[Owasp-italy] Nuovo paper sulla funzionalità di "Password Reset"

Matteo Meucci matteo.meucci at gmail.com
Fri Jan 13 08:46:34 EST 2006


Buongiorno,
David Kyger ha pubblicato un paper che discute e analizza la
funzionalità di password reset fornita da molte organizzazioni per i
propri clienti. Tale funzionalità permette ad un utente che ha
dimenticato la propria password di rispondere ad una "challenge
question" per resettare la password corrente. Se la challenge question
è del tipo: "Qual'è il tuo colore preferito? Qual'è il nome di tua
madre?" il set di risposte possibili è molto piccolo ed è più semplice
da indovinare rispetto al password guessing.
Nel caso in cui il servizio di password-reset sia implementato in
maniera non corretta, ovvero permetta a chi sia a conoscenza dello
username e della risposta al challange di resettare direttamente la
password, risulta molto semplice per un attaccante accedere ai dati
dei clienti.
Se si pensa che in alcuni siti lo username fornito al cliente è
pubblico (ad es: Nome Cognome, Numero di telefono, ecc..), il problema
si semplifica ulteriormente.

Ecco il link:
http://www.owasp.org/docroot/owasp/misc/OWASP-Your_Customers_and_Their_Secrets.doc

Buona lettura!
Mat

--
Matteo Meucci
OWASP-Italy Chair, CISSP
site: http://www.owasp.org/local/italy.html
mail: matteo.meucci at owasp.org
ml: https://lists.sourceforge.net/lists/listinfo/owasp-italy




More information about the Owasp-italy mailing list