Raffaele wrote: > Altrimenti devo inevitabilmente chiedermi come mai la mia banca vuole > che io metta una password piu' debole nel mio account di Homebanking...
Risposta corta: http://en.wikipedia.org/wiki/KISS_principle Risposta lunga: Puo' sembrare paradossale in effetti, ma riducendo il numero di caratteri possibili (e quindi indebolendo sensibilmente la forza delle password) puoi aumentare la sicurezza complessiva dell'intero sistema. Se decidi di accettare caratteri non alfanumerici nelle password (es.: il singolo apice) hai sicuramente aumentato la sicurezza a fronte di un bruteforce, ma preparati a dover controllare tutti i posti in cui quel dato viene utilizzato, per essere sicuro che quei caratteri, in tutte le loro potenziali codifiche, non possano interferire in maniera imprevista con la logica dell'applicazione (nel nostro esempio, prestarsi ad attacchi di SQL Injection). In sintesi, per aumentare i caratteri possibili della password il prezzo da pagare e' una maggiore complessita' dell'intero sistema. Quando hai un'applicazione molto complessa (come una di home banking) individuare tutti i possibili side-effect dell'accettare un dato potenzialmente pericoloso non e' un problema di facile soluzione. E' molto piu' semplice (e aggiungo efficace) sanitizzare il dato il piu' possibile appena questo viene ricevuto. Quindi, nel caso della tua banca, la password ha meno caratteri possibili ma allo stesso tempo deve sottostare ad una serie di regole di complessita' mirate proprio a controbilanciare la cosa. Il risultato e' pero' che si puo' essere sicuri che all'applicazione arriveranno solo caratteri "safe". -- ice
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
