On 06/13/2010 02:39 PM, Claudio Telmon wrote: > On 06/12/2010 03:35 PM, William Maddler wrote: > >> No, la "domanda salvapassword" serve proprio a questo. Ci sono un paio >> di accortezze da prendere (ad esempio evitare date di nascita e cose >> "ovvie") ma se implementata decentemente funziona. > > La cattiva scelta delle domande/risposte da parte dell'utente non è un > problema di implementazione, ma di uso.
Anche. > Le caselle PEC sono pensate per > finire in mano ad ogni cittadino, volente o nolente, compresi quelli che > l'informatica non la capiscono, non la sopportano e finora l'hanno > sempre evitata. Dato che fornisce dei servizi con un certo valore > legale, le specifiche del servizio dovrebbero garantire una protezione > adeguata sia al valore legale che alle competenze medie del cittadino > che la dovrà usare. Si`, ma se raggioni cosi` allora buonanotte. Una cosa e` rendere facile e comprensibile un servizio e l'accesso al servizio stesso. Altra cosa e` fare cappellate nel tentativo di rendere tutto eccessivamente semplice. Lasciare che l'utente possa usare "123456" certo rende piu` facile per un utente cambiare la password. Ma cosa succede dopo? > > Personalmente sono poco convinto dell'efficacia di un meccanismo di > "domanda salvapassword", particolarmente in un caso come la PEC. > Pensando a cos'ha di interessante una casella di posta PEC per un > attaccante, secondo me se ne dedice che gli attaccanti più probabili > sono persone che hanno in qualche modo a che fare con il titolare, e che > quindi hanno la più alta probabilità di conoscere la risposta alla domanda. Ok, allora siccome e` probabile che l'assassino e` sempre il maggiordomo lasciamo le porte di casa aperte? > ciao > > - Claudio >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
