Dario Fiumicello ha scritto:
Ciao a tutti
Ho una casella PEC fornita dall'ordine degli ingegneri della mia città
e gestita da aruba. L'altro giorno volevo entrare ma non ricordavo la
password.
Clicco sul link del remainder e mi viene spedita nella mia casella di
posta elettronica NON CERTIFICATA la password per accedere alla PEC IN
CHIARO!
Personalmente mi sembra una grossa falla di sicurezza considerando che
la PEC ha valore legale e che:
- Se la password mi arriva in chiaro significa che sui loro DB è in
chiaro, e questo già non è bene
- La password arriva su una casella di posta classica, senza nessuna
cifratura!
Che ne pensate?
Penso che è, quasi, la norma conservare nei propri DB le password in
chiaro specialmente per la posta elettronica, almeno nell'ambito dei
medi/grossi ISP. Non è invece la norma ne tanto meno elegante farlo
sapere in giro.
Le password i chiaro sono utili per attività di help-desk, fondamentali
in caso di migrazioni o altre attività straordinarie. Però un conto è
mantenerle per solo questo tipo di attività ed n conto è inviarle in
chiaro, specie per la PEC.
Noi quando installiamo un mail server per questo genere di contesti
facciamo presente al cliente che è possibile mantenere in chiaro una
copia della password, se lui lo ritiene opportuno ci specifica che vuole
avere anche le password in chiaro. Poi a livello di sistema questa
password in chiaro non è mai utilizzati dai software che fanno sempre
riferimento ad un hash per il confronto delle password fornite
dall'utente, si tratta solo di un campo extra nel DB. Qualcuno le vuole,
altri no. Noi facciamo presente i pro ed i contro poi decidano loro.
Certo non è bello sapere che nei DB dei grossi ISP ci sono le nostre
password anche in chiaro.
Ritengo opportuno che a livello di contratto ed utilizzo dei nostri dati
sarebbe opportuno che l'ISP specificasse se archivia o meno le nostre
password in chiaro.
Ciao
--
Alessio Cecchi is:
@ ILS -> http://www.linux.it/~alessice/
on LinkedIn -> http://www.linkedin.com/in/alessice
Assistenza Sistemi GNU/Linux -> http://www.cecchi.biz/
@ PLUG -> ex-Presidente, adesso senatore a vita, http://www.prato.linux.it
@ LOLUG -> Socio http://www.lolug.net
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
