Roma – Facebook costruisce il proprio business sui dati dei propri utenti, fornitori dei contenuti che intrattengono intere reti di amici, bersagli della pubblicità che gli inserzionisti possono ritagliare sulla base delle informazioni relative ai loro interessi: la Germania, esaminando l’agire sul mercato del social network, sospetta che Facebook abusi della propria posizione dominante sottoponendo agli utenti delle clausole poco chiare relative al trattamento dei dati di cui si nutre il suo business.
La Bundeskartellamt , l’autorità tedesca che vigila sulla competizione sul mercato, ha comunicato di aver avviato un’indagine che coinvolge Facebook Inc. e le sue sussidiarie irlandese e tedesca, per sciogliere i dubbi riguardo alle condizioni d’uso del social network: potenzialmente lesive nei confronti dei consumatori e del loro diritto alla privacy, come le autorità tedesche hanno già avuto modo di osservare in ripetute occasioni, sono legate a doppio filo con le attività di business di Menlo Park.
“È difficile per gli utenti comprendere e afferrare gli intenti del contratto che accettano – spiega l’autorità tedesca – C’è un dubbio rilevante riguardo a questa procedura, in particolare in relazione alle leggi nazionali che tutelano i dati personali”. “Se ci fosse una connessione tra queste violazioni e la posizione dominante sul mercato – prosegue il garante – si tratterebbe anche di una violazione delle leggi che regolano la competizione”.
L’operazione del garante tedesco, condotta in stretta collaborazione con il garante della privacy locale già protagonista di un’istruttoria su Facebook a fianco di altri garanti europei, mira dunque ad indagare le relazioni fra queste condizioni d’uso, che descrivono la raccolta e il trattamento dei dati degli utenti, e la posizione di Facebook nello scenario dei social network: Facebook potrebbe essersi guadagnato una posizione dominante proprio sulla base di queste clausole, e potrebbe continuare ad imporle ai propri utenti contando sulla propria posizione dominante, che garantisce l’attrattiva di effetti di rete che social network meno fitti e sterminati non possono vantare.
L’indagine dell’autorità antitrust, inoltre, potrebbe rappresentare una soluzione per aggirare le argomentazioni in materia di giurisdizione che spesso Facebook ha sollevato nell’ambito di casi che avevano per oggetto la privacy, nel tentativo di ricondurli al peculiare contesto irlandese
Facebook ha già reso noto di essere a piena disposizione delle autorità tedesche per fare chiarezza.
Gaia Bottà
leggi i 83 commenti
-
Re: debolezza di sistema
- Scritto da: Il fuddaro
- Scritto da: percolato come te
Password? Capirai, se cani e porci hanno acXXXXX
ai nostri terminali (phon, desk, note/netbook,
quello che vi pare) le password di fatto sono
pura
monnezza.
Ci bucano in un attimo, le vulnerabilità venute
a
galla dal datagate ad oggi mettono in evidenza
una realtà impietosa, non importa se windoze
uefi
10 spy-metria, Androcess sonda intestinale,
MacachIOS cloud/store sfonnato, Micro$Red-Hat &
Co. aka deBBian contratto "$ociale" systemd e
tutti i figliocci suoi (utumbu amazon edition e
mint les incompétents ISO
bulgare).
Solo questi che ho citato mettono insieme più
del
99% dell' utenza mondiale e fanno tutti
c-g-r-.
Tutto bucato e per favore niente idealismi FOSS
del tipo 10-100-1000 occhi: openssl é un
colabrodo, il kernel linux é bloatware
ultrablobbato per ammissione dello stesso
Torvalds, openssh bloatware sforacchiato di
fresco, bloatware anche libc (C++), bloatware
gcc
(C++), TOR percolato e via
discorrendo.
Poi ci sono i fan dell' "hardenizzato", quelli
che "io no! Io sono skilled ergo immune".
Purtroppo i metodi utiizzati fanno tutti schifo:
(selinux = sintassi assiro-babilonese by NSA
LoL), apparmor é un fallimento (insieme al
concetto di sandbox), PAM meglio conosciuto come
SCAM (swiss cheese auth mod) (:)) ecc... ecc...
Questo dovrebbe bastare a far capire un po' a
chiunque la situazione tuttaltro che rosea
(cercatevi i link come fanno gli uomini veri
invece di frignare facendo la parte dei bambini
offesi), ma voglio andare avanti e dare la
mazzata finale: per un attimo pensate a tutta
questa spazzatura in esecuzione dentro un aborto
storico chiamato X11... e qui mi viene da
piangere!
Decenni di programmazione hanno dato vita ad un
superbloatware da 13 milioni di linee di codice
che ha come principale caratteristica quello di
essere il migliore, il più persistente e stabile
keylogger (e non solo) del mondo *nix. Cioé, gli
*nix (TUTTI) fano ca**re da linea di comando, se
ci aggiungiamo il server grafico (si struttura
client/server sob) diventa una pagliacciata
totale.
Tanto per fare un esempio il README di xterm
inizia
così:
"Abandon All Hope, Ye Who Enter Here"
https://gist.github.com/danmilon/4719562
Non c'é male o meglio non c'é bene!
Non condanno al 100% il FOSS, la sua funzione é
quella di offrire una piattaforma a tutti coloro
che giustamente non sono disposti a pagare per
del software ancora più schifoso di quello che
viene dato via
gratis.
Di fatto il closed é anche peggio, allo
spaghetti
code si somma la backdoor di default
difficilissima da
scovare...
Ma torniamo alla macchietta delle password...
Tutto é sotto il controllo di un' unica
potentissima nazione con due scopi principali:
primo quello di rastrellare informazioni al fine
di mantenere l' establishment. Secondo fare
soldi, ma proprio tanti soldi che servono per...
mantenere l'
establishment!
Anche un bambino capirebbe che in un simile
scenario la "sicurezza" é solo di
intralcio.
Parlare di privacy in assenza di comunicazioni
sicure non ha proprio senso, é una delle parole
che con l' avvento del "big brother MITM social
way of life" ha perso ogni
significato.
E tu feissssbuk, e tu twitty, e tu gugguli, e tu
il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
e tu cisco, e tu HP, e tu Redmond, e tu United
States of Cloud e tutti coloro ti conoscono
meglio di tua madre e i dati nelle loro mani
vita
natural durante... la password é l' ultimo dei
tuoi
problemi.
Per quelli dotati di buona volontà e di un
pizzico di saggezza un consiglio: dati sensibili
alla larga dagli host, fate in modo che il
vostro terminale Internet , qualunque esso
sia
non abbia niente da
nascondere.
XXXXX chi ha il coraggio di contraddirti? Se
qualcuno lo fa e perché, e uno dei tanti che
ancora oggi non ha capito una
fava.
Concordo al 1000 % 1000Ha dimenticavo, il tizio del' intervista o i tizi, sappiamo tutti quanti sono credibili vero?Non vorrei sparare XXXXXXX ma sulle loro buste paga, se messe in trasparenza il Watermark visibile è %n%s%a% -
debolezza di sistema
il problema che rende le password deboli è il fatto che la password rimane sempre la stessa e quindi tentativo dopo tentativo prima o poi si crakka , se la password cambiasse ogni volta sarebbe impossibile superare la protezione.-
Re: debolezza di sistema
- Scritto da: Pietro
il problema che rende le password deboli è il
fatto che la password rimane sempre la stessa e
quindi tentativo dopo tentativo prima o poi si
crakka , se la password cambiasse ogni volta
sarebbe impossibile superare la
protezione.(newbie)(newbie)-
Re: debolezza di sistema
- Scritto da: PandaR1
- Scritto da: Pietro
il problema che rende le password deboli è il
fatto che la password rimane sempre la
stessa
e
quindi tentativo dopo tentativo prima o poi
si
crakka , se la password cambiasse ogni volta
sarebbe impossibile superare la
protezione.
(newbie)(newbie)poca fantasia vero?-
Re: debolezza di sistema
- Scritto da: Pietro
- Scritto da: PandaR1
- Scritto da: Pietro
il problema che rende le password
deboli è
il
fatto che la password rimane sempre la
stessa
e
quindi tentativo dopo tentativo prima o
poi
si
crakka , se la password cambiasse ogni
volta
sarebbe impossibile superare la
protezione.
