Scadenza password: come fare

[Firestart]

mah, se proprio uno ha problemi a cambiare spesso password, basta fare come faccio io che sono pigro e smemorato: ho cambiato la password, come da richiesta, poi sono entrato nel mio profilo e ho ricambiato la password rimettendo la mia solita precedente, tutto qui.

ovviamente liberissimi di fare questo... solo che questo annulla completamente il vantaggio del cambio password, mantenendone comunque parte degli svantaggi. A questo punto, se la maggior parte degli utenti si ritrovasse a utilizzare uno stratagemma come questo per "aggirare il problema", bisognerebbe davvero chiedersi se non sarebbe stato più sensato lasciare tutto come prima, lasciando a chiunque la responsabilità sulla manutenzione delle proprie password...

[lupoal]

ma infatti mi piacerebbe sapere a chi potrebbe fregargliene se gli prendono i dati nel forum... io nel mio profilo personale non ho inserito niente di niente, che ci trovano di utile?

boh... spero le motivazioni di fondo siano be diverse

@1251 ... senza fare tanti giri ti bastava digitare tre volte la tua solita psw direttamente nella prima schermata di richiesta ed eri a posto

[stazzatleta]

Io sono dell'idea che si questioni sempre per nulla.
Altrove avreste visto comparire al login, "devi cambiare la PWD per effettuare il login, ricordati che ogni 90 giorni dovrai inserirne una nuova". punto.
Magicamente nessuno si sarebbe lamentato.

Nel nostro caso Emidio ha voluto fornire ulteriori spiegazione e lasciare una porta aperta a chi avesse avuto difficoltà nel farlo.

Il risultato è che ognuno vorrebbe il forum personalizzato magari chi con scadenza ad ore e chi addirittura senza PWD.

L'amministratore ed il suo staff tecnico, hanno ritenuto opportuno inserire questa formula per tutelare in miglior modo l'utente, che ogni 3 mesi avrà l'onere di doversi inventare una PWD nuova.

[cinemaniaco]

Si anche sei mesi non sarebbe male, già ho un intera agenda strapiena di password che devo nascondere non si sa dove.
Inoltre credo che poi ognuno abbia il diritto di avere la propria dose di responsabilità. Insomma siam grandi per fumare e sapere che ci viene il cancro vorrà dire che lo saremo anche sul cambio password dopo i sei mesi

[antani]

Non vedo l'utilità di un cambio password per un forum, 3 o 6 mesi non fa differenza.
Questo sito non è una banca, non ho codici segreti, non mi rubano nulla, il rischio collegato all'hacking della password è pertanto bassissimo.
Faccio presente che io sono stato oggetto di un furto d'identità proprio su AVM, cioè un pazzo è riuscito ad entrare nel mio profilo e ha cambiato la password. La cosa si è risolta grazie ad un pronto intervento dei moderatori, ma come vedete sono ancora vivo e vegeto.

O forse non sono più io a scrivere, ma un alieno con il mio nick, in stile invasione degli ultracorpi .

[antani]

Aggiungo che in nessun forum a cui io sono iscritto mi richiedono il cambio password, quindi immagino che questa fantastica funzionalità di vbulletin non sia molto utilizzata.

Piuttosto ritengo utile una regola che imponga una certa complessità della password. La password che mi hanno hackerato era effettivamente troppo semplice.

[antani]

Estiquatsi non cambi la password da quando sei nato ?

[FabrizioA]

comunque temo di aver capito, ci sarà la solita leggina del ***** italiana che assimila la sicurezza del trattamento dati di un sito come questo a quella necessaria/richiesta ad una banca (o simili)... e così l'Emidio è obbligato a gestire/implementare/attivare sto tormento pena andare lui nei casini in prima persona

In effetti la legge sulla privacy attuale non fà distinzioni tra una banca e questo sito , è "il mercato" che fà applicare una maggiore sicurezza alla banca , tu depositeresti i tuoi soldi in una banca facilmente hackerabile ?

