i miei 2 cent sulle password e 2 cent su 2FA … [scusate un po’ di parte]:
https://www.linkedin.com/pulse/change-your-password-said-sandro-fontana/ https://www.linkedin.com/pulse/two-factor-authentication-coming-sandro-fontana/ Sandro Fontana, mobile: +39 335 8125031 skype/twitter: sinetqnlap http://www.linkedin.com/in/sfontana > Il giorno 10 ott 2019, alle ore 17:45, [email protected] ha scritto: > > Ciao! > > per quanto riguarda la scadenza delle password (ed il conseguente rinnovo > ogni n gioni/mesi/settimane) una fonte attendibile sull'argomento è > Microsoft, che nel Security Baseline Draft di Windows 10 v1903 ne parla > piuttosto approfonditamente: > > https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ > > Per quanto riguarda del materiale sull'argomento e su come esporlo ad un > pubblico di non addetti ai lavori, mi sento di consigliarti (avendolo fatto n > volte in aziende diverse) di far comprendere loro la responsabilità > diretta/personale che deriva da una non corretta gestione delle credenziali. > A livello di materiale, spesso video divertenti inerenti all'argomento (che > tu ci creda o no, Jessica Fletcher è una risorsa decisamente interessante > sull'argomento password) che spezzino le spiegazioni e che supportino e/o > riguardino quello di cui stai parlando in quel momento aiutano a mantenere la > concentrazione su di te. > > Ultimo, ma non per importanza, ti sconsiglierei di utilizzare la classica > vignetta di XKCD[1] in merito alle password ed alla loro complessità: dal mio > punto di vista la via corretta per gestire le password è tramite password > manager (tralasciando la possibilità di usare multi-factor authentication, > già citata e che mi trova d'accordo); preferire frasi (per altro basate sulle > circa 2000 parole che nel 95% dei casi utilizziamo durante la giornata) che > necessitano comunque che l'utente si ricordi dove ha usato quale password > riporta inevitabilmente al riutilizzo della stessa su più servizi oppure alla > loro gestione non corretta (es: file excel con tutte le credenziali). > > Ciao e buona serata! > > [1] https://xkcd.com/936/ > > Lorenzo Nicolodi > > email: [email protected] > > From: italian security mailing list <[email protected]> On Behalf Of Marsala > Sala > Sent: 10 October 2019 17:12 > To: [email protected] > Subject: Re: Consiglio per corso sicurezza dipendenti > > Si di articoli contro il cambio di password ne ho sentiti e letti pure io. > Ma io non concordo, l'errore più umano e comune è scrivere le password o > stamparle e poi dimenticare quel biglietto. Poi se faccio pulizie butto via > pezzi di carta e pure la mia password e uno che fa doxing che magari trova > tutte le tue referenze piu una password ci tenta e magari è fortunato. Nelle > discariche si trova di tutto e lo spionaggio industriale non è una cosa da > film o un americanata. Le regole di hacking etico o non etico lo trovi > ovunque. E rubare password è la moda del momento. Mi piace la filosofia ti do > la pass e tu la cambi ma a lunghezza specifica e con simboli. > Fare social engineering con una banca è dura con double authentication dopo > Mitnick. Ora con sta cosa che dall'app devi immetti utente pass e poi ti > fanno la finta chiamata inserendo il numero lo trovo diabolico.... E se uno > perde il telefono? E lo trovo con pass salvate chiamo immetto il codice? Era > meglio il gioco di memoria a 12 cifre. > Saluti > > Il gio 10 ott 2019, 16:45 roberto diana <[email protected]> ha scritto: >> Ciao >> >> Il giorno gio 10 ott 2019 alle ore 14:31 Marsala Sala >> <[email protected]> ha scritto: >> <cut> >>> usare password uguali per ogni sito e di fare il logout. Puoi parlare dell >>> MITM e del http e https. E perché sono importanti due chiavi di >>> autenticazione e il cambio di password spesso. >> <cut> >> >> io sapevo che cambiare spesso la password non era una bestpratics in >> termini di sicurezza confermate ? Sto cercando un pò di risorse che avevo >> letto ma non le trovo .... >> >> > > -- > Questo messaggio e' stato analizzato con Libra ESVA ed e' risultato non > infetto. > Clicca qui per segnalarlo come spam. > Clicca qui per metterlo in blacklist >