(newbie)(newbie)
poca fantasia vero?nella sicurezza non ci vuole tanta fantasia. Basta attenersi a semplici regole. Non sono abbastanza semplici per tutti? Pazienza.-
Re: debolezza di sistema
- Scritto da: PandaR1
- Scritto da: Pietro
- Scritto da: PandaR1
- Scritto da: Pietro
il problema che rende le password
deboli è
il
fatto che la password rimane
sempre
la
stessa
e
quindi tentativo dopo tentativo
prima
o
poi
si
crakka , se la password cambiasse
ogni
volta
sarebbe impossibile superare la
protezione.
(newbie)(newbie)
poca fantasia vero?
nella sicurezza non ci vuole tanta fantasia.
Basta attenersi a semplici regole. Non sono
abbastanza semplici per tutti?
Pazienza.Prova, fai uno sforzo, immagina un sistema dove ci sia poco da ricordare ma la password cambia ogni volta -
Re: debolezza di sistema
- Scritto da: Pietro
- Scritto da: PandaR1
- Scritto da: Pietro
- Scritto da: PandaR1
- Scritto da: Pietro
il problema che rende le
password
deboli è
il
fatto che la password rimane
sempre
la
stessa
e
quindi tentativo dopo
tentativo
prima
o
poi
si
crakka , se la password
cambiasse
ogni
volta
sarebbe impossibile superare
la
protezione.
(newbie)(newbie)
poca fantasia vero?
nella sicurezza non ci vuole tanta fantasia.
Basta attenersi a semplici regole. Non sono
abbastanza semplici per tutti?
Pazienza.
Prova, fai uno sforzo, immagina un sistema dove
ci sia poco da ricordare ma la password cambia
ogni
voltati consiglio un timestamp come otp.Saluti
-
-
-
-
Re: debolezza di sistema
- Scritto da: Pietro
il problema che rende le password deboli è il
fatto che <s
la password rimane sempre la stessa e
quindi tentativo dopo tentativo prima o poi si
crakka , se la password cambiasse ogni volta
sarebbe impossibile superare la
protezione. </s
le infrastrutture che *ospitano*
le credenziali spesso non sono altrettanto
affidabili, dato che alcuni registrano ancora
le password in chiaro nel db, anziché usare metodi
universalmente noti come salt+hashfixed-
Re: debolezza di sistema
- Scritto da: peppino
- Scritto da: Pietro
il problema che rende le password deboli è il
fatto che <s
la password rimane
sempre la stessa
e
quindi tentativo dopo tentativo prima o poi
si
crakka , se la password cambiasse ogni volta
sarebbe impossibile superare la
protezione. </s
le infrastrutture
che
*ospitano*
le credenziali spesso non sono altrettanto
affidabili, dato che alcuni registrano ancora
le password in chiaro nel db, anziché usare
metodi
universalmente noti come salt+hash
fixedcompletamente diverso da quello che ho detto e non modifica il problema-
Re: debolezza di sistema
Password? Capirai, se cani e porci hanno acXXXXX ai nostri terminali (phon, desk, note/netbook, quello che vi pare) le password di fatto sono pura monnezza.Ci bucano in un attimo, le vulnerabilità venute a galla dal datagate ad oggi mettono in evidenza una realtà impietosa, non importa se windoze uefi 10 spy-metria, Androcess sonda intestinale, MacachIOS cloud/store sfonnato, Micro$Red-Hat & Co. aka deBBian contratto "$ociale" systemd e tutti i figliocci suoi (utumbu amazon edition e mint les incompétents ISO bulgare).Solo questi che ho citato mettono insieme più del 99% dell' utenza mondiale e fanno tutti c-g-r-.Tutto bucato e per favore niente idealismi FOSS del tipo 10-100-1000 occhi: openssl é un colabrodo, il kernel linux é bloatware ultrablobbato per ammissione dello stesso Torvalds, openssh bloatware sforacchiato di fresco, bloatware anche libc (C++), bloatware gcc (C++), TOR percolato e via discorrendo.Poi ci sono i fan dell' "hardenizzato", quelli che "io no! Io sono skilled ergo immune". Purtroppo i metodi utiizzati fanno tutti schifo: (selinux = sintassi assiro-babilonese by NSA LoL), apparmor é un fallimento (insieme al concetto di sandbox), PAM meglio conosciuto come SCAM (swiss cheese auth mod) (:)) ecc... ecc... Questo dovrebbe bastare a far capire un po' a chiunque la situazione tuttaltro che rosea (cercatevi i link come fanno gli uomini veri invece di frignare facendo la parte dei bambini offesi), ma voglio andare avanti e dare la mazzata finale: per un attimo pensate a tutta questa spazzatura in esecuzione dentro un aborto storico chiamato X11... e qui mi viene da piangere!Decenni di programmazione hanno dato vita ad un superbloatware da 13 milioni di linee di codice che ha come principale caratteristica quello di essere il migliore, il più persistente e stabile keylogger (e non solo) del mondo *nix. Cioé, gli *nix (TUTTI) fano ca**re da linea di comando, se ci aggiungiamo il server grafico (si struttura client/server sob) diventa una pagliacciata totale.Tanto per fare un esempio il README di xterm inizia così:"Abandon All Hope, Ye Who Enter Here"https://gist.github.com/danmilon/4719562Non c'é male o meglio non c'é bene!Non condanno al 100% il FOSS, la sua funzione é quella di offrire una piattaforma a tutti coloro che giustamente non sono disposti a pagare per del software ancora più schifoso di quello che viene dato via gratis.Di fatto il closed é anche peggio, allo spaghetti code si somma la backdoor di default difficilissima da scovare...Ma torniamo alla macchietta delle password... Tutto é sotto il controllo di un' unica potentissima nazione con due scopi principali: primo quello di rastrellare informazioni al fine di mantenere l' establishment. Secondo fare soldi, ma proprio tanti soldi che servono per... mantenere l' establishment!Anche un bambino capirebbe che in un simile scenario la "sicurezza" é solo di intralcio.Parlare di privacy in assenza di comunicazioni sicure non ha proprio senso, é una delle parole che con l' avvento del "big brother MITM social way of life" ha perso ogni significato.E tu feissssbuk, e tu twitty, e tu gugguli, e tu il DNuSa, e tu cool (:|), e tu wintel, e tu amd, e tu cisco, e tu HP, e tu Redmond, e tu United States of Cloud e tutti coloro ti conoscono meglio di tua madre e i dati nelle loro mani vita natural durante... la password é l' ultimo dei tuoi problemi.Per quelli dotati di buona volontà e di un pizzico di saggezza un consiglio: dati sensibili alla larga dagli host, fate in modo che il vostro terminale Internet , qualunque esso sia non abbia niente da nascondere.-
Re: debolezza di sistema
Uff, tutt' altro... refuso. -
Re: debolezza di sistema
- Scritto da: percolato come te
Password? Capirai, se cani e porci hanno acXXXXX
ai nostri terminali (phon, desk, note/netbook,
quello che vi pare) le password di fatto sono
pura
monnezza.
Ci bucano in un attimo, le vulnerabilità venute a
galla dal datagate ad oggi mettono in evidenza
una realtà impietosa, non importa se windoze uefi
10 spy-metria, Androcess sonda intestinale,
MacachIOS cloud/store sfonnato, Micro$Red-Hat &
Co. aka deBBian contratto "$ociale" systemd e
tutti i figliocci suoi (utumbu amazon edition e
mint les incompétents ISO
bulgare).
Solo questi che ho citato mettono insieme più del
99% dell' utenza mondiale e fanno tutti
c-g-r-.
Tutto bucato e per favore niente idealismi FOSS
del tipo 10-100-1000 occhi: openssl é un
colabrodo, il kernel linux é bloatware
ultrablobbato per ammissione dello stesso
Torvalds, openssh bloatware sforacchiato di
fresco, bloatware anche libc (C++), bloatware gcc
(C++), TOR percolato e via
discorrendo.
Poi ci sono i fan dell' "hardenizzato", quelli
che "io no! Io sono skilled ergo immune".
Purtroppo i metodi utiizzati fanno tutti schifo:
(selinux = sintassi assiro-babilonese by NSA
LoL), apparmor é un fallimento (insieme al
concetto di sandbox), PAM meglio conosciuto come
SCAM (swiss cheese auth mod) (:)) ecc... ecc...
Questo dovrebbe bastare a far capire un po' a
chiunque la situazione tuttaltro che rosea
(cercatevi i link come fanno gli uomini veri
invece di frignare facendo la parte dei bambini
offesi), ma voglio andare avanti e dare la
mazzata finale: per un attimo pensate a tutta
questa spazzatura in esecuzione dentro un aborto
storico chiamato X11... e qui mi viene da
piangere!
