una cosa molto simpatica

[Hador]

la mia era una domanda retorica. Il meccanismo delle password è un meccanismo concettualmente sicuro, a meno che non ci siano falle enormi nei protocolli di sicurezza (roba tipo il WEP o il salvare la roba in chiaro sui DB) con un paio di accorgimenti demenziali (bloccare l'account dopo n tentativi sbagliati o forzare il cambio pass ogni tot) il meccanismo è a prova di bomba. Una password anche solo di 4 caratteri con 3 tentativi alla volta non la beccherai mai, è per questo che a me gli authenticator paiono un ufficio complicazione affari semplici. Anche se un impiegato blizzard si facesse un dump del db con le password se sono criptate non ci fa un cazzo (le password vengono criptate con funzioni unidirezionali, non puoi risalire all'originale se hai la versione criptata, il matching viene fatto ogni volta criptando la chiave immessa e confrontandola col db, non decriptando quella salvata).

Certo, se poi uno usa la stessa password per mail, banca, bnet e youporn e la inserisce in siti a caso non c'è niente da fare... li l'authenticator ti serve per tamponare l'idiozia della persona. Stesso discorso vale nel caso in cui uno salvi le CC in chiaro o con algoritmi bucati da 20 anni.

[Randolk]

l'authenticator non è altro che uno dei tanti token per strong authentication.
non puoi pensare di bloccare l'account dopo 3 tentativi con 10 milioni di utenti, hador. sii realistico.
altrimenti dovrebbero dotarsi di un call center di 1000 cinesi adibiti solo allo sblocco account.

[yuzzolo]

l'authenticator non è altro che uno dei tanti token per strong authentication.
non puoi pensare di bloccare l'account dopo 3 tentativi con 10 milioni di utenti, hador. sii realistico.
altrimenti dovrebbero dotarsi di un call center di 1000 cinesi adibiti solo allo sblocco account.

Basta mettere lo sblocco automatico dopo 5 minuti... ed eviti il call center.

[powerdegre]

la mia era una domanda retorica. Il meccanismo delle password è un meccanismo concettualmente sicuro, a meno che non ci siano falle enormi nei protocolli di sicurezza (roba tipo il WEP o il salvare la roba in chiaro sui DB) con un paio di accorgimenti demenziali (bloccare l'account dopo n tentativi sbagliati o forzare il cambio pass ogni tot) il meccanismo è a prova di bomba. Una password anche solo di 4 caratteri con 3 tentativi alla volta non la beccherai mai, è per questo che a me gli authenticator paiono un ufficio complicazione affari semplici. Anche se un impiegato blizzard si facesse un dump del db con le password se sono criptate non ci fa un cazzo (le password vengono criptate con funzioni unidirezionali, non puoi risalire all'originale se hai la versione criptata, il matching viene fatto ogni volta criptando la chiave immessa e confrontandola col db, non decriptando quella salvata).

Certo, se poi uno usa la stessa password per mail, banca, bnet e youporn e la inserisce in siti a caso non c'è niente da fare... li l'authenticator ti serve per tamponare l'idiozia della persona. Stesso discorso vale nel caso in cui uno salvi le CC in chiaro o con algoritmi bucati da 20 anni.

Concordo, sono idee completamente demenziali.

[Randolk]

Basta mettere lo sblocco automatico dopo 5 minuti... ed eviti il call center.

certo, perchè se uno ha l'account bloccato anche solo 5 minuti non chiama il call center.
ma poi non c'è granchè da discutere eh. la politica di strong auth è enormemente e largamente diffusa.
oppure tutti gli istituti di credito che hanno dotato i loro clienti di una RSA card sono una manica di coglioni?

[Sturm]

Lo sblocco automatico ogni 5 minuti,ma prestami il gomito va

[Kahvirel]

la mia era una domanda retorica. Il meccanismo delle password è un meccanismo concettualmente sicuro, a meno che non ci siano falle enormi nei protocolli di sicurezza (roba tipo il WEP o il salvare la roba in chiaro sui DB) con un paio di accorgimenti demenziali (bloccare l'account dopo n tentativi sbagliati o forzare il cambio pass ogni tot) il meccanismo è a prova di bomba. Una password anche solo di 4 caratteri con 3 tentativi alla volta non la beccherai mai, è per questo che a me gli authenticator paiono un ufficio complicazione affari semplici. Anche se un impiegato blizzard si facesse un dump del db con le password se sono criptate non ci fa un cazzo (le password vengono criptate con funzioni unidirezionali, non puoi risalire all'originale se hai la versione criptata, il matching viene fatto ogni volta criptando la chiave immessa e confrontandola col db, non decriptando quella salvata).

Certo, se poi uno usa la stessa password per mail, banca, bnet e youporn e la inserisce in siti a caso non c'è niente da fare... li l'authenticator ti serve per tamponare l'idiozia della persona. Stesso discorso vale nel caso in cui uno salvi le CC in chiaro o con algoritmi bucati da 20 anni.

Parlavo di un'altra roba, che la pass manco la vede/gli interessa.
Nvm.

[yuzzolo]

certo, perchè se uno ha l'account bloccato anche solo 5 minuti non chiama il call center.
ma poi non c'è granchè da discutere eh. la politica di strong auth è enormemente e largamente diffusa.
oppure tutti gli istituti di credito che hanno dotato i loro clienti di una RSA card sono una manica di coglioni?

Non ho detto che è sbagliato l'OTP dico che puoi evitare di sbloccare a mano gli account...

[Randolk]

Non ho detto che è sbagliato l'OTP dico che puoi evitare di sbloccare a mano gli account...

è una cagata.
fotonica.

[yuzzolo]

è una cagata.
fotonica.

ROFL effettivamente di queste problematiche non ci capisco un cazzo...

[Faz]

Ma secondo me il punto è un'altro, questi la pass nn la sbagliano, mettono user e pass giusta al primo accesso.
Mi spiace proprio ma a chi capitano queste cose ha fatto (lui o chi x lui) qualche cagata sul suo client.

[Faz]

è una cagata.
fotonica.

Cioè quindi secondo te nn posso configurare una policy che mi scatena una acl all'interno di un sistema???

Su dai....Rand!!!

[Randolk]

Cioè quindi secondo te nn posso configurare una policy che mi scatena una acl all'interno di un sistema???

Su dai....Rand!!!

ma di che cazzo stai parlando
ste uscite da guru onetime random mi ammazzano
btw non è il thread giusto per parlarne

[Faz]

ma di che cazzo stai parlando

Appunto io lo so di che cosa sto parlando ma tu???

Non è questione di esser guru ma qui nn sapete chi vi risponde cosa fa effettivamente nella vita, oltre a giocare a D3
Quindi dire che è una cosa è una cagata fotonica, ossia sparare una sentenza, quando nn si ha nozione di cosa si sta parlando mi manda sempre fuori di testa.

Tutto qui senza flame esenza incazzature

[Odyen]

raga diablo vi e ci sta facendo veramente male a tutti.