Alessandro Sappia wrote:
> La 196/2003 e' ben chiara nel determinare le tempistiche di cambio
> codici di accesso ("Something I know"):
Codici di accesso per incaricati del trattamento, ricordiamolo...
> Mi riferisco ad esempio al codice PIN fornito dall'INPS nella citazione
> di cui sopra,
Che consente all'interessato di accedere ai SUOI dati, non ad un
incaricato di accedere e trattare i dati altrui
> ma il discorso e'
> estendibile al codice bancomat,
Che essendo un token fisico e' something you have + something you know,
quindi svincolato dal discorso cambio periodico. E in ogni caso, e' solo
per l'interessato -> come sopra
> e per quanto apparato di
> telecomunicazioni al sistema (terminale GSM+SIM),
Come nei due punti sopra.
> Ipotesi 1: Dichiaro nel DPS
I dati di cui sopra non sono sensibili, i sistemi di cui sopra sono per
l'accesso degli interessati e non degli incaricati... insomma, col DPS
non c'entrano un tubo.
> Ipotesi 3: Sto dicendo cose scorrette (in questo caso Vi prego di
> correggermi)
Temo ;)
> Altro problema: quale sarebbe la miglior condotta ai sensi delle 196 in
> merito a quegli account che non cambiano la password
> nei tempi stabiliti
Se e' inutilizzato va disattivato. Se e' utilizzato va forzato. Ma:
> Un normale servizio di home banking
Aredaje... sono codici d'accesso che l'INTERESSATO usa per i SUOI dati :)
Cio' non toglie che un home banking che non richieda il cambio codici va
guardato con moooooooooooooooolto sospetto !
--
Cordiali saluti,
Stefano Zanero
Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-3517
Fax. +39 02 2399-3411
E-mail: [EMAIL PROTECTED]
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