Decenni di programmazione hanno dato vita ad un
superbloatware da 13 milioni di linee di codice
che ha come principale caratteristica quello di
essere il migliore, il più persistente e stabile
keylogger (e non solo) del mondo *nix. Cioé, gli
*nix (TUTTI) fano ca**re da linea di comando, se
ci aggiungiamo il server grafico (si struttura
client/server sob) diventa una pagliacciata
totale.
Tanto per fare un esempio il README di xterm
inizia
così:
"Abandon All Hope, Ye Who Enter Here"
https://gist.github.com/danmilon/4719562
Non c'é male o meglio non c'é bene!
Non condanno al 100% il FOSS, la sua funzione é
quella di offrire una piattaforma a tutti coloro
che giustamente non sono disposti a pagare per
del software ancora più schifoso di quello che
viene dato via
gratis.
Di fatto il closed é anche peggio, allo spaghetti
code si somma la backdoor di default
difficilissima da
scovare...
Ma torniamo alla macchietta delle password...
Tutto é sotto il controllo di un' unica
potentissima nazione con due scopi principali:
primo quello di rastrellare informazioni al fine
di mantenere l' establishment. Secondo fare
soldi, ma proprio tanti soldi che servono per...
mantenere l'
establishment!
Anche un bambino capirebbe che in un simile
scenario la "sicurezza" é solo di
intralcio.
Parlare di privacy in assenza di comunicazioni
sicure non ha proprio senso, é una delle parole
che con l' avvento del "big brother MITM social
way of life" ha perso ogni
significato.
E tu feissssbuk, e tu twitty, e tu gugguli, e tu
il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
e tu cisco, e tu HP, e tu Redmond, e tu United
States of Cloud e tutti coloro ti conoscono
meglio di tua madre e i dati nelle loro mani vita
natural durante... la password é l' ultimo dei
tuoi
problemi.
Per quelli dotati di buona volontà e di un
pizzico di saggezza un consiglio: dati sensibili
alla larga dagli host, fate in modo che <b
il
vostro terminale Internet </b
, qualunque esso sia
non abbia niente da
nascondere.Se fosse veramente come dici tu perchè in Usa si stanno strappando i capelii di fronte ad un iPhone chiuso, hanno tirato in ballo anche la corte suprema, aprirlo dovrebbe essere una passeggiata -
Re: debolezza di sistema
Per farti credere che l' iphogne é sicuro da un lato (prima volta che registra un calo di vendite - http://bgr.com/2016/01/27/tim-cook-explains-iphone-sales-decline-march-2016/) e per creare il precedente dall' altro (backdoor a norma di legge).Finito di raccontare balle sul grande circo mediatico (industria dell' "informazione"), si rinuiscono afra di loro per bere una bella birra nel dopolavoro e si sbellicano dalle risate leggendo commenti come il tuo.[img]http://www.startup-book.com/wp-content/uploads/2011/04/titandinnerwnames.jpg[/img](anonimo)E' un teatrino per sondare il popolino, ma alla fine le aziende IT USSL ti sbucherellacchiano come gli pare. -
Re: debolezza di sistema
- Scritto da: percolato meno di te
Per farti credere che l' iphogne é sicuro da un
lato (prima volta che registra un calo di vendite
-
http://bgr.com/2016/01/27/tim-cook-explains-iphone
Finito di raccontare balle sul grande circo
mediatico (industria dell' "informazione"), si
rinuiscono afra di loro per bere una bella birra
nel dopolavoro e si sbellicano dalle risate
leggendo commenti come il
tuo.
[img]http://www.startup-book.com/wp-content/upload
(anonimo)
E' un teatrino per sondare il popolino, ma alla
fine le aziende IT USSL ti sbucherellacchiano
come gli
pare.quindi il governo americano sta facendo causa ad Apple per farle pubblicità? E per quale motivo? -
Re: debolezza di sistema
Bastava leggere il commento era tutto spiegato nei minimi dettagli, se non ce la fai non é colpa mia :p. -
Re: debolezza di sistema
- Scritto da: Mario
- Scritto da: percolato meno di te
Per farti credere che l' iphogne é sicuro da
un
lato (prima volta che registra un calo di
vendite
-
http://bgr.com/2016/01/27/tim-cook-explains-iphone
Finito di raccontare balle sul grande circo
mediatico (industria dell' "informazione"),
si
rinuiscono afra di loro per bere una bella
birra
nel dopolavoro e si sbellicano dalle risate
leggendo commenti come il
tuo.
[img]http://www.startup-book.com/wp-content/upload
(anonimo)
E' un teatrino per sondare il popolino, ma
alla
fine le aziende IT USSL ti sbucherellacchiano
come gli
pare.
quindi il governo americano sta facendo causa ad
Apple per farle pubblicità? E per quale
motivo?Perché nel Mondo non c'è posto per i tontoloni come Mario!!!Più vedo in giro gente che al' evidenza continua a scuotere la testa, e più capisco quale era il lavoro finale di un austriaco col baffetto. :(( -
Re: debolezza di sistema
Semplice, vogliono che diventi LEGALE. vogliono che diventi la regola. Il governo deve avere il diritto di entrarti in casa senza chiedere il permesso... -
Re: debolezza di sistema
- Scritto da: rassegnato
Semplice, vogliono che diventi LEGALE. vogliono
che diventi la regola. Il governo deve avere il
diritto di entrarti in casa senza chiedere il
permesso...Decidetevi, il governo USA sta facendo pubblicità ad Apple, oppure il governo vuole che i sistemi siano apribili, le due cose non stanno insieme -
Re: debolezza di sistema
Te lo dico da amico: 2 piccioni con una fava, forse così capisci. Forse.Ultimamente mi sembra di parlare alle lapidi... solitudine...E c'é chi ha il coraggio di chiedersi come mai siamo arrivati al nefasto risultato della privacy 0. -
Re: debolezza di sistema
- Scritto da: per cool ato
Te lo dico da amico: 2 piccioni con una fava,
forse così capisci.
Forse.
Ultimamente mi sembra di parlare alle lapidi...
solitudine...
E c'é chi ha il coraggio di chiedersi come mai
siamo arrivati al nefasto risultato della privacy
0.ah ho capito, è un complotto. -
Re: debolezza di sistema
E' un problema di XXXXXXXXXtà. -
Re: debolezza di sistema
- Scritto da: Mario
- Scritto da: rassegnato
Semplice, vogliono che diventi LEGALE.
vogliono
che diventi la regola. Il governo deve avere
il
diritto di entrarti in casa senza chiedere il
permesso...
Decidetevi, il governo USA sta facendo pubblicità
ad Apple, oppure il governo vuole che i sistemi
siano apribili, le due cose non stanno
insiemeNo tu non sei fatto per questo Mondo. Anzi ripensandoci per loro sei il tipo ideale! -
Re: debolezza di sistema
Secondo me stanna avvalorando la tesi che non possno entrarci. E anche se l'FBI (che è solo polizia) non ci riesce stai sicuro che a livello militare e di intelligence ci riescono e come. -
Re: debolezza di sistema
- Scritto da: AxAx
Secondo me stanna avvalorando la tesi che non
possno entrarci. E anche se l'FBI (che è solo
polizia) non ci riesce stai sicuro che a livello
militare e di intelligence ci riescono e
come.non sarei così sicuro, sembra che l'FBI sia andata troppo oltre con i tentativi, l'iPhone è ormai completamente criptato e nessuno ha la chiave nemmeno apple -
Re: debolezza di sistema
AHAHAHHAHAHAHAHAHHAHAHAHAHAAHHAAH!!!!Dimostralo!!! -
Re: debolezza di sistema
- Scritto da: Mario
- Scritto da: AxAx
Secondo me stanna avvalorando la tesi che non
possno entrarci. E anche se l'FBI (che è solo
polizia) non ci riesce stai sicuro che a
livello
militare e di intelligence ci riescono e
come.
non sarei così sicuro, sembra che l'FBI sia
andata troppo oltre con i tentativi, l'iPhone è
ormai completamente criptato e nessuno ha la
chiave nemmeno
appleSenti figliolo.. un consiglio da oggi pratica il culto cristiano e fatti prete, e meglio per te. -
Re: debolezza di sistema
- Scritto da: Mario
- Scritto da: AxAx
Secondo me stanna avvalorando la tesi che non
possno entrarci. E anche se l'FBI (che è solo
polizia) non ci riesce stai sicuro che a
livello
militare e di intelligence ci riescono e
come.
