Sandro Fontana ha scritto:
. . .
La banca che ha messo in piedi questo sistema di accesso per i conti
on line (userid
predefinita da 8 caratteri decimali e password da 5 caratteri decimali
a scelta dell'utente)
ha spiegato all'Autorità che usando una password di cinque caratteri
numerici con un
sistema di accesso che si blocca al terzo tentativo sbagliato, ne
risulta che (letterale):
Qui è necessario capire che cosa succede quando l'accesso si blocca, in
particolare sarebbe interessante sapere se il blocco è permanente, cioè
va sbloccato solo cambiando il codice o se si sblocca dopo un certo
tempo. Nel secondo caso ovviamente la probabilità aumenta.
Nel primo invece si aprono le porte ad attacchi che definirei di tipo DOS.
"[...] la probabilità di accesso abusivo ad un conto on-line di cui si
conosca il codice
identificativo (la userid, ndr), procedendo per tentativi ed avendo
successo al terzo
tentativo è stimabile in un valore numerico pari a circa 0,000075 (7,5
x 10^-5)."
Beh se l'accesso si blocca e si può sbloccare solo manualmente cambiando
codice, l'affermazione non è sbagliata.
Restano valide le considerazioni fatte su attacchi portati con altri
metodi diversi dal cercare di indovinare il codice.
--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
