Re: [ml] lezioni di sicurezza dal Garante della Privacy

Sandro Fontana ha scritto:

. . .

> La banca che ha messo in piedi questo sistema di accesso per i conti
> on line (userid
> predefinita da 8 caratteri decimali e password da 5 caratteri decimali
> a scelta dell'utente)
> ha spiegato all'Autorità che usando una password di cinque caratteri
> numerici con un
> sistema di accesso che si blocca al terzo tentativo sbagliato, ne
> risulta che (letterale):

Qui è necessario capire che cosa succede quando l'accesso si blocca, in 
particolare sarebbe interessante sapere se il blocco è permanente, cioè 
va sbloccato solo cambiando il codice o se si sblocca dopo un certo 
tempo. Nel secondo caso ovviamente la probabilità aumenta.
Nel primo invece si aprono le porte ad attacchi che definirei di tipo DOS.

> "[...] la probabilità di accesso abusivo ad un conto on-line di cui si
> conosca il codice
> identificativo (la userid, ndr), procedendo per tentativi ed avendo
> successo al terzo
> tentativo è stimabile in un valore numerico pari a circa 0,000075 (7,5
> x 10^-5)."
Beh se l'accesso si blocca e si può sbloccare solo manualmente cambiando 
codice, l'affermazione non è sbagliata.

Restano valide le considerazioni fatte su attacchi portati con altri 
metodi diversi dal cercare di indovinare il codice.

--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************