non sarei così sicuro, sembra che l'FBI sia
andata troppo oltre con i tentativi, l'iPhone è
ormai completamente criptato e nessuno ha la
chiave nemmeno
appleGuarda tu sei andato certamente oltre l'XXXXXXXXXtà se sei così convinto di quello che dici. Se altrimenti stai "solo" trollando, ti dico suga.. compà!! -
Re: debolezza di sistema
O sommo Minosse, che tutto giudichi, cosa ne pensi di QubeOS? -
Re: debolezza di sistema
Tanto per capirci:http://blog.invisiblethings.org/2012/09/12/how-is-qubes-os-different-from.htmlAdesso ci sono anche i tools winari open-sourcehttps://www.qubes-os.org/news/2016/01/27/windows-tools-open-source/Prima, com'era sacrosanto, funzionava esclusivamente win7. Adesso stanno pensando di ingabbiare anche win8 e la spyEdition (il 10).Non sarà facile domare la bestia spiona. Ma se ci dovessero riuscire, potrebbe essere una soluzione (per quanto estrema) alle aziende che hanno bisogno di usare winzozz ma che non vogliono essere spiate. -
Re: debolezza di sistema
- Scritto da: xx tt
Tanto per capirci:
http://blog.invisiblethings.org/2012/09/12/how-is-
Adesso ci sono anche i tools winari open-source
https://www.qubes-os.org/news/2016/01/27/windows-t
Prima, com'era sacrosanto, funzionava
esclusivamente win7. Adesso stanno pensando di
ingabbiare anche win8 e la spyEdition (il
10).
Non sarà facile domare la bestia spiona.
Ma se ci dovessero riuscire, potrebbe essere una
soluzione (per quanto estrema) alle aziende che
hanno bisogno di usare winzozz ma che non
vogliono essere
spiate."Second, all mainstream desktop OSes, such as Windows, Linux, BSD, even OSX, are all based on a monolithic kernels,"OSX è basato su microkernel -
Re: debolezza di sistema
"Second, all mainstream desktop OSes, such as
Windows, Linux, BSD, even OSX, are all based on a
monolithic
kernels,"
OSX è basato su microkernelMa a parte questo refuso...che giudizio dai del QubeOS?Hanno pure incorporato le connessioni tramite Whonixhttps://www.whonix.org/wiki/QubesOvvero fanno partire le due macchine virtuali, la workstation ed il gateway, in modo automatico, per nascondere l'indirizzo IP reale alla macchina gateway -
Re: debolezza di sistema
- Scritto da: percolato come te
Password? Capirai, se cani e porci hanno acXXXXX
ai nostri terminali (phon, desk, note/netbook,
quello che vi pare) le password di fatto sono
pura
monnezza.
Ci bucano in un attimo, le vulnerabilità venute a
galla dal datagate ad oggi mettono in evidenza
una realtà impietosa, non importa se windoze uefi
10 spy-metria, Androcess sonda intestinale,
MacachIOS cloud/store sfonnato, Micro$Red-Hat &
Co. aka deBBian contratto "$ociale" systemd e
tutti i figliocci suoi (utumbu amazon edition e
mint les incompétents ISO
bulgare).
Solo questi che ho citato mettono insieme più del
99% dell' utenza mondiale e fanno tutti
c-g-r-.
Tutto bucato e per favore niente idealismi FOSS
del tipo 10-100-1000 occhi: openssl é un
colabrodo, il kernel linux é bloatware
ultrablobbato per ammissione dello stesso
Torvalds, openssh bloatware sforacchiato di
fresco, bloatware anche libc (C++), bloatware gcc
(C++), TOR percolato e via
discorrendo.
Poi ci sono i fan dell' "hardenizzato", quelli
che "io no! Io sono skilled ergo immune".
Purtroppo i metodi utiizzati fanno tutti schifo:
(selinux = sintassi assiro-babilonese by NSA
LoL), apparmor é un fallimento (insieme al
concetto di sandbox), PAM meglio conosciuto come
SCAM (swiss cheese auth mod) (:)) ecc... ecc...
Questo dovrebbe bastare a far capire un po' a
chiunque la situazione tuttaltro che rosea
(cercatevi i link come fanno gli uomini veri
invece di frignare facendo la parte dei bambini
offesi), ma voglio andare avanti e dare la
mazzata finale: per un attimo pensate a tutta
questa spazzatura in esecuzione dentro un aborto
storico chiamato X11... e qui mi viene da
piangere!
Decenni di programmazione hanno dato vita ad un
superbloatware da 13 milioni di linee di codice
che ha come principale caratteristica quello di
essere il migliore, il più persistente e stabile
keylogger (e non solo) del mondo *nix. Cioé, gli
*nix (TUTTI) fano ca**re da linea di comando, se
ci aggiungiamo il server grafico (si struttura
client/server sob) diventa una pagliacciata
totale.
Tanto per fare un esempio il README di xterm
inizia
così:
"Abandon All Hope, Ye Who Enter Here"
https://gist.github.com/danmilon/4719562
Non c'é male o meglio non c'é bene!
Non condanno al 100% il FOSS, la sua funzione é
quella di offrire una piattaforma a tutti coloro
che giustamente non sono disposti a pagare per
del software ancora più schifoso di quello che
viene dato via
gratis.
Di fatto il closed é anche peggio, allo spaghetti
code si somma la backdoor di default
difficilissima da
scovare...
Ma torniamo alla macchietta delle password...
Tutto é sotto il controllo di un' unica
potentissima nazione con due scopi principali:
primo quello di rastrellare informazioni al fine
di mantenere l' establishment. Secondo fare
soldi, ma proprio tanti soldi che servono per...
mantenere l'
establishment!
Anche un bambino capirebbe che in un simile
scenario la "sicurezza" é solo di
intralcio.
Parlare di privacy in assenza di comunicazioni
sicure non ha proprio senso, é una delle parole
che con l' avvento del "big brother MITM social
way of life" ha perso ogni
significato.
E tu feissssbuk, e tu twitty, e tu gugguli, e tu
il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
e tu cisco, e tu HP, e tu Redmond, e tu United
States of Cloud e tutti coloro ti conoscono
meglio di tua madre e i dati nelle loro mani vita
natural durante... la password é l' ultimo dei
tuoi
problemi.
Per quelli dotati di buona volontà e di un
pizzico di saggezza un consiglio: dati sensibili
alla larga dagli host, fate in modo che il
vostro terminale Internet , qualunque esso sia
non abbia niente da
nascondere.XXXXX chi ha il coraggio di contraddirti? Se qualcuno lo fa e perché, e uno dei tanti che ancora oggi non ha capito una fava.Concordo al 1000 % 1000
-
-
-
-
-
passwprd
Le password devono stare sul cloud sempre a disposizione delle autorita' competententi -
le vostre credenziali...
le vostre credenziali rimangono sul dispositivo usato.perdi quello ed hai voglia a cambiare le impronte digitali... fergato per sempre. -
dicesi FUMO
Non sono molto convinto che sia il caso di elogiare i sistemi a riconoscimento biometrico .Alla fine il dato biometrico viene convertito in nientepopodimeno che ... una password ( vogliamo chiamarla chiave ? Fa lo stesso) , quindi chi pesca a strascico se non ci sono ulteriori misure di sicurezza verra' anche facilitato perche' una volta intercettato il "codice supersicuro" questo non potra' nemmeno essere cambiato ... Se usiamo il tutto per autenticarci ad un sito ( mettiamo https come requisito di base ) e noi abbiamo un certificato valido per la copia del sito ( magari creiamo un dominio banca_.com invece di banca.com ) ci prendiamo la chiave e via . Torniamo al solito discorso dei markettari .... la password super sicura e' "@#238fhgjtua8_AD_@#[" ( che nessuno se la ricorda ) , un informatico vi dira' che una password molto sicura e' "c'era una volta in un paese lontano lontano in una casetta in via 24 maggio numero 40 ..." il tempo necessario a un crack brute force della prima ( 256^20 tentativi ( 1,4 x 10^48) e' nettamente inferiore a quello della seconda ( 37^60 tentativi 1,2 *10^94) ammesso che si sappia che la seconda non ha caratteri speciali e maiuscole minuscole altimenti il tempo per la seconda diventa 256^60 circa 3*10^144) ... e la seconda si ricorda molto meglio certo strisciare il dito e' piu' comodo che scrivere 60 caratteri ... ma i 60 caratteri li cambio quando voglio :) il dito e' appena appena piu' difficile-
Re: dicesi FUMO
Fumo sì, ma anche quello che viene riportato. Tante parole, nessun fatto. -
Re: dicesi FUMO
- Scritto da: Lorenzo
Non sono molto convinto che sia il caso di
elogiare i sistemi a riconoscimento biometrico
.
