/gulli" class="">https://lists.linux.it/listinfo/gulli</a><br class="">Pagina web del GULLI: <a href="http://www.linux.livorno.it" class="">www.linux.livorno.it</a><br class=""></div></blockquote></div><br class=""><div class="">
-- <br class="">Andrea Dell'Amico<br class=""><a href="http://adellam" class="">http://adellam</a>.<a href="http://sevenseas.org/" class="">sevenseas.org/</a><br class=""><br class=""><br class="">
</div>
<br class=""></body></html>