On 06/16/2010 12:10 PM, William Maddler wrote: > Infatti stiamo parlando di un compromesso tra sicurezza e "facilita`" di > accesso ad un servizio, in questo caso il reset di una password. ... > Il fatto che una soluzione non ti possa offrire una protezione al 100% > non e` una buona motivazione per non usarla. Un profilattico ha un > rischio di fallimento nella prevenzione delle gravidanze attorno al 3%, > che fai non lo usi? ;) Certo il "parente prossimo" puo` avertelo bucato...
Secondo me non ci siamo :) Mi piacerebbe discuterne in termini di minacce, impatti e rischio, altrimenti non facciamo altro che tirare fuori iperboli di poca utilità. Un meccanismo non è valido "in generale", e un compromesso è accettabile in un caso e non in un altro. La prima domanda è "a chi può interessare mettere le mani sulla mia casella PEC"? La mia risposta è che una persona vicina all'intestatario è una minaccia molto più probabile e motivata di una persona/malintenzionato qualsiasi. Tanto per fare un esempio, nel corso di un divorzio il coniuge può essere interessato a farmi una comunicazione "certificata" e poi a farla sparire in modo che io non ne venga a conoscenza e non la legga. Naturalmente, se vuoi puoi mettere in discussione questa mia ipotesi, e allora discutiamo giustamente prima delle minacce e degli impatti, e solo poi dei meccanismi. In queste ipotesi, l'attaccante più probabile e motivato è quello che ha più probabilità di conoscere la risposta alla domana segreta, e direi che la probabilità è *molto* alta nella maggior parte dei casi (lasciando perdere i casi in cui la domanda segreta è prefissata fra un numero limitato di scelte, fra le quali "il nome di tua madre da nubile" , cosa che in un paese conoscono tutti). Allora, se parliamo di compromessi fra sicurezza e usabilità, io ritengo che in questo caso la sicurezza aggiunta da un meccanismo di questo tipo sia prossima allo zero, e nel caso (che spero non stiamo considerando) in cui dando la risposta giusta hai direttamente la possibilità di accedere alla casella, la sicurezza sia anzi diminuita. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