Alla fine il dato biometrico viene convertito in
nientepopodimeno che ... una password ( vogliamo
chiamarla chiave ? Fa lo stesso) , quindi chi
pesca a strascico se non ci sono ulteriori misure
di sicurezza verra' anche facilitato perche' una
volta intercettato il "codice supersicuro" questo
non potra' nemmeno essere cambiato ...
Se usiamo il tutto per autenticarci ad un sito (
mettiamo https come requisito di base ) e noi
abbiamo un certificato valido per la copia del
sito ( magari creiamo un dominio banca_.com
invece di banca.com ) ci prendiamo la chiave e
via .
Torniamo al solito discorso dei markettari ....
la password super sicura e'
"@#238fhgjtua8_AD_@#[" ( che nessuno se la
ricorda ) , un informatico vi dira' che una
password molto sicura e' "c'era una volta in un
paese lontano lontano in una casetta in via 24
maggio numero 40 ..." il tempo necessario a un
crack brute force della prima ( 256^20 tentativi
( 1,4 x 10^48) e' nettamente inferiore a quello
della seconda ( 37^60 tentativi 1,2 *10^94)
ammesso che si sappia che la seconda non ha
caratteri speciali e maiuscole minuscole
altimenti il tempo per la seconda diventa 256^60
circa 3*10^144) ... e la seconda si ricorda
molto meglio
certo strisciare il dito e' piu' comodo che
scrivere 60 caratteri ...
ma i 60 caratteri li cambio quando voglio :) il
dito e' appena appena piu'
difficileci sarebbe un sistema semplice per rendere molto più sicure le password attuali, basterebbe che il sistema richiedesse un minuto di attesa tra un tentativo e un altro, in modo tale che se anche la password giusta fosse digitata prima che sia trascorso il minuto verrebbe considerata sbagliata.I tempi di crack diventerebbero infiniti.-
Re: dicesi FUMO
ci sarebbe un sistema semplice per rendere molto
più sicure le password attuali, basterebbe che il
sistema richiedesse un minuto di attesa tra un
tentativo e un altro, in modo tale che se anche
la password giusta fosse digitata prima che sia
trascorso il minuto verrebbe considerata
sbagliata.
I tempi di crack diventerebbero infiniti.Oppure basterebbe un amplificatore di password, usando una chiave random nel PC (e ricopiata al sicuro SU CARTA da qualche parte).Così ogni tua passwotd utonta tipo "123456", combinata a questa chiave, si trasformerebbero in cose tipo "4AAD9572-2825-491D-A691-215BD8575C489 6E29BEC-0C01-4E15-93FF-86F6 7190D95276F130E0-87A8-4304-96A4-44761A64DE58". O anche più lunghe, tanto c'è un software che le crea, mica devi digitarle a mano.Quindi l'utonto scrive "123456", fa clic su un pulsantone, e il campo "password" da inserire viene riempito com la pappardella di cui sopra.Troppo complicato?e tanti auguri ai signori del brute force.
-
-
Re: dicesi FUMO
- Scritto da: Lorenzo
Torniamo al solito discorso dei markettari ....
la password super sicura e'
"@#238fhgjtua8_AD_@#[" ( che nessuno se la
ricorda ) , un informatico vi dira' che una
password molto sicura e' "c'era una volta in un
paese lontano lontano in una casetta in via 24
maggio numero 40 ..." il tempo necessario a un
crack brute force della prima ( 256^20 tentativi
( 1,4 x 10^48) e' nettamente inferiore a quello
della seconda ( 37^60 tentativi 1,2 *10^94)
ammesso che si sappia che la seconda non ha
caratteri speciali e maiuscole minuscole
altimenti il tempo per la seconda diventa 256^60
circa 3*10^144) ... e la seconda si ricorda
molto meglio
certo strisciare il dito e' piu' comodo che
scrivere 60 caratteri ...
ma i 60 caratteri li cambio quando voglio :) il
dito e' appena appena piu'
difficileTutto molto bello, poi quando ti ritrovi una dozzina di account voglio vedere quante password da 60 caratteri dovrai ricordarti.Aggiungici pure che ogni N mesi vanno sostituite.-
Re: dicesi FUMO
Io uso KeePassX per risolvere a questo problema.Una sola password per sbloccare il database di password generate random per altri servizi.Certamente ho più di una copia di backup del database (che è altrettanto ovvio è una file cifrato e non plaintext)-
Re: dicesi FUMO
- Scritto da: Kenshiro
Io uso KeePassX per risolvere a questo problema.
Una sola password per sbloccare il database di
password generate random per altri
servizi.
Certamente ho più di una copia di backup del
database (che è altrettanto ovvio è una file
cifrato e non
plaintext)Sì, KeePass e affini fungono appunto come token o "mazzo di chiavi", ovvero evitarti per quanto possibile l'uso della password tradizionale.La password testuale da imparare a memoria è un concetto obsoleto e oggi troppo rischioso da mantenere.-
Re: dicesi FUMO
- Scritto da: Albedo 0,9
- Scritto da: Kenshiro
Io uso KeePassX per risolvere a questo
problema.
Una sola password per sbloccare il database
di
password generate random per altri
servizi.
Certamente ho più di una copia di backup del
database (che è altrettanto ovvio è una file
cifrato e non
plaintext)
Sì, KeePass e affini fungono appunto come token o
"mazzo di chiavi", ovvero evitarti per quanto
possibile l'uso della password
tradizionale.
La password testuale da imparare a memoria è un
concetto obsoleto e oggi troppo rischioso da
mantenere.password come queste non sono difficili da memorizzare: 44GiFp3CiRd2 però sono abbastanza sicure. quarantaquattro gatti in fila per tre con il resto di due
-
-
-
Re: dicesi FUMO
- Scritto da: Albedo 0,9
- Scritto da: Lorenzo
Torniamo al solito discorso dei markettari
....
la password super sicura e'
"@#238fhgjtua8_AD_@#[" ( che nessuno se la
ricorda ) , un informatico vi dira' che una
password molto sicura e' "c'era una volta
in
un
paese lontano lontano in una casetta in via
24
maggio numero 40 ..." il tempo necessario a
un
crack brute force della prima ( 256^20
tentativi
( 1,4 x 10^48) e' nettamente inferiore a
quello
della seconda ( 37^60 tentativi 1,2 *10^94)
ammesso che si sappia che la seconda non ha
caratteri speciali e maiuscole minuscole
altimenti il tempo per la seconda diventa
256^60
circa 3*10^144) ... e la seconda si ricorda
molto meglio
certo strisciare il dito e' piu' comodo che
scrivere 60 caratteri ...
ma i 60 caratteri li cambio quando voglio
:)
il
dito e' appena appena piu'
difficile
Tutto molto bello,
poi quando ti ritrovi una dozzina di account
voglio vedere quante password da 60 caratteri
dovrai
ricordarti.
Aggiungici pure che ogni N mesi vanno sostituite.di accounts ne ho molti di più. Ad oggi nessun problema.-
Re: dicesi FUMO
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
- Scritto da: Lorenzo
Torniamo al solito discorso dei
markettari
....
la password super sicura e'
"@#238fhgjtua8_AD_@#[" ( che nessuno
se
la
ricorda ) , un informatico vi dira' che
una
password molto sicura e' "c'era una
volta
in
un
paese lontano lontano in una casetta in
via
24
maggio numero 40 ..." il tempo
necessario
a
un
crack brute force della prima ( 256^20
tentativi
( 1,4 x 10^48) e' nettamente inferiore a
quello
della seconda ( 37^60 tentativi 1,2
*10^94)
ammesso che si sappia che la seconda
non
ha
caratteri speciali e maiuscole minuscole
altimenti il tempo per la seconda
diventa
256^60
circa 3*10^144) ... e la seconda si
ricorda
molto meglio
certo strisciare il dito e' piu' comodo
che
scrivere 60 caratteri ...
ma i 60 caratteri li cambio quando
voglio
:)
il
dito e' appena appena piu'
difficile
Tutto molto bello,
poi quando ti ritrovi una dozzina di account
voglio vedere quante password da 60 caratteri
dovrai
ricordarti.
