On 06/13/2010 09:38 PM, William Maddler wrote:
Personalmente sono poco convinto dell'efficacia di un meccanismo
di "domanda salvapassword", particolarmente in un caso come la
PEC. Pensando a cos'ha di interessante una casella di posta PEC per
un attaccante, secondo me se ne dedice che gli attaccanti più
probabili sono persone che hanno in qualche modo a che fare con il
titolare, e che quindi hanno la più alta probabilità di conoscere
la risposta alla domanda.
Ciao,
gestire le password in chiaro rispetto a farlo con qualsiasi meccanismo non
reversibile porta via lo stesso tempo per chi scrive codice.
Cosa mi cambia a fare una query nel db con la password "pluto" o con l'md5
di pluto?
Poi e' chiaro che se non ho una password da mandare all'utente in caso di
recovery sono "costretto" ad utilizzare meccanismi di conferma e a procedure
di reset (e meno male....).
Non stiamo parlando di contare i tachioni ma di cose relativamente semplici
da implementare.
Dopodiche' ricevi un link sulla mail definita come "trusted" e attraverso
quel link
accedi ad una pagina dove puoi cambiare la password.
Quindi non solo devi conoscere lo user, non solo devi conoscere le risposte
alle "domande salvapassword", ma poi devi anche avere accesso alla mailbox
per poter cambiare la password.
In tutto cio' la tua password non compare mai se non quando fai il post
(magari in https) nel momento in cui la salvi.
Lato utente non cambia quasi nulla.
Poi e' chiaro che se io come risposta alla domanda segreta in ogni sito uso
"XX4c%vR&&£" indipendentemente
dal fatto che mi chiedano il nome del cane o del gatto o di mia mamma da
nubile, tutti i discorsi sulla "probabilita' di conoscere la risposta" vanno
a farsi friggere.
Per chi programma ci sono infiniti script, template e tutorial per ispirarsi
e poter gestire in modo piu' sicuro di cio' che e' stato descritto riguardo
Aruba.
Per quanto riguarda lo scopo:
La PEC certifica l'avvenuta consegna? Si.
Se poi il livello di sicurezza non e' soddisfacente per l'utente questo puo'
sicuramentre trovare prodotti
all'altezza delle sue aspettative.
A mio avviso, indipendentemente dal tipo di servizio, PEC o posta normale,
mi sembra egualmente grave la mancanza di procedure di reset come hanno
anche la maggiorparte dei piu' sfigati software webbased free e,
soprattutto, che
la password sia inviata in chiaro.
RiCiao
Renato Serge
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
