Re: [ml] Homebanking password security

Andrea Paiano wrote:
> On 10/29/07, Raffaele <raffaele@xxxxxxxx> wrote:
>
> [cut]
>
>   
> > In sostanza la password deve
> > essere di questo tipo:
> >     
> ...
>
>   
> > - non deve contenere caratteri speciali (ad es.: ' , " , < , < , ; , \ ,
> > / , @ , & , % , …)
> >     
>
> La butto li'...secondo me e' per escludere in tutto e per tutto
> attacchi di tipo XSS perpetrati tramite il campo passwd.  E' un
> pessimo rimedio ma nn vedo altro motivo.
Sono d'accordo con te, è più facile per loro mettere a punto una 
procedura di validazione dell'input considerando diverse decodifiche dei 
caratteri in ingresso.

Non facciamo però gli utenti visto che dovrebbero esserci dei 
professionisti in questa ml...
gli attacchi, si stanno spostando dal server che eroga il servizio verso 
i pc di casa o le stazioni di lavoro... che sono sicuramente più deboli 
dei sistemi messi su da chi vuole fare business.
Detto questo facciamo un paio di considerazioni:
- Quanta gente abbocca al phishing? tanti purtroppo e l'adozione di 
questo tipo di misure non contrasta certo questi tipi di attacchi
- Quanta gente usa sempre password diverse.... molti usano la stessa 
password per tutti i servizi a cui si registrano, basta spulciare nel 
file di firefox o di explorer dove i browser registrano le passowrd e 
prendere la history.... e il gioco è fatto.

Bisogna puntare a sensibilizzare l'utente finale a una maggiore 
attenzione verso la sicurezza del proprio pc