Olimpo Informatico

[SverX]

non poter cambiare la user è un problema minore, l'importante è poter cambiare la password!

[Maary79]

[Gladiator]

@Maary79

Eh lo so ma a volte cerco di essere ottimista...

@SverX

Sono d'accordo ma solo parzialmente non poter cambiare l'admin è fottere già metà della sicurezza della combinata user/password...

[seagate]

Dovrebbero scriverlo sulla scatola, a caratteri cubitali, che non si può cambiare l'admin.

[SverX]

[Gladiator]

@SverX

Certo, al mondo si possono fare tante cose per aggirare certe limitazioni ma, quello che io non capisco e voglio stigmatizzare, è che questa limitazione proprio non la capisco, non ci vedo alcuna ragione sensata - tecnica o altro - perché tanti produttori si ostinino a mantenerla.

Personalmente ho anche un vecchio NAS iomega di 8 o 10 anni fa che questa limitazione non ce l'ha affatto...

[SverX]

guarda, il punto è solo concettuale - la cosiddetta "autenticazione" si basa sul principio di presentare delle credenziali. Parte di queste credenziali è segreta (la password) e parte invece non lo è (la username) e non c'è niente che richiede che lo sia... anzi spesso è il contrario, per necessità.

Ti faccio un esempio. Vai su Gmail e prova a registrare la casella 'prova123@gmail.com': avrai la risposta "That username is taken. Try another.", e non penso che hai appena ridotto la sicurezza di quell'account.

[Gladiator]

@SverX

Quindi, se capisco bene il tuo punto di vista, permettere ad un utente di modificare il suo username è inutile se non solo come identificativo.

Personalmente penso che, se per accedere ad un dispositivo, un hacker prima deve azzeccare lo username da fornire per il ruolo di admin poi una password faccia più fatica che inserendo la parola admin come username dovendo poi solo azzeccare la password.

In ogni caso il mio principale dissenso su questa scelta operata da parte di vari fabbricanti - che tu sembri non considerare nemmeno nelle tue risposte - è il fatto che, a mio giudizio, non ha ragioni né tecniche né economiche di essere e, quindi, non me la spiego affatto.

[SverX]

se l'hacker applica tecniche di bruteforcing, l'indovinare user e password corrisponde alla complessità di indovinare una password di lunghezza uguale alla somma delle due... quindi, appunto, se la user è fissa e questo ti preoccupa, allunga la password.

il fatto che non abbia né ragioni tecniche né economiche è comunque una tua opinione, e hai diritto di averla. Io credo che su un sistema dove non ha nessuna utilità avere più di un account di accesso (come un semplice router casalingo ad esempio) addirittura non abbia senso dovere specificare un account - sarebbe bastato un campo 'password' e basta, no?

(ma non lo fanno secondo me perché poi gli utenti si trovano perplessi davanti al fatto di non trovarsi i campi user e password - l'usabilità innanzitutto, evidentemente...)

[Gladiator]

@SverX

Per il primo punto già fatto.

Per il secondo punto certo che è una mia opinione come ho scritto ma mi piacerebbe sapere anche la tua in merito.
Comunque, se per un router, potrei anche accettare la cosa per un NAS ad uso semi professionale dove c'è necessità di gestire comunque account diversi faccio veramente fatica a capire ed accettare.

Per gli utenti perplessi (o anche peggio), come sottolineava anche Maary79, purtroppo, non c'è problema: lasciano il dispositivo come viene fornito e tanti saluti alla sicurezza e questo, credo, indipendentemente dal fatto che l'admin sia o meno modificabile...

[SverX]

insisto che è concettuale - la username *non* è la parte segreta delle credenziali.

su Windows e anche su Linux se blocco la workstation e vado via, chiunque passa davanti al mio schermo può vedere lo schermo bloccato e leggere la mia username, e nessuno l'ha mai ritenuto un problema di sicurezza.

[Gladiator]

Quindi ritieni che su qualsiasi PC o server si possa tranquillamente usare lo username "admin" per il ruolo di amministratore di sistema?

[SverX]

sui sistemi Unix/Linux si usa sempre 'root' e nessuno l'ha mai ritenuto un problema... e credo che se invece fosse un problema, allora se lo sarebbero posti... (procedendo per logica, quantomeno... )

ripeto - "il segreto" nel processo di autenticazione è la password, e nascondere lo username al massimo equivale ad una password più robusta, quindi basta usare una password più robusta direttamente e non preoccuparsi della username.

[Gladiator]

Grazie per l'utile ed interessante scambio di opinioni.