Aggiungici pure che ogni N mesi vanno
sostituite.
di accounts ne ho molti di più. Ad oggi nessun
problema.Ti aspetti davvero che ci creda?-
Re: dicesi FUMO
- Scritto da: Albedo 0,9
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
- Scritto da: Lorenzo
Torniamo al solito discorso dei
markettari
....
la password super sicura e'
"@#238fhgjtua8_AD_@#[" ( che
nessuno
se
la
ricorda ) , un informatico vi
dira'
che
una
password molto sicura e' "c'era
una
volta
in
un
paese lontano lontano in una
casetta
in
via
24
maggio numero 40 ..." il tempo
necessario
a
un
crack brute force della prima (
256^20
tentativi
( 1,4 x 10^48) e' nettamente
inferiore
a
quello
della seconda ( 37^60 tentativi 1,2
*10^94)
ammesso che si sappia che la
seconda
non
ha
caratteri speciali e maiuscole
minuscole
altimenti il tempo per la seconda
diventa
256^60
circa 3*10^144) ... e la seconda
si
ricorda
molto meglio
certo strisciare il dito e' piu'
comodo
che
scrivere 60 caratteri ...
ma i 60 caratteri li cambio quando
voglio
:)
il
dito e' appena appena piu'
difficile
Tutto molto bello,
poi quando ti ritrovi una dozzina di
account
voglio vedere quante password da 60
caratteri
dovrai
ricordarti.
Aggiungici pure che ogni N mesi vanno
sostituite.
di accounts ne ho molti di più. Ad oggi
nessun
problema.
Ti aspetti davvero che ci creda?sei libero di credere a quel che vuoi -
Re: dicesi FUMO
- Scritto da: PandaR1
Ti aspetti davvero che ci creda?
sei libero di credere a quel che vuoiPreferisco credere alla realtà dei fatti: l'utente medio non è in grado di ricordarsi molte password lunghe.Come mai il pin del bancomat è composto da sole quattro cifre? -
Re: dicesi FUMO
- Scritto da: Albedo 0,9
- Scritto da: PandaR1
Ti aspetti davvero che ci creda?
sei libero di credere a quel che vuoi
Preferisco credere alla realtà dei fatti:
l'utente medio non è in grado di ricordarsi molte
password
lunghe.
non ci sono password da ricordare, ma giusti processi da adottare.
Come mai il pin del bancomat è composto da sole
quattro
cifre?perchè del solo pin senza carta non te ne fai nulla. E hai 3 tentativi prima di bruciartelo. -
Re: dicesi FUMO
- Scritto da: panda rossa
- Scritto da: Albedo 0,9
- Scritto da: PandaR1
Ti aspetti davvero che ci creda?
sei libero di credere a quel che vuoi
Preferisco credere alla realtà dei fatti:
l'utente medio non è in grado di ricordarsi
molte
password
lunghe.
E chissenefrega dell'utente medio?
L'utente medio e' la nostra miglior protezione.
Finche' esistera un utente medio, sara' lui a
pagare per noi in termini di privacy, sicurezza e
quant'altro.Se basi la tua professionalità sull'ignoranza dell'utente medio stai messo proprio bene.Che poi tanta ignoranza non è, se consideri che abbiamo praticamente chiesto all'utenza, caparbiamente per anni, di memorizzare un qualcosa alla pari di tutte le posizioni dei pin delle chiavi del loro mazzo.Le cui chiavi, come non bastasse, da sostituire ogni tot di tempo.Spiacente, ma se devo ricorrere a mezzi come KeePass vuol dire che è stata pensata davvero molto, molto male.
Come mai il pin del bancomat è composto da
sole
quattro
cifre?
Perche' devi avere il bancomat fisico in mano.Vedi quant'è semplice?Deleghi la complessità della password a un mezzo fisico, a portata di mano.Che poi si tratti di una chiave metallica, di un chip o altro, è giusto una questione di mezzo. -
Re: dicesi FUMO
- Scritto da: panda rossa
No, non la professionalita', ma la sicurezza.
E' un po' il principio per cui pur sapendo che e'
insufficiente, tu metti una serratura in piu' del
tuo vicino di casa: il giorno che vengono nel tuo
condominio a rubare, meglio lui che
me.Chiaro.Ma se nel frattempo si sviluppa una buona portineria automatizzata, oltre a fornirti un set di serratura e chiavi più sicure e ugualmente standardizzate, penso che ci guadagnino tutti gli inquilini. No?
Che poi tanta ignoranza non è, se consideri
che
abbiamo praticamente chiesto all'utenza,
caparbiamente per anni, di memorizzare un
qualcosa alla pari di tutte le posizioni dei
pin
delle chiavi del loro
mazzo.
Le cui chiavi, come non bastasse, da
sostituire
ogni tot di
tempo.
E ci hanno dato ascolto?Ovviamente no, visto che si è dimostrata una richiesta più che assurda.
Come mai il pin del bancomat è
composto
da
sole
quattro
cifre?
Perche' devi avere il bancomat fisico in
mano.
Vedi quant'è semplice?
Deleghi la complessità della password a un
mezzo
fisico, a portata di
mano.
Si, ma stiamo parlando di cose diverse.
Il giorno che PI imponesse un token fisico per
far autenticare al suo forum, io mi cancello
l'account e che andassero tutti a prendersela in
saccoccia.Se il token fisico fosse un componente standard e in uso nel pc come negli altri device, che problema avresti?Non ti sto mica obbligando a farti riconoscere univocamente come persona fisica, eh.Ti sto soltanto invitando ad entrare usando un sistema più sicuro dell'obsoleta password, al contrario c'è sempre la possibilità dell'account non registrato.
Che poi si tratti di una chiave metallica,
di
un
chip o altro, è giusto una questione di
mezzo.
Ma perche' imporre una componente fisica quando
e' sufficiente una password diversa da quella
usata per la
valigia?Perché, a mio personale parere, la password delle valigie non garantisce nulla, se non un falso senso di sicurezza. Tanto vale farla fuori. O niente o un sistema sufficientemente sicuro.Allo stesso modo per cui, se devi mettere in sicurezza un server, non vai di certo a rendere disponibili le cyper suite obsolete e bucabili.In tal caso tanto vale viaggiare in chiaro. -
Re: dicesi FUMO
- Scritto da: panda rossa
- Scritto da: Albedo 0,9
- Scritto da: panda rossa
No, non la professionalita', ma la
sicurezza.
E' un po' il principio per cui pur
sapendo
che
e'
insufficiente, tu metti una serratura in
piu'
del
tuo vicino di casa: il giorno che
vengono
nel
tuo
condominio a rubare, meglio lui che
me.
Chiaro.
Ma se nel frattempo si sviluppa una buona
portineria automatizzata, oltre a fornirti
un
set
di serratura e chiavi più sicure e ugualmente
standardizzate, penso che ci guadagnino
tutti
gli
inquilini.
No?
Perche' dovrei pagare io per l'incapacita' altrui?
La portineria costa. (E la portinaia non si fa
mai i fatti
suoi).Perché gli standard di sicurezza si evolvono ed è giusto che tu, in quanto inquilino, ti aggiorni (non è detto che la portinaia debba per forza farsi i fatti altrui, dipende dal tipo di sistema di acXXXXX).
Che poi tanta ignoranza non è, se
consideri
che
abbiamo praticamente chiesto
all'utenza,
caparbiamente per anni, di
memorizzare
un
qualcosa alla pari di tutte le
posizioni
dei
pin
delle chiavi del loro
mazzo.
Le cui chiavi, come non bastasse,
da
sostituire
ogni tot di
tempo.
E ci hanno dato ascolto?
Ovviamente no, visto che si è dimostrata una
richiesta più che
assurda.
Io trovo assurdo che ci sia gente incapace di
memorizzare delle
password.Proviamo, fingiamo che sei un utente medio, eccoti le password ai 9 account che di solito frequenti:- 7815696ecbf1c96e6894b779456d330e- 202cb962ac59075b964b07152d234b70- e3e84538a1b02b1cc11bf71fe3169958- 57705b63dd516663356b14e97caa3f46- d58e3582afa99040e27b92b13c8f2280- a32eade4c838cd65efd532a432febaa9- ac07a1308c5580fbbe57c16afdad1ae3- 84d9cfc2f395ce883a41d7ffc1bbcf4e- 8c71fb3f7593543f2ad180d31148a7cfMemorizzale e prova a ricordartene qualcuna tra un mese.
Come mai il pin del
bancomat
è
composto
da
sole
quattro
cifre?
Perche' devi avere il bancomat
fisico
in
mano.
Vedi quant'è semplice?
Deleghi la complessità della
password
a
un
mezzo
fisico, a portata di
mano.
Si, ma stiamo parlando di cose diverse.
