Io ho accesso a una serie di server di esercizio, insomma di quelli dove passa il traffico messaggistico vero (non quello TIM, lo dico subito). Dopo tutto il casino di Tavaroli&Friends, sono state definite una serie di misure di sicurezza che permettono di sapere sempre chi sta facendo cosa. Tra queste misure ci sono anche quelle relative alla password, che deve essere cambiata ogni tre mesi.
L’ultima volta mi sono dimenticato di cambiare password in tempo, e per sbloccare gli accessi ho dovuto sottostare a una procedura assolutamente incredibile, col mio capo che doveva spergiurare che io sono un bravo ragazzo. Stavolta mi sono fatto furbo, e mi sono messo un allarme di Google Calendar. Oggi mi sono così accinto a cambiare la password sui tredici sistemi: il concetto di password condivisa non è ancora entrato nel sistema operativo di questi computer. In compenso la quantità di vincoli sul formato della password è favolosa: deve essere esattamente di 8 caratteri, deve avere almeno un carattere alfabetico, uno numerico e uno speciale (ma non virgola, due punti o virgolette) e non deve essere “nello storico”. Il guaio è che la definizione di “storico” è modernissima: se la mia vecchia password è “pip11.po”, infatti, la password “pip12.po” non può essere usata. Mi ci sono voluti otto tentativi (più tutte le volte che scrivevo “passwd” e non “password” per trovarne una utilizzabile e che potessi ricordarmi senza tatuarmela su un braccio.
E il meglio è che io non ho mai operato su questi sistemi: l’unica cosa che faccio è cambiare la mia password.
Ultimo aggiornamento: 2008-10-13 14:40
L’host negli USA su cui a volte mi capita di lavorare, oltre a quelle base da te citate, ha anche una serie di regole aggiuntive ignote ai più.
Questo porta a far sì che quando uno in ufficio ne becca una buona, la passa a tutti i colleghi, alla faccia di tutte le policies di sicurezza.
Mi ricordo una vignetta di Dilbert identica al tuo racconto… (tranne per il fatto che la password doveva contenere anche versi di scoiattolo).
Io debbo sottostare a criteri anche peggiori. Ma ti dico la mia semplice e terrificante ricetta: si cambia password (con password random tipo “123abc_FGH”, “345def_JKL”, …) per 5 volte (la definizione di Storia per il server delle password nel mio caso).
Poi, molto semplicemente, si mette la password di prima.
PS spero che nell’esempio del tuo post tu non abbia messo le tue password “standard”, perché so di autentici drittoni che si mettono a scrivere dei webbot che sniffano la parola “pwd” o “password”.
@mestesso: secondo te sono così stupido da avere da qualunque parte una password con un pezzo “pippo”?
Io non sottovalutavo la tua intelligenza ;), dato che considero non intuitivo pip11.po, o se preferisci, pippo123 è stupida, ma pip123po no. Ne facevo solo una questione di metodo…
@mestesso: sei un genio. Adesso devo solo scoprire quanto è lunga la storia sul nostro server e poi posso tenermi in eterno la mia password preferita.
@mestesso & barbara : esistono sistemi (anche winzozz quindi neanche troppo intelligenti) che ti obbligano a tenere una password per tot giorni (3-5 ad esempio) in cui non puoi sostituirla, proprio per evitare questi giochetti. Dopo 30 gg la tua pwd preferita te la sei dimenticata …
“deve essere esattamente di 8 caratteri”…
Beh certo… per facilitare il bruteforce… ;-)
rassegnati… e magari procurati un buon password manager “portatile” come KeePass.