Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Set language to:en it | Login/Register


Enter your (l)username and password...

E fu' cosi' che, dopo un'occhiata all'elenco dei costi di dial-up, DaBoss decise che, no, non e' possibile che lo stesso utente abbia chiamato da 3 citta' diverse, che sono ad almeno 3000 Km l'una dall'altra, nello stesso giorno ed abbia totalizzato qualche cosa come 5000 euro di connessione in una botta sola.

Cosi' venne il momento in cui tutti i (l)user hanno da cambia' la loro password. E venne pure il momento in cui "qualcuno" (aka:io) ha da inventarsi un modo per consentire ai suddetti (l)user di cambiare la password. Perche' ovviamente l'idea di usare telnet o ssh, fare login e poi digitare 'passwd' e' assolutamente al di la' delle normali capacita' umane.

Cosi' mi invento un'accrocchio in perl/bash/expect che consente agli utonti di cambiare la password facendo clicky-clicky nel loro dannato browser. Ed ovviamente succede un casino. Ed il problema piu' grosso e' che i luser sanno chi ha fatto la maledetta paginetta. E sanno il mio nome. E, peggio di tutto, conoscono il mio numero di telefono...

Sto' cercando di debuggare un'altro pezzo di codice, quando il telefono si mette a suonare, io guardo il display che mi dice che l'utonto in questione e' nel mio stesso edificio.

IO - Cosa?
CL - (voce femminile) Salve, mi hanno detto che devo cambiare la mia password.
IO - Cio' e' possibile.
CL - ....(silenzio)...
IO - Hallo??
CL - Si'... allora...
IO - Quale e' il problema?
CL - Hemmm.. non mi ricordo la password precedente.
IO - E come fai login al matti...no, non dirmelo...
CL - Non faccio mai logout.
IO - Eccolo, lo sapevo.
CL - Posso sapere la mia vecchia password?
IO - No. Non posso sapere la tua vecchia password perche' e' segreta, pero' posso cambiarla con un'altra.
CL - Ah, ok.
IO - Quale e' il tuo username?
CL - Il mio cosa?
IO - Il nome utente.
CL - Non sono ben sicura...
IO - (pensando: ecchemipareva) Quale e' il tuo nome?
CL - Il mio cosa?
IO - Come ti chiama la gente? (pensando: no, non brutta XXXXX, quello lo so)
CL - $nomeutente.

Un paio di clickety-click per interrogare il database utenti dopo.

IO - Da quello che vedo tu non hai un'account di login, solo un'account di posta.
CL - E che vuol dire?
IO - Che non hai un'account che permette di fare login nel sistema, solo un'account per la posta, che e' locale nel tuo ufficio, quindi non c'e' nessun bisogno di cambiare tale password e se vuoi farlo devi chiedere al tuo capufficio.
CL - Ma...
IO - Cosa?
CL - Hemmm...
IO - Senti, digli a chicchessia che ti ha detto di cambiare la password che l'hai cambiata e finita li'.

Dopo aver rassicurato CL mi rimetto a fare quello che stavo facendo, o meglio, comincio a pensare a "che cosa era che stavo facendo?", ma il riposo e' di breve durata perche' il telefono risuona, e stavolta il numero e' esterno.

IO - Cosa?
CL2- Hallo! Sono wruxzrucxbrubruwhoa (rumori vari di connessione fetente) mi sono dimenticato la mia password!
IO - Bravo! Mandami una mail.
CL2- Mah... come?
IO - Con un qualsiasi sistema per mandare una mail!
CL2- Ma non posso mandare mail!
IO - Non ce l'hai un'account tipo $notoaccountdiwebmail o $altronotoaccount?
CL2- Ma... non hai capito...
IO - E allora spiega.
CL2- Ho scordato la mia password!
IO - (ma questo ci ha la fissa) Si, questo lo abbiamo capito.
CL2- E mi serve di saperla.
IO - Bravo! Mandami una mail.
CL2- Non posso! Sono all'aereoporto e non ho nessun modo di collegarmi!
IO - E allora non ti serve sapere la password adesso.
CL2- Ma...
IO - Quandi arrivi dove devi arrivare mandami una mail, altrimenti telefona al tuo capoufficio che procedera' secondo i canali ufficiali.
CL2- Ma...
IO - Senti bello (che non so se e' bello o no ma non me ne frega niente), io non ho nessuna intenzione di dire per telefono, con qualcuno che non ho mai visto in vita mia e non ho la piu' pallida idea di chi accidenti sia, una password di accesso al sistema. Quindi, o mi mandi una mail da un'account che possiamo identificare o parli con qualcuno, come il tuo capoufficio, che ti conosce e puo' garantire che tu sei chi dici di essere. Chiaro?
CL2- Ma...
IO - Fila a prendere il tuo aereo.

E' proprio vero: password e luser non vanno d'accordo.

Davide
17/01/2009 14:48

Previous

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

5 messages  this document does not accept new posts

Giuseppe

Giuseppe By Giuseppe posted 04/06/2008 12:58

Azienda mia attuale:

password di amministratore in chiaro su un file .ini di c:, richiamata da un fetentissimo programma gestionale (creare un'utenza ad hoc no, eh?)

passowrd di tutti gli utenti del dominio: una parola di due lettere (!), che poi è la sigla dell'azienda.

Non ti dico le lotte per imporre una minima policy sulle password, mi sono dovuto inventare cose tipo "con il nuovo service pack le password di ingresso devono essere cambiate bla bla bla"


samu

samu By samu posted 09/06/2008 08:34

rammenta ai tuoi capi la legge sulla privacy 193/96 e che se non adempiono a tali obblighi incorrono in sanzioni dai 50mila euro ai 100mila, oltre ad una causa penale :\)

sembra funzionare questo ragionamento.... alle volte

peccato che tale legge non ci sia in olanda...


Matteo

Matteo By Matteo posted 25/06/2008 19:54

Ultimamente uno dei miei titolari sta insistendo per avere le MIE password di accesso al dominio, al gestionale, etc...

ma correggetemi se mi sbaglio... anche se uno e' il responsabile privacy/sicurezza/675-1996/193-2006, non PUO' avere le pwd di altri...

difatti per il momento non gliele ho ancora consegnate... ne' credo gliele consegnero'... faro' finta di dimenticarmi...


Strider

Strider By Strider posted 16/07/2008 08:25

@Matteo

Per legge non sei obbligato a consegnarle; inoltre molte aziende fissano con circolare l'obbligo di non consegnarle.

Comunque le password sono una croce un po' per tutti quelli che gestiscono l'accesso a qualcosa: da me un conslutante si è messo in una share condivisa tutte le password di amministrazione a tutti gli ambienti gestiti. TUTTI!


Massimo M.

Massimo M. By Massimo M. posted 24/08/2008 13:32

>peccato che tale legge non ci sia in olanda...

Peccato? tra le altre cose sono responsabile privacy della mia azienda, e dover far firmare agli operai dei moduli con sopra delle boiate tipo "se vuoi essere pagato con bonifico bancario sappi che i dati della tua banca saranno comunicati alla nostra banca per il bonifico, e se non accetti questa cosa non possiamo assumerti" ti fa passar la voglia di vivere in italia. Hai per caso bisogno di un semi-baboon coder, li' in olanda?


Previous


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project Powered By Gigan