Il giorno che PI imponesse un token
fisico
per
far autenticare al suo forum, io mi
cancello
l'account e che andassero tutti a
prendersela
in
saccoccia.
Se il token fisico fosse un componente
standard
e
in uso nel pc come negli altri device, che
problema avresti?
Il token e' riconducibile a me.
E io non voglio che cio' sia possibile in
determinati
casi.E chi l'ha detto. Il token può benissimo essere parametrico, eh.
Ma perche' imporre una componente fisica
quando
e' sufficiente una password diversa da
quella
usata per la
valigia?
Perché, a mio personale parere, la password
delle
valigie non garantisce nulla, se non un falso
senso di sicurezza. Tanto vale farla fuori. O
niente o un sistema sufficientemente
sicuro.
La password della valigia serve solo a rendere
noto agli altri la mia volonta' a tenere quella
valigia
chiusa.Allora scrivicelo sopra a penna o mettici delle fascette, che tanto è uguale.
Non impedisce certo ad un ladro di spaccare la
serratura ed aprirla comunqe: non e' mica un
forziere
blindato.
Allo stesso modo per cui, se devi mettere in
sicurezza un server, non vai di certo a
rendere
disponibili le cyper suite obsolete e
bucabili.
In tal caso tanto vale viaggiare in chiaro.
A differenza della valigia, il server non lo apri
col piede di
XXXXX.Se ci infili delle cypher suite obsoletissime stai tranquillo che te lo aprono anche col giravite. -
Re: dicesi FUMO
- Scritto da: Albedo 0,9
Spiacente, ma se devo ricorrere a mezzi come
KeePass vuol dire che è stata pensata davvero
molto, molto
male.
Dimmi, dimmi, cosa avrebbe KeePass che non va? Io lo uso con grande soddisfazione su tutti i miei dispositivi.
Vedi quant'è semplice?
Deleghi la complessità della password a un mezzo
fisico, a portata di
mano.
Che poi si tratti di una chiave metallica, di un
chip o altro, è giusto una questione di
mezzo.non deleghi la sicurezza ad un mezzo fisico. Utilizzi, per il bancomat, una autenticazione a 2 fattori (hai la carta e sai il pin).La stessa cosa con cellulare + impronta (hai il cellulare e sei l'impronta). Quel che deve essere chiaro è che cellulare + impronta è una comodità, non una sicurezza, perchè compromessa l'autenticazione, hai compromesso tutto ciò che si appoggia a quella autenticazione.La buona norma di avere autenticazioni diverse per accounts diversi serve a non vedersi compromessi tutti gli accounts in una volta sola. -
Re: dicesi FUMO
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
Spiacente, ma se devo ricorrere a mezzi come
KeePass vuol dire che è stata pensata davvero
molto, molto
male.
Dimmi, dimmi, cosa avrebbe KeePass che non va? Io
lo uso con grande soddisfazione su tutti i miei
dispositivi.
Vedi quant'è semplice?
Deleghi la complessità della password a un
mezzo
fisico, a portata di
mano.
Che poi si tratti di una chiave metallica,
di
un
chip o altro, è giusto una questione di
mezzo.
non deleghi la sicurezza ad un mezzo fisico.
Utilizzi, per il bancomat, una autenticazione a 2
fattori (hai la carta e sai il
pin).
La stessa cosa con cellulare + impronta (hai il
cellulare e sei l'impronta). Quel che deve essere
chiaro è che cellulare + impronta è una comodità,
non una sicurezza, perchè compromessa
l'autenticazione, hai compromesso tutto ciò che
si appoggia a quella
autenticazione.
La buona norma di avere autenticazioni diverse
per accounts diversi serve a non vedersi
compromessi tutti gli accounts in una volta
sola.Ipotizza di rendere più interoperabile il proXXXXX di scambio dati tra Browser e Keepass (no copia-incolla manuale).Invece di una master password lunga, un pin che dopo tot tentativi blocca tutto.Hai ottenuto un sistema molto simile al bancomat, solo che al posto di un componente hardware (il chip della carta) sfrutti un software (KeePass, come contenitore di password/token).Stesso identico discorso dell'impronta+cellulare+pin. L'impronta+cellulare è il modulo hardware.Stesso identico discorso di un token hardware+pin.La tendenza è sempre la stessa: delegare quanto possibile la complessità di sicurezza ai moduli, abbassando la quantità di informazione che l'utente deve mantenere a memoria. -
Re: dicesi FUMO
- Scritto da: Albedo 0,9
Ipotizza di rendere più interoperabile il
proXXXXX di scambio dati tra Browser e Keepass
(no copia-incolla
manuale).Keepass non obbliga al copia incolla; io uso Keepass in two-channel auto-type obfuscation, ad esempio. Se c'è bisogno apre direttamente applicazioni ad esegue login. Offre anche possibilità di HOTP/TOTP.
Invece di una master password lunga, un pin che
dopo tot tentativi blocca
tutto.Keepass offre già anche questo. Come master password io uso una parte mnemonica + password lunga recuperata via nfc/qrcode + challenge response via yubikey (ncf).
Hai ottenuto un sistema molto simile al bancomat,
solo che al posto di un componente hardware (il
chip della carta) sfrutti un software (KeePass,
come contenitore di
password/token).
no. Ripeto che il bancomat offre una autenticazione a 2 fattori. L'autenticazione con keepass offre 1 fattore. Ti serve il secondo (otp o altro) sul servizio in cui intendi autenticarti.
Stesso identico discorso
dell'impronta+cellulare+pin. L'impronta+cellulare
è il modulo
hardware.
Stesso identico discorso di un token hardware+pin.
se utilizzi impronta+cellulare+pin uguale per tutti gli accounts, una volta "rotta" la sicurezza hai "rotto" tutti gli acconts.
La tendenza è sempre la stessa: delegare quanto
possibile la complessità di sicurezza ai moduli,
abbassando la quantità di informazione che
l'utente deve mantenere a
memoria.E questo va bene. Basta che il modulo a cui deleghi la sicurezza non sia sempre lo stesso. -
Re: dicesi FUMO
- Scritto da: PandaR1
Keepass non obbliga al copia incolla; io uso
Keepass in two-channel auto-type obfuscation, ad
esempio. Se c'è bisogno apre direttamente
applicazioni ad esegue login. Offre anche
possibilità di
HOTP/TOTP.[..]
Keepass offre già anche questo. Come master
password io uso una parte mnemonica + password
lunga recuperata via nfc/qrcode + challenge
response via yubikey
(ncf).Grazie per le dritte, soprattutto per quest'ultima parte che sicuramente sperimenterò :)
La tendenza è sempre la stessa: delegare
quanto
possibile la complessità di sicurezza ai
moduli,
abbassando la quantità di informazione che
l'utente deve mantenere a
memoria.
E questo va bene. Basta che il modulo a cui
deleghi la sicurezza non sia sempre lo
stesso.Spiegami meglio questo passaggio.Nel tuo caso, Keepass + yubi ecc.., non è sempre lo stesso modulo? -
Re: dicesi FUMO
- Scritto da: Albedo 0,9
- Scritto da: PandaR1
Grazie per le dritte, soprattutto per
quest'ultima parte che sicuramente sperimenterò
:)
;)
La tendenza è sempre la stessa: delegare
quanto
possibile la complessità di sicurezza ai
moduli,
abbassando la quantità di informazione
che
l'utente deve mantenere a
memoria.
E questo va bene. Basta che il modulo a cui
deleghi la sicurezza non sia sempre lo
stesso.
Spiegami meglio questo passaggio.
Nel tuo caso, Keepass + yubi ecc.., non è sempre
lo stesso
modulo?l'acXXXXX all'archivio delle password avviene comunque sempre con una master password moooolto lunga (ottenuta tramite dispositivi). L'acXXXXX all'archivio ha già 2 fattori (hai l'archivio e sai la password). Ma l'archivio non ti serve a niente, se non ad accedere a servizi. L'acXXXXX a questi servizi basandosi solo sull'archivio è a 1 fattore. Bisogna rinforzare l'acXXXXX al servizio con il secondo fattore (otp o altro). E questo non dipende dall'archivio, ma dal servizio. Quindi per l'acXXXXX al servizio i 2 fattori usati (hai l'otp e sai la password) è sempre diversa. -
Re: dicesi FUMO
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
- Scritto da: PandaR1
Grazie per le dritte, soprattutto per
quest'ultima parte che sicuramente
sperimenterò
:)
;)
La tendenza è sempre la stessa:
delegare
quanto
possibile la complessità di
sicurezza
ai
moduli,
abbassando la quantità di
informazione
che
l'utente deve mantenere a
memoria.
