[EMAIL PROTECTED] ha scritto:
Metà del Pin è stato rilasciato dal sistema tramite un canale riservato in
https.
Con modalità simili (ma con posta tradizionale) a quelle rilasciate dall'INPS.
E quindi non è modificabile perchè viene riconosciuto univocamente e
nominalmente ad un unico soggetto titolare
Ciao a tutti,
prendo spunto da questa frase per sollevare una questione:
La 196/2003 e' ben chiara nel determinare le tempistiche di cambio
codici di accesso ("Something I know"):
bisogna ritenere questa indicazione valida solo ed esclusivamente per
determinati ambiti e non altri ?
Mi riferisco ad esempio al codice PIN fornito dall'INPS nella citazione
di cui sopra, ma il discorso e'
estendibile al codice bancomat, e per quanto apparato di
telecomunicazioni al sistema (terminale GSM+SIM),
ecc...
In questi casi quale sarebbe la miglior condotta ?
Ipotesi 1: Dichiaro nel DPS che il codice ci accesso e' fornito dalla
coppia Bancomat/PIN e che bloccando l'utenza dopo 3
tentativi sbagliati posso ritenere inutile cambiare il codice di accesso
ogni 6 mesi.
Ipotesi 2: Faccio impazzire milioni di italiani e impongo il cambio PIN
ogni 6 mesi.
Ipotesi 3: Sto dicendo cose scorrette (in questo caso Vi prego di
correggermi)
Altro problema: quale sarebbe la miglior condotta ai sensi delle 196 in
merito a quegli account che non cambiano la password
nei tempi stabiliti ? Un normale servizio di home banking ricade
sicuramente in questo vincolo, ma ho personalmente visto che
tre grandi banche italiane non obbligano l'utente a farlo, solo una di
queste avvisa che "sarebbe meglio" cambiare il codice di accesso.
My two cents
Alessandro
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
