In data mercoledì 16 giugno 2010 12:23:07, William Maddler ha scritto: : > On 14/06/2010 17:00, Alessio Cecchi wrote: > > Giusto, si potrebbe mettere in un DB separato con privilegi diversi, > > grazie per il suggerimento. > > Dal punto di vista della sicurezza dei dati le password memorizzate in > chiaro sono una cappellata. Sara` comodo quanto vuoi, ma e` una cappellata. > > In caso di compromissione del DB esponi TUTTI i tuoi utenti a rischi > potenzialmente considerevoli. Se poi ti va bene accettare il rischio, amen.
La politica di gestione delle password in chiaro e' estesa, da Aruba, a tutti i suoi account, compresi quelli per accedere agli spazi web. La procedura di recupero della password e' automatica e richiede pochi dati personali, in genere il solo nome dell'account (email con nome numerico [email protected]). Nel caso l'account sia associato ad un servizio, spazio web, database che sia, viene chiesto il CF o la P.IVA dell'intestatario del dominio. I dati (username e password), ovviamente, vengono inviati in chiaro alla mail di riferimento, con gli scenari che sono gia' stati ampiamente discussi. Ciao Dave
signature.asc
Description: This is a digitally signed message part.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
