[Samba-it] check password script: ideona?
Marco Gaiarin
gaio at sv.lnf.it
Wed Oct 10 01:48:26 MDT 2007
Ieri sera sono stato folgorato da una idea mistica.
Ho implementato le policy per cui la gente è costretta a cambiarsi le
pass ogni tre mesi (trattiamo dati sanitari, quindi sensibili) e ho
imposto la lunghezza minima a 8 caratteri e il password history a 5,
oltre ad aver distribuito materiale informativo in cui davo delle
indicazioni su come scegliere una buona password (le solite).
Ma con queste limitazioni la gente continua a scegliersi come password
la login 'numeric padded', con il numero che cambia (ovviamente,
incrementato di uno). ;(
Solo so che so che se abilito un check delle password 'brutale'
(rifiuto della password semplice) verrò definitivamente scuoiato e
crocefisso in sala mensa.
Pensavo a un approccio più subdolo, ovvero il check password script non
da una risposta si/no, ma un punteggio (sia da 0 a 10) di robustezza
della password, e se questo punteggio non è sufficiente (da 0 a 6)
allora modulo la durata della password in base al punteggio (con
minimo una settimana, per evitare il terrorismo ;).
Ovvero, se la pass fa schifo, punteggio 0, la pass dura una settimana.
Se la pass è buona (da 6 in su), dura tre mesi.
Il tutto ovviamente condito da mail informativa, se la password ha un
punteggio insufficiente.
Il problema è che... ho cercato dappertutto e non ho trovato nessun
riferimento a un algoritmo di verifica delle password, solo dei siti
dove è possibile testarla e/o dei paper relativi ad applicazioni
commerciali (esempio: lotus domino).
Qualcuno sa aiutarmi?
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
More information about the samba-it
mailing list