alex wrote: > dopo tre tentativi di accesso andati a vuoto l'accesso viene bloccato e lo > sblocco può avvenire solo ripresentandosi fisicamente in agenzia. Da una > parte il tutto è quindi più che ragionevole in termini di sicurezza,
Alt ! Lo e' se gli userid non sono enumerabili. Se, come accade in molte banche, gli userid sono a loro volta enumerabili, e' sufficiente prendere tre password a caso e provarle attraverso tutti gli userid. In questo modo ottieni il doppio effetto di entrare sicuramente (a meno che gli utenti siano meno di 100mila) e di bloccare i 99.999 conti dove non sei entrato :) -- Cordiali saluti, Ing. Stefano Zanero, PhD CTO & Co-Founder Secure Network S.r.l. Via Matteotti 9 - 24047 Treviglio (BG) - Italia Phone: +39 0363.560404 email: [EMAIL PROTECTED] web: www.securenetwork.it ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
