2010/6/10 Manfredi: > On 09/06/2010 16:55, Dario Fiumicello wrote: >> - Se la password mi arriva in chiaro significa che sui loro DB è in >> chiaro, e questo già non è bene > > Ciao, > deduzione errata, non è detto che se ti "arriva" in chiaro la password, questa > sia conservata "in chiaro" sul DB.
Anche se non è conservata "in chiaro" vuol dire che è stata "criptata" con un algoritmo reversibile, e quindi è un bug grave in ogni caso. Forse un pochino meno grave, ma poco :-) Non c'è alcun motivo di salvare una password in chiaro. Come qualsiasi best practice degli ultimi 20 anni recita chiaramente, delle password si conservano soltanto gli hash. Tra l'altro immagino che le aziende che forniscano PEC debbano sottostare a requirement anche per quanto riguarda la separazione delle responsabilità degli amministratori di sistema - tenere le password in chiaro o facilmente reversibili sul DB di sicuro non aiuta ad ottemperare questo requisito, visto che qualsiasi DBA può copiarsi la lista delle password di tutti gli utenti! >> - La password arriva su una casella di posta classica, senza nessuna >> cifratura! > > Anche qui, la password viene inviata ad una casella di recovery, dichiarata al > momento della registrazione, che, quindi, viene implicitamente dichiarata > "trusted". Peccato che debba passare da per lo meno un paio di mailserver e una certa rete chiamata "Internet" che tanto "trusted" non mi pare... non so se tui hai la stessa opinione... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
