[Gulli] Promemoria per gli iscritti alla lista

Andrea Dell'Amico adellam-lists@sevenseas.org
Ven 3 Lug 2020 22:08:32 CEST 


> On 2 Jul 2020, at 15:59, Fabrizio Paolini via Gulli <gulli@lists.linux.it> wrote:
> 
> Capisco, parlavi di una giustificazione ma non l'hai data (sono curioso)

Perché sono pigro. C’è un post non ricordo se sul sito di mailman o sugli archivi di una delle lists.

> 
> Domanda della quale so già la risposta (è palese) quindi le password degli utenti normali "storate" nel server mailman sono in chiaro?

Ovviamente sì.
Considera che la quasi totalità sono generate automaticamente, e quindi uniche.

> Il discorso di una password diversa per ogni servizio andava bene nel periodo da te citato, hai mai contato quante password usiamo sul lavoro e quante di esse sono condivise con i colleghi e quante per scopi personali ? Ho fatto un rapido calcolo delle prime e ne ho contate più di 20 molte delle quali scadono ogni 30 giorni.

È esattamente l’opposto: proprio ora che i servizi sono molteplici è fondamentale avere password distinte per ciascuno (e anche indirizzi email differenziati) per diminuire l’impatto potenziale delle violazioni dei servizi.
Nota che le password con scadenza erano una puttanata già vent’anni fa, e finalmente anche il suo promotore - che aveva una reputazione enorme e anche meritata - qualche anno fa ha riconosciuto che fanno solo danni.

> Posso anche mettere la mie password su un servizio on line (o su smart phone) di password managing (anche se preferisco usare 4/5 password per tutti i servizi prima di averne una che permette di vederle tutte e/o di perderle tutte se dimenticata)  ma non metterei mai la password collegata direttamente all'utenza del presidente dell'azienda che permetterebbe di lavorare in tutto e per tutto a suo nome su servizi cruciali (ebbene si ce ne sono molti che ancora non richiedono la smart card)

Infatti ti ho parlato esplicitamente di keepass, che non ti obbliga a legarti a un servizio online. Che comunque è ordini di grandezza più sicuro rispetto a condividere la password con più servizi.
Generi la password direttamente dentro l’applicazione, per ogni nuovo servizio a cui ti iscrivi. La generi della massima complessità permessa dal servizio (buona fortuna con quelli italiani, che nel 2020 riesco ancora a rompere grazie al mio cognome), non hai bisogno di vederla mai né ovviamente di conoscerla.
E sì, se c’è un posto in cui conservare password critiche è proprio quello. Anche se, ovviamente, quando si tratta di secret per servizi interni servono altri strumenti. Ma stiamo parlando di password personali, e se tu hai la password del presidente dell’azienda significa che l’azienda ha almeno due problemi critici (e quasi certamente viola il GDPR).

> Cmq le password sono superate, per le cose serie si usa l'autenticazione in due fattori

Appunto, due fattori:
1 - password (e per un po’ non ci sarà alternativa)
2 - app, token hardware, per le banche e i masochisti gli SMS

Chiudendo, è sorprendente un modo di pensare di questo tipo, dopo tutta la letteratura sull’argomento che è stata resa disponibile negli ultimi 10/15 anni. Sia riguardo la condivisione delle password tra servizi, sia nell’uso di un password manager. Su questo le community che si occupano di security sono unanimi (come anche sull’uso di token hardware come strumento fondamentale, ma al riguardo le resistenze sono forti soprattutto ai gestori dei servizi che vogliono mantenere engagement anche costringendoti a usare la loro app come secondo fattore di autenticazione).

> Saluti

Ciao
Andrea

> 
> Il giorno gio 2 lug 2020 alle ore 15:20 Andrea Dell'Amico via Gulli <gulli@lists.linux.it <mailto:gulli@lists.linux.it>> ha scritto:
> È il comportamento standard i mailman 2 da sempre, e c’è una giustificazione.
> 
> Puoi evitare che il reminder ti venga spedito, disattivandolo nelle preferenze del tuo utente.
> 
> Inoltre 'Come penso tutti (e forse io abbondo un po') ho 4 o 5 password che utilizzo per i servizi’ forse poteva essere vero negli anni ’90 (i primi anni ’90, prima dell’avvento dell’internet commerciale): dovresti avere una password differente per ciascun servizio e usare un password manager - se non vuoi un servizio esterno, keepass funziona molto bene ed esistono versioni per qualunque sistema. In questo modo avrai bisogno di ricordare al più due password: quella del tuo desktop e quella del password manager (e quella del password manager può essere sostituita con un keyfile).
> 
> Ciao
> Andrea
> 
>> On 2 Jul 2020, at 11:26, Fabrizio Paolini via Gulli <gulli@lists.linux.it <mailto:gulli@lists.linux.it>> wrote:
>> 
>> Buongiorno,
>> sono iscritto alla lista da tanti anni e devo essere sincero ho sempre cestinato senza ritegno tutti "i promemoria per gli iscritti", oggi ne ho aperto uno per errore e che vi trovo alla fine?
>> 
>> [Citazione]
>> Se hai domande, problemi, commenti, ecc., inviali a
>> mailman-owner@lists.linux.it <mailto:mailman-owner@lists.linux.it>. Grazie!
>> 
>> Password per fabry.paolini@gmail.com <mailto:fabry.paolini@gmail.com>:
>> 
>> 
>> Lista                                    Password // URL
>> ----                                     --------
>> gulli@lists.linux.it <mailto:gulli@lists.linux.it>                     XXXXXXX
>> https://lists.linux.it/options/gulli/fabry.paolini%40gmail.com <https://lists.linux.it/options/gulli/fabry.paolini%40gmail.com>
>> ...
>> [/Citazione]
>> 
>> Vi trovo il nome utente e la password in chiaro (che qui ho sostituito con ugual numero di X). Ora la password sicuramente serve per cancellazioni e modifiche e ma deve girare in chiaro tutti i mesi in un promemoria automatico che da informazioni generiche?
>> Come penso tutti (e forse io abbondo un po') ho 4 o 5 password che utilizzo per i servizi, nello specifico questa password è quella che uso per accedere al mio computer portatile. In ogni caso avere password in chiaro sulla posta elettronica non è mai consigliabile
>> 
>> Vi pregherei se possibile di configurare la lista in modo che non spari password e nomi utente nell'etere.
>> 
>> Saluti
>> --
>> Mailing list info: https://lists.linux.it/listinfo/gulli <https://lists.linux.it/listinfo/gulli>
>> Pagina web del GULLI: www.linux.livorno.it <http://www.linux.livorno.it/>
> 
> --
> Andrea Dell'Amico
> http://adellam <http://adellam/>. sevenseas.org/ <http://sevenseas.org/>
> 
> 
> 
> --
> Mailing list info: https://lists.linux.it/listinfo/gulli <https://lists.linux.it/listinfo/gulli>
> Pagina web del GULLI: www.linux.livorno.it <http://www.linux.livorno.it/>
> --
> Mailing list info: https://lists.linux.it/listinfo/gulli
> Pagina web del GULLI: www.linux.livorno.it

--
Andrea Dell'Amico
http://adellam.sevenseas.org/



-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/gulli/attachments/20200703/a6b7b2e9/attachment.htm>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  659 bytes
Descrizione: Message signed with OpenPGP
URL:         <http://lists.linux.it/pipermail/gulli/attachments/20200703/a6b7b2e9/attachment.sig>

Maggiori informazioni sulla lista Gulli