On 15/06/2010 00:59, Claudio Telmon wrote: > On 06/13/2010 09:38 PM, William Maddler wrote: >> On 06/13/2010 02:39 PM, Claudio Telmon wrote: > ... >>> Dato che fornisce dei servizi con un certo valore legale, le >>> specifiche del servizio dovrebbero garantire una protezione >>> adeguata sia al valore legale che alle competenze medie del >>> cittadino che la dovr� usare. >> >> Si`, ma se raggioni cosi` allora buonanotte. > > Quale parte non ti piace? Che debba fornire una sicurezza adeguata al > valore del servizio, o che debba essere adeguato alle competenze di chi > lo deve usare? > >> Una cosa e` rendere facile e comprensibile un servizio e l'accesso >> al servizio stesso. Altra cosa e` fare cappellate nel tentativo di >> rendere tutto eccessivamente semplice. > > Sono d'accordo. Infatti, usare le domande salvapassword in questo > contesto mi sembra rientri nel secondo caso. > >> >> Lasciare che l'utente possa usare "123456" certo rende piu` facile >> per un utente cambiare la password. Ma cosa succede dopo? >> > > Cosa c'entra?
C'entra nella misura in cui una corretta gestione delle credenziali di accesso ad in servizio, quale che questo sia, puo` contribuire a renderlo piu` sicuro. Non "del tutto" sicuro, ma "piu`" sicuro. Ovvio che se cio` non viene percepito come una necessita`, o un valore aggiunto?, inutile starne a parlare. > >>> >>> Personalmente sono poco convinto dell'efficacia di un meccanismo >>> di "domanda salvapassword", particolarmente in un caso come la >>> PEC. Pensando a cos'ha di interessante una casella di posta PEC per >>> un attaccante, secondo me se ne dedice che gli attaccanti pi� >>> probabili sono persone che hanno in qualche modo a che fare con il >>> titolare, e che quindi hanno la pi� alta probabilit� di conoscere >>> la risposta alla domanda. >> >> Ok, allora siccome e` probabile che l'assassino e` sempre il >> maggiordomo lasciamo le porte di casa aperte? > > Non so se interpreto bene quello che dici, ma stai attivando un > meccanismo per proteggerti dagli sconosciuti, che di fatto rende pi� > semplice l'attacco ai "parenti prossimi", che sono gli attaccanti pi� > probabili. Non mi sembra una buona idea. Chiudere la porta di casa non > rende pi� facile al maggiordomo l'omicidio, questo s�. Infatti stiamo parlando di un compromesso tra sicurezza e "facilita`" di accesso ad un servizio, in questo caso il reset di una password. Volendo escludere il test del DNA, e anche la' in caso di gemelli omozigoti potrebbero esserci problemi ;) Che ci sia qualcuno a te vicino che possa conoscere la risposta alla domanda ovviamente non si puo` escludere. Ma ripeto, stiamo parlando di un compromesso. Il fatto che una soluzione non ti possa offrire una protezione al 100% non e` una buona motivazione per non usarla. Un profilattico ha un rischio di fallimento nella prevenzione delle gravidanze attorno al 3%, che fai non lo usi? ;) Certo il "parente prossimo" puo` avertelo bucato... Tornando alla tecnologia, non sto dicendo che la domanda salvapassword sia la soluzione a tutti i mali delle password, dico solo che e` di almeno un ordine di grandezza meglio che inviare una password in chiaro via mail. William
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
