[Samba-it] check password script: ideona?

[simo]

On Wed, 2007-10-10 at 09:48 +0200, Marco Gaiarin wrote:
> Ieri sera sono stato folgorato da una idea mistica.
> 
> Ho implementato le policy per cui la gente è costretta a cambiarsi le
> pass ogni tre mesi (trattiamo dati sanitari, quindi sensibili) e ho
> imposto la lunghezza minima a 8 caratteri e il password history a 5,
> oltre ad aver distribuito materiale informativo in cui davo delle
> indicazioni su come scegliere una buona password (le solite).
> 
> Ma con queste limitazioni la gente continua a scegliersi come password
> la login 'numeric padded', con il numero che cambia (ovviamente,
> incrementato di uno). ;(
> 
> 
> Solo so che so che se abilito un check delle password 'brutale'
> (rifiuto della password semplice) verrò definitivamente scuoiato e
> crocefisso in sala mensa.
> 
> 
> Pensavo a un approccio più subdolo, ovvero il check password script non
> da una risposta si/no, ma un punteggio (sia da 0 a 10) di robustezza
> della password, e se questo punteggio non è sufficiente (da 0 a 6)
> allora modulo la durata della password in base al punteggio (con
> minimo una settimana, per evitare il terrorismo ;).
> 
> Ovvero, se la pass fa schifo, punteggio 0, la pass dura una settimana.
> Se la pass è buona (da 6 in su), dura tre mesi.
> Il tutto ovviamente condito da mail informativa, se la password ha un
> punteggio insufficiente.
> 
> 
> Il problema è che... ho cercato dappertutto e non ho trovato nessun
> riferimento a un algoritmo di verifica delle password, solo dei siti
> dove è possibile testarla e/o dei paper relativi ad applicazioni
> commerciali (esempio: lotus domino).
> 
> 
> Qualcuno sa aiutarmi?

ls examples/auth/crackcheck/
(vedi libcrack)

Simo.