On 06/12/2010 01:06 AM, chopinx04 wrote: > [....] > stavo leggendo il thread e quindi mi e' sorto il dubbio: ma allora > cosa dovrebbe fare Aruba o qualsiasi ISP che fornisce servizi PEC? > > Di fatto se la password viene salvata con hash nel database, allora la > cosa piu' opportuna resettarla con una password causale e inviare > l'email al richiedente con la password stessa, ma come si diceva in > precedenza questo e' comunque insicuro perche' il destinatario > potrebbe essere malicious, il mezzo e' insicuro e cosi' via...
Invio via email, all'indirizzo fornito al momento della registrazione, di una one time password per l'accesso alla pagina web di reset e richiesta della "risposta magica". > > Anche se si procedesse (come mi pare facciano certi) con l'invio di un > email con un link random valido per un tot di ore per resettare la > password incorriamo sempre nella situazione precedente. No, la "domanda salvapassword" serve proprio a questo. Ci sono un paio di accortezze da prendere (ad esempio evitare date di nascita e cose "ovvie") ma se implementata decentemente funziona. > > Allora, dopo tutto questo, mi chiedo: e' proponibile per questo tipo > di servizi obbligare i clienti ad avere una chiave asimmetrica di > qualche tipo cosi' che l'email contenente la password resettata o il > link o qualsiasi altra soluzione possa essere cryptata lato server con > la chiave pubblica del cliente? O secondo voi una soluzione del genere > e' troppo sofisticata? Fondamentalmente complicato. E soprattutto entri in un loop infinito se l'utente perde anche la sua chiave asimmetrica. ;) > Secondo me a senso proprio per il fatto che la PEC ha valore legale. Anche per questo cappellate come quella di Aruba sono estremamente gravi. > > Saluti e buona serata, > 0x412E > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
