Corrado Conti wrote:
5) Riconoscere i problemi da te sollevati potrebbe avere un effetto a catena anche sui sistemi ATM/Bancomat, dove i pin da 5 cifre sono norma internazionale.
In un eccesso di puntigliosita' rispetto al tuo post per il resto completamente condivisibile, ti faccio notare che in questo caso il threat model e' completamente diverso, in quanto il pin e' collegato a un oggetto fisico che viene ritirato dopo un eccesso di tentativi erronei.
Faccio anche notare in aggiunta che a seconda del meccanismo di blocco e di enumerazione del codice cliente da 8 cifre, siccome immagino che la banca abbia piu' di 99.999 correntisti, per fare bruteforcing si puo' anche far scorrere l'id e lasciar fisso il pin.... e' una riflessione che abbiamo gia' fatto mille volte.
-- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [EMAIL PROTECTED] Web: http://home.dei.polimi.it/zanero/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
