[....] stavo leggendo il thread e quindi mi e' sorto il dubbio: ma allora cosa dovrebbe fare Aruba o qualsiasi ISP che fornisce servizi PEC?
Di fatto se la password viene salvata con hash nel database, allora la cosa piu' opportuna resettarla con una password causale e inviare l'email al richiedente con la password stessa, ma come si diceva in precedenza questo e' comunque insicuro perche' il destinatario potrebbe essere malicious, il mezzo e' insicuro e cosi' via... Anche se si procedesse (come mi pare facciano certi) con l'invio di un email con un link random valido per un tot di ore per resettare la password incorriamo sempre nella situazione precedente. Allora, dopo tutto questo, mi chiedo: e' proponibile per questo tipo di servizi obbligare i clienti ad avere una chiave asimmetrica di qualche tipo cosi' che l'email contenente la password resettata o il link o qualsiasi altra soluzione possa essere cryptata lato server con la chiave pubblica del cliente? O secondo voi una soluzione del genere e' troppo sofisticata? Secondo me a senso proprio per il fatto che la PEC ha valore legale. Saluti e buona serata, 0x412E ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
