[Solira] form sicure

[Loris Fichera]

On 07/30/2011 08:53 PM, Massimo Maiurana wrote:
> Loris Fichera, il 30/07/2011 20:07, ha scritto:
> 
>> Personalmente, lascerei al 'codice tessera' il ruolo di identificazione
>> univoca dell'utente/associato e introdurrei un altro codice, segreto,
>> per risolvere il problema dell'autenticazione.
> 
> e dov'e' la differenza?
> se il codice segreto e' di 8 caratteri alfanumerici si tratterebbe sempre di
> 35^8 combinazioni.

Ammesso che sia codice utente che codice segreto siano alfanumerici e da
8 cifre, e che l'utente/associato non sbandieri ai quattro venti il
proprio codice utente, un eventuale attaccante si troverebbe a dover
azzeccare una fra 35 ^ (8 + 8) combinazioni.
Nel caso peggiore, anche ammesso che l'attaccante riesca a provarne 1000
al secondo, non basterebbe tutto il tempo da qui alla fine dell'universo. :D

> che poi 'sto attacco produrrebbe dati anagrafici, quindi secondo me uno che
> intenta un attacco a forza bruta solo per questo e' da ricovero ;)

Di sciroccati del genere ne conosco qualcuno. :D

Scherzi a parte, la criticita` dei dati ha, giustamente, un ruolo
rilevante nella scelta del meccanismo di protezione.
Se questi sono solo nome, cognome e data di nascita, allora si potrebbe
anche dire 'chissenefrega'.
Se invece c`e` anche domicilio, numero di telefono di casa e di
cellulare, codice fiscale, farei qualche sforzo in piu` per proteggerli.

C`e`, infatti, da considerare che chi si occupa di gestire i dati ha ben
precise responsabilita` ai fini della legge sulla privacy. Insomma, se
il responsabile del trattamento dati fossi io, non mi sentirei
tranquillo con una form del genere. :)

  Loris.