On 06/13/2010 09:38 PM, William Maddler wrote: > On 06/13/2010 02:39 PM, Claudio Telmon wrote: ... >> Dato che fornisce dei servizi con un certo valore legale, le >> specifiche del servizio dovrebbero garantire una protezione >> adeguata sia al valore legale che alle competenze medie del >> cittadino che la dovrà usare. > > Si`, ma se raggioni cosi` allora buonanotte.
Quale parte non ti piace? Che debba fornire una sicurezza adeguata al valore del servizio, o che debba essere adeguato alle competenze di chi lo deve usare? > Una cosa e` rendere facile e comprensibile un servizio e l'accesso > al servizio stesso. Altra cosa e` fare cappellate nel tentativo di > rendere tutto eccessivamente semplice. Sono d'accordo. Infatti, usare le domande salvapassword in questo contesto mi sembra rientri nel secondo caso. > > Lasciare che l'utente possa usare "123456" certo rende piu` facile > per un utente cambiare la password. Ma cosa succede dopo? > Cosa c'entra? >> >> Personalmente sono poco convinto dell'efficacia di un meccanismo >> di "domanda salvapassword", particolarmente in un caso come la >> PEC. Pensando a cos'ha di interessante una casella di posta PEC per >> un attaccante, secondo me se ne dedice che gli attaccanti più >> probabili sono persone che hanno in qualche modo a che fare con il >> titolare, e che quindi hanno la più alta probabilità di conoscere >> la risposta alla domanda. > > Ok, allora siccome e` probabile che l'assassino e` sempre il > maggiordomo lasciamo le porte di casa aperte? Non so se interpreto bene quello che dici, ma stai attivando un meccanismo per proteggerti dagli sconosciuti, che di fatto rende più semplice l'attacco ai "parenti prossimi", che sono gli attaccanti più probabili. Non mi sembra una buona idea. Chiudere la porta di casa non rende più facile al maggiordomo l'omicidio, questo sì. -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
