[Tech] pentesting e italia

Marco Ermini markoer@markoer.org
Lun 19 Giu 2006 12:38:01 CEST 

On 6/17/06, alessio chemeri <alessio.chemeri@gmail.com> wrote:
> ciao Marco,


Ciao,

[...]
> aspetta... stai vedendo la cosa dal lato "amministratore" e non pensi che gli
> utonti se NON VENGONO FORZATI (con le policy specifiche) mettono password
> che definire idiote e' fargli un complimento (hai presente vero la password che
> protegge il pianeta di balle spaziali ehehe)

Beh, adesso è praticamente un obbligo di legge forzarli, con il DPS...
come amministratore devi, in teoria, forzare una policy, qualsiasi
sia. Che poi la policy sia idiota (e ti assicuro, ho visto la policy
di una grande e rinomata società di consulenza Italiana... ti schianti
dalle risate) può pure accadere, ma comunque ormai _non dovrebbero_
più esserci obiettivi interessanti difesi soltanto da password di
parole presenti in un dizionario.


> tutti casi veri
> della serie... 1111 per sicurezza va benissimo "perche' nessuno
> pensera' che sto usandola per la mia posta elettronica"
>
> oppure
>
> 789 e' una password sicura perche' me la ricordo bene dal tastierino
> numerico, e quindi
> TUTTI devono avere questa password perche' almeno se la ricordano (ho
> cambiato i numeri,
> ma purtroppo e' pure questa una frase che mi son sentito dire...)
>
> oppure
>
> chi vuoi che sappia il nome di mia moglie
>
> oppure
>
> il mio numero di casa e' piu' che sicuro.
[...]

Sì lo so benissimo, ho visto per anni fin dai tempi del VAX al Nuovo
Pignone... gli utenti erano obbligati a cambiare la password
mensilmente - la password quindi diventava "121998" a Dicembre 1998,
"011999" A Gennaio 1999, ecc... :-) comunque quello era un sistema
connesso in rete solo con sé stesso e, ripeto, in teoria queste cose
dovrebbero accadere meno.

In ogni caso, un tool di pen-test non dovrebbe assumere
l'imbecillaggine dell'utente :-) o, per lo meno, dovrebbe per lo meno
essere configurabile in questo senso.

E comunque, io preferisco altre penetrazioni, se mi passate la scurrilità ;-)


Ciao
-- 
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini

Maggiori informazioni sulla lista flug-tech