[FabrizioA]

Faccio presente che io sono stato oggetto di un furto d'identità proprio su AVM, cioè un pazzo è riuscito ad entrare nel mio profilo e ha cambiato la password. La cosa si è risolta grazie ad un pronto intervento dei moderatori, ma come vedete sono ancora vivo e vegeto.

Non conosco l'episodio e non conosco le motivazioni di tale attacco , ma immagina cosa succede se il tizio in questione si mette a fare annucci sul mercatino a tuo nome facendosi pagare per non inviare i materiali oppure si mette a denigrare un operatore od una marca , la prima persona che vengono a cercare sei tu , è comunque una rottura di scatole.

[FabrizioA]

In buona sostanza, facendovi cambiare la password ogni 90 giorni si considera statisticamente ragionevole che questa venga cambiata in un tempo utile affinchè non possano essere effettuati attacchi, ovvero dopo che effettivamente la password vi è stata sottratta ma prima che questa venga utilizzata.

Questo discorso può valere per un'utenza attiva , sono sicuro che tra gli oltre 100000 utenti di questo sito la maggioranza è oltre tre mesi che non si collega , se non si collega non cambia password , quindi il tempo utile rimane , tra parentesi lo stesso discorso vale per le banche , la mia mi obbliga a cambiare password ogni 30 giorni ma se non mi collego non c'è un "obbligo" di cambio , inoltre essendo solo numerica è facilmente attaccabile con un attacco brute force , poi non è possibile fare operazioni grazie ad un'ulteriore sicurezza ma accedere ai miei dati non è più difficile di questo sito.

[Firestart]

E' il motivo per cui appunto in tutte le situazioni a maggior rischio si usano metodi di sicurezza ridondanti come ad esempio i pin usa e getta per l'home banking e cose simili.

Sia chiaro, se devo dare un parere personale io sono molto allineato al pensiero di Antani... se la stragrande maggioranza di forum non ritiene necessario tutelare (o più propriamente "costringere a tutelarsi") la propria utenza è proprio perchè sia il rischio che il possibile danno di un eventuale attacco sono estremamente ridotti.

Non so se la piattaforma che usiamo (vBullettin?) lo permetta, ma credo che forse sarebbe più utile - e molto meno invadente - ad esempio implementare un meccanismo di disattivazione per gli account inutilizzati da più di un mese, che preveda la necessità di riattivarli manualmente con una verifica sull'identità (domanda segreta? Non ricordo se fosse prevista nella fase di registrazione al sito onestamente). Questo tutelerebbe tutti quegli utenti che magari non usano un account da anni e quindi non potrebbero nemmeno accorgersi che qualcuno se ne è impossessato; quelli che invece loggano regolarmente rischiano molto meno, in quanto un utilizzo da parte di terzi del proprio account "salta agli occhi".

[Emidio Frattaroli]

Estiquatsi non cambi la password da quando sei nato ?

Neanche i conti sai fare? Il forum è online dal 2002, quindi, anche volendo, sono poco più che 4.000 giorni. Ho volutamente esagerato, per riderci un po' sopra.

Emidio

[Emidio Frattaroli]

... se la stragrande maggioranza di forum non ritiene necessario tutelare (o più propriamente "costringere a tutelarsi") la propria utenza è proprio perchè sia il rischio che il possibile danno di un eventuale attacco sono estremamente ridotti.....[CUT]

Sarà pur vero ma vorrei avere qualche feedback in più. Anche perché sembra che la stragrande maggioranza di utenti stia aggiornando la password senza problemi.

E comunque, secondo alcuni, la privacy è ancora molto preziosa.

Emidio

[salamandre40]

...Anche perché sembra che la stragrande maggioranza di utenti stia aggiornando la password senza problemi...

Emidio

E' proprio quello che mi stavo dicendo quando ho visto questa discussione, mi sono chiesto ma perché la gente si deve lamentare sempre di tutto??? Ci vuole meno tempo ad aggiornare la password (come hanno fatto quasi tutti) che a polemizzare sull'utilità di una tale funzione. Comunque la polemica è nella natura umana nel bene e nel male!

[Luca_CH]

Come non quotarti, una polemica su tutto e sempre