On 06/12/2010 03:35 PM, William Maddler wrote: > No, la "domanda salvapassword" serve proprio a questo. Ci sono un paio > di accortezze da prendere (ad esempio evitare date di nascita e cose > "ovvie") ma se implementata decentemente funziona.
La cattiva scelta delle domande/risposte da parte dell'utente non è un problema di implementazione, ma di uso. Le caselle PEC sono pensate per finire in mano ad ogni cittadino, volente o nolente, compresi quelli che l'informatica non la capiscono, non la sopportano e finora l'hanno sempre evitata. Dato che fornisce dei servizi con un certo valore legale, le specifiche del servizio dovrebbero garantire una protezione adeguata sia al valore legale che alle competenze medie del cittadino che la dovrà usare. Personalmente sono poco convinto dell'efficacia di un meccanismo di "domanda salvapassword", particolarmente in un caso come la PEC. Pensando a cos'ha di interessante una casella di posta PEC per un attaccante, secondo me se ne dedice che gli attaccanti più probabili sono persone che hanno in qualche modo a che fare con il titolare, e che quindi hanno la più alta probabilità di conoscere la risposta alla domanda. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
