Re: [ml] Homebanking password security

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2007 ml@sikurezza.org
Soggetto: Re: [ml] Homebanking password security
Mittente: Stefano Zanero
Data: Fri,  2 Nov 2007 00:08:49 +0100 (CET)

alex wrote:

> dopo tre tentativi di accesso andati a vuoto l'accesso viene bloccato e lo 
> sblocco può avvenire solo ripresentandosi fisicamente in agenzia. Da una 
> parte il tutto è quindi più che ragionevole in termini di sicurezza, 

Alt ! Lo e' se gli userid non sono enumerabili. Se, come accade in molte
banche, gli userid sono a loro volta enumerabili, e' sufficiente
prendere tre password a caso e provarle attraverso tutti gli userid. In
questo modo ottieni il doppio effetto di entrare sicuramente (a meno che
gli utenti siano meno di 100mila) e di bloccare i 99.999 conti dove non
sei entrato :)

-- 
Cordiali saluti,

Ing. Stefano Zanero, PhD
CTO & Co-Founder

Secure Network S.r.l.
Via Matteotti 9 - 24047 Treviglio (BG) - Italia
Phone: +39 0363.560404
email: s.zanero@xxxxxxxxxxxxxxxx
web: www.securenetwork.it

In risposta a:
- Re: [ml] Homebanking password security, alex

Data:
- precedente: Re: [ml] Homebanking password security, Stefano Zanero
- successivo: Re: [ml] Homebanking password security, Fabio Panigatti
- indice

Argomento:
- precedente: Re: [ml] Homebanking password security, alex
- successivo: Re: [ml] Homebanking password security, Fabio Panigatti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005