E questo va bene. Basta che il modulo a
cui
deleghi la sicurezza non sia sempre lo
stesso.
Spiegami meglio questo passaggio.
Nel tuo caso, Keepass + yubi ecc.., non è
sempre
lo stesso
modulo?
l'acXXXXX all'archivio delle password avviene
comunque sempre con una master password moooolto
lunga (ottenuta tramite dispositivi). L'acXXXXX
all'archivio ha già 2 fattori (hai l'archivio e
sai la password). Ma l'archivio non ti serve a
niente, se non ad accedere a servizi. L'acXXXXX a
questi servizi basandosi solo sull'archivio è a 1
fattore. Bisogna rinforzare l'acXXXXX al servizio
con il secondo fattore (otp o altro). E questo
non dipende dall'archivio, ma dal servizio.
Quindi per l'acXXXXX al servizio i 2 fattori
usati (hai l'otp e sai la password) è sempre
diversa.Capito.Sì, potrebbe equivalere ad un sistema a 2 fattori dove hai la password debole (pin) e per il challenge si interroga un servizio del device mobile (impronta digitale, token temporale o altro).Il challenge naturalmente varia anche in base al dominio, così come si comporta KeePass con le varie password degli account memorizzati. -
Re: dicesi FUMO
- Scritto da: Izio01
- Scritto da: PandaR1
Dimmi, dimmi, cosa avrebbe KeePass che non
va?
Io
lo uso con grande soddisfazione su tutti i
miei
dispositivi.
(...)
La buona norma di avere autenticazioni
diverse
per accounts diversi serve a non vedersi
compromessi tutti gli accounts in una volta
sola.
Il che è <b
esattamente </b
ciò
che succede se inserisci la password di KeePass
senza sapere che sul tuo PC c'è un
keylogger.
È questo il vero svantaggio di KeePass, a
mio parere. Lo uso anch'io e lo trovo fatto
veramente bene, ma tremo all'idea che qualcuno
scopra la mia chilometrica master
password.
Certo, ho un ulteriore grado di sicurezza, vale a
dire che le password "nude" presenti in KeePass
non bastano. Però, beccata una di esse e beccato
il DB, le trovi
tutte.esattamente. La debolezza nell'utilizzo di keepass sta nella compromissione del dispositivo in cui usi keepass (ed è sotto mio controllo). E' per questo che bisogna aggiungere il secondo fattore di autenticazione sul servizio a cui accedi utilizzando keepass, cambiare password del servizio (ogni tanto) e, perchè no, cambiare password di keepass, ogni tanto.E con dispositivo compromesso non credo che cellulare+impronta sia meglio. -
Re: dicesi FUMO
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
Spiacente, ma se devo ricorrere a mezzi come
KeePass vuol dire che è stata pensata davvero
molto, molto
male.
Dimmi, dimmi, cosa avrebbe KeePass che non va? Io
lo uso con grande soddisfazione su tutti i miei
dispositivi.
non sei a casa tua non hai i tuoi computer, devi accedere a qualsiasi cosa, es la posta o il cloud ti prestano un computer, non hai più le tue password, non puoi fare niente.La memoria è ancora l'unica cosa su sui puoi contare -
Re: dicesi FUMO
- Scritto da: Pietro
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
Spiacente, ma se devo ricorrere a mezzi
come
KeePass vuol dire che è stata pensata
davvero
molto, molto
male.
Dimmi, dimmi, cosa avrebbe KeePass che non
va?
Io
lo uso con grande soddisfazione su tutti i
miei
dispositivi.
non sei a casa tua non hai i tuoi computer, devi
accedere a qualsiasi cosa, es la posta o il cloud
ti prestano un computer, non hai più le tue
password, non puoi fare
niente.
La memoria è ancora l'unica cosa su sui puoi
contareho il mio cellulare, le mie chiavi il mio keepass portable, all'occorrenza.Stiamo parlando di sicurezza e tu parli di accedere alla posta o al cloud o a qualsiasi cosa da un pc che non è il tuo? Senza nemmeno avere un secondo fattore di sicurezza configurato sulla posta o sul cloud o su qualsiasi altra cosa? E allora meglio username "user" e password "password". -
Re: dicesi FUMO
- Scritto da: PandaR1
- Scritto da: Pietro
- Scritto da: PandaR1
- Scritto da: Albedo 0,9
Spiacente, ma se devo ricorrere a
mezzi
come
KeePass vuol dire che è stata
pensata
davvero
molto, molto
male.
Dimmi, dimmi, cosa avrebbe KeePass che
non
va?
Io
lo uso con grande soddisfazione su
tutti
i
miei
dispositivi.
non sei a casa tua non hai i tuoi computer,
devi
accedere a qualsiasi cosa, es la posta o il
cloud
ti prestano un computer, non hai più le tue
password, non puoi fare
niente.
La memoria è ancora l'unica cosa su sui puoi
contare
ho il mio cellulare, le mie chiavi il mio keepass
portable,
all'occorrenza.
Stiamo parlando di sicurezza e tu parli di
accedere alla posta o al cloud o a qualsiasi cosa
da un pc che non è il tuo? Senza nemmeno avere un
secondo fattore di sicurezza configurato sulla
posta o sul cloud o su qualsiasi altra cosa? E
allora meglio username "user" e password
"password".visto ? la catena di sicurezza ferma subito invece dovrebbe poter continuare nonostante tu sia su un computer non tuo. -
Re: dicesi FUMO
- Scritto da: ...
visto ? la catena di sicurezza ferma subito
invece dovrebbe poter continuare nonostante tu
sia su un computer non
tuo.tu si che c'hai visto lungo! Perchè mai chiudere a chiave la porta di casa? E se ci si dimentica la chiave ci si ferma subito. Meglio lasciare la porta aperta.
-
-
-
Re: dicesi FUMO
basta ricordare la prima pagina del tuo libro preferito ... -
Re: dicesi FUMO
- Scritto da: Albedo 0,9
- Scritto da: Lorenzo
Torniamo al solito discorso dei markettari
....
la password super sicura e'
"@#238fhgjtua8_AD_@#[" ( che nessuno se la
ricorda ) , un informatico vi dira' che una
password molto sicura e' "c'era una volta
in
un
paese lontano lontano in una casetta in via
24
maggio numero 40 ..." il tempo necessario a
un
crack brute force della prima ( 256^20
tentativi
( 1,4 x 10^48) e' nettamente inferiore a
quello
della seconda ( 37^60 tentativi 1,2 *10^94)
ammesso che si sappia che la seconda non ha
caratteri speciali e maiuscole minuscole
altimenti il tempo per la seconda diventa
256^60
circa 3*10^144) ... e la seconda si ricorda
molto meglio
certo strisciare il dito e' piu' comodo che
scrivere 60 caratteri ...
ma i 60 caratteri li cambio quando voglio
:)
il
dito e' appena appena piu'
difficile
Tutto molto bello,
poi quando ti ritrovi una dozzina di account
voglio vedere quante password da 60 caratteri
dovrai
ricordarti.
Aggiungici pure che ogni N mesi vanno sostituite.Io uso passwd di NON meno 24 caratteri comprensivi di 123abc@.!ABC ricopiati su carta in un posto a dir poco sicuro.E faccio pure il cambio ogni 5-6 mesi tanto la forza del fuoco in quella data temporale si attacca comunque. ;-)
-
-
Re: dicesi FUMO
ma i 60 caratteri li cambio quando voglio :) il
dito e' appena appena piu'
difficilema te lo immagini uno al bancomat che deve digitare 60 caratteri?
-
-
Crittografia per nubbi
Le password sono troppo complicate, non vanno più di moda e se usate bene funzionano altrettanto bene. E' necessità impellente quindi sostituirle con qualcosa di semplice, tanto alla gente interessa la semplicità e la novitàXXXXX, mica cose complicate che non sanno e non capiscono.Avanti quindi con la semplicitàXXXXX e strombazzata, così già che ci siamo si risolve anche il problema di come craccare facile quello che prima non si poteva fare. Di sicuro XXXXXXXXX che li seguono ne troveranno a sfare. -
RSA
la stessa che ha preso soldi da NSA per implementare crittografia bacata (link per gli smemorati: http://arstechnica.com/security/2013/12/report-nsa-paid-rsa-to-make-flawed-crypto-algorithm-the-default/)?1669 parole per elogiare questi individui?ma per cortesia...
