[Samba-it] check password script: ideona?

Marco Gaiarin gaio at sv.lnf.it
Wed Oct 10 01:48:26 MDT 2007


Ieri sera sono stato folgorato da una idea mistica.

Ho implementato le policy per cui la gente è costretta a cambiarsi le
pass ogni tre mesi (trattiamo dati sanitari, quindi sensibili) e ho
imposto la lunghezza minima a 8 caratteri e il password history a 5,
oltre ad aver distribuito materiale informativo in cui davo delle
indicazioni su come scegliere una buona password (le solite).

Ma con queste limitazioni la gente continua a scegliersi come password
la login 'numeric padded', con il numero che cambia (ovviamente,
incrementato di uno). ;(


Solo so che so che se abilito un check delle password 'brutale'
(rifiuto della password semplice) verrò definitivamente scuoiato e
crocefisso in sala mensa.


Pensavo a un approccio più subdolo, ovvero il check password script non
da una risposta si/no, ma un punteggio (sia da 0 a 10) di robustezza
della password, e se questo punteggio non è sufficiente (da 0 a 6)
allora modulo la durata della password in base al punteggio (con
minimo una settimana, per evitare il terrorismo ;).

Ovvero, se la pass fa schifo, punteggio 0, la pass dura una settimana.
Se la pass è buona (da 6 in su), dura tre mesi.
Il tutto ovviamente condito da mail informativa, se la password ha un
punteggio insufficiente.


Il problema è che... ho cercato dappertutto e non ho trovato nessun
riferimento a un algoritmo di verifica delle password, solo dei siti
dove è possibile testarla e/o dei paper relativi ad applicazioni
commerciali (esempio: lotus domino).


Qualcuno sa aiutarmi?

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  marco.gaiarin(at)sv.lnf.it	  tel +39-0434-842711  fax +39-0434-842797



More information about the samba-it mailing list