Re: [ml] Homebanking password security

Andrea Campi wrote:
> Se l'applicazione usa la password in piu' di una manciata di posti,
> allora direi che l'applicazione e' un disastro in attesa di accadere.
> Le best practice, nonche' la logica, suggeriscono di controllare la
> password una volta, poi usare la miriade di metodi esistenti per
> mantenere una sessione permanente (e verificare che sia ancora
> valida), e poi *accuratamente azzerare la memoria* che conteneva la
> password.

Verissimo, ma il fatto che questo dato sia utilizzato come dici tu solo
in una manciata di posti non riduce il vantaggio che ottengo evitando in
partenza che questo dato sia potenzialmente pericoloso.

Mi spiego con un esempio:

caso 1: password di almeno 8 caratteri, charset di 90 caratteri (4.3E+15
password di lunghezza minima possibili), e "una manciata di posti" in
cui fare molta attenzione a come ognuno dei caratteri non alfanumerici
possa essere potenzialmente dannoso

caso 2: password di almeno 9 caratteri solo alfanumerici (26*2+10 = 62
caratteri possibili, per un totale di 1.35E+16 password possibili, ci
guadagno pure qualcosa), e _nessun_ carattere potenzialmente pericoloso
con cui fare i conti.

Tu che approccio sceglieresti ? :)

--
ice