On 06/16/2010 12:41 PM, [email protected] wrote: > Lato utente non cambia quasi nulla. > Poi e' chiaro che se io come risposta alla domanda segreta in ogni sito > uso "XX4c%vR&&£" indipendentemente > dal fatto che mi chiedano il nome del cane o del gatto o di mia mamma da > nubile, tutti i discorsi sulla "probabilita' di conoscere la risposta" > vanno a farsi friggere.
Se utilizzi la stessa risposta segreta (sara' memorizzata in chiaro o sotto forma di hash? gaping loophole :D; se la riutilizzi su piu' servizi quanti avranno scelto il primo metodo e quanti il secondo?) per tutti i servizi, inclusa la casella di posta, aumenti di molto la possibilita' di rendere felice il tuo attaccante. Meglio variare anche la risposta alla domanda segreta, che, imho, e' nelle intenzioni di chi l'ha "inventata", un modo per attingere ad informazioni eterogenee tra loro e relativamente facili da ricordare da parte dell'utente. Ciao, Francesco `ascii` Ongaro http://www.ush.it/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
