Germania: Facebook, il mercato e la tratta dei dati

Le autorità antitrust tedesche aprono un'indagine per esplorare le relazioni tra le condizioni d'uso che regolano la raccolta e il trattamento dei dati personali degli utenti e la posizione sul mercato del social network

Roma – Facebook costruisce il proprio business sui dati dei propri utenti, fornitori dei contenuti che intrattengono intere reti di amici, bersagli della pubblicità che gli inserzionisti possono ritagliare sulla base delle informazioni relative ai loro interessi: la Germania, esaminando l’agire sul mercato del social network, sospetta che Facebook abusi della propria posizione dominante sottoponendo agli utenti delle clausole poco chiare relative al trattamento dei dati di cui si nutre il suo business.

La Bundeskartellamt , l’autorità tedesca che vigila sulla competizione sul mercato, ha comunicato di aver avviato un’indagine che coinvolge Facebook Inc. e le sue sussidiarie irlandese e tedesca, per sciogliere i dubbi riguardo alle condizioni d’uso del social network: potenzialmente lesive nei confronti dei consumatori e del loro diritto alla privacy, come le autorità tedesche hanno già avuto modo di osservare in ripetute occasioni, sono legate a doppio filo con le attività di business di Menlo Park.

“È difficile per gli utenti comprendere e afferrare gli intenti del contratto che accettano – spiega l’autorità tedesca – C’è un dubbio rilevante riguardo a questa procedura, in particolare in relazione alle leggi nazionali che tutelano i dati personali”. “Se ci fosse una connessione tra queste violazioni e la posizione dominante sul mercato – prosegue il garante – si tratterebbe anche di una violazione delle leggi che regolano la competizione”.

L’operazione del garante tedesco, condotta in stretta collaborazione con il garante della privacy locale già protagonista di un’istruttoria su Facebook a fianco di altri garanti europei, mira dunque ad indagare le relazioni fra queste condizioni d’uso, che descrivono la raccolta e il trattamento dei dati degli utenti, e la posizione di Facebook nello scenario dei social network: Facebook potrebbe essersi guadagnato una posizione dominante proprio sulla base di queste clausole, e potrebbe continuare ad imporle ai propri utenti contando sulla propria posizione dominante, che garantisce l’attrattiva di effetti di rete che social network meno fitti e sterminati non possono vantare.

L’indagine dell’autorità antitrust, inoltre, potrebbe rappresentare una soluzione per aggirare le argomentazioni in materia di giurisdizione che spesso Facebook ha sollevato nell’ambito di casi che avevano per oggetto la privacy, nel tentativo di ricondurli al peculiare contesto irlandese

Facebook ha già reso noto di essere a piena disposizione delle autorità tedesche per fare chiarezza.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Il fuddaro scrive:
    Re: debolezza di sistema
    - Scritto da: Il fuddaro
    - Scritto da: percolato come te

    Password? Capirai, se cani e porci hanno acXXXXX

    ai nostri terminali (phon, desk, note/netbook,

    quello che vi pare) le password di fatto sono

    pura

    monnezza.



    Ci bucano in un attimo, le vulnerabilità venute
    a

    galla dal datagate ad oggi mettono in evidenza

    una realtà impietosa, non importa se windoze
    uefi

    10 spy-metria, Androcess sonda intestinale,

    MacachIOS cloud/store sfonnato, Micro$Red-Hat &

    Co. aka deBBian contratto "$ociale" systemd e

    tutti i figliocci suoi (utumbu amazon edition e

    mint les incompétents ISO

    bulgare).



    Solo questi che ho citato mettono insieme più
    del

    99% dell' utenza mondiale e fanno tutti

    c-g-r-.



    Tutto bucato e per favore niente idealismi FOSS

    del tipo 10-100-1000 occhi: openssl é un

    colabrodo, il kernel linux é bloatware

    ultrablobbato per ammissione dello stesso

    Torvalds, openssh bloatware sforacchiato di

    fresco, bloatware anche libc (C++), bloatware
    gcc

    (C++), TOR percolato e via

    discorrendo.



    Poi ci sono i fan dell' "hardenizzato", quelli

    che "io no! Io sono skilled ergo immune".

    Purtroppo i metodi utiizzati fanno tutti schifo:

    (selinux = sintassi assiro-babilonese by NSA

    LoL), apparmor é un fallimento (insieme al

    concetto di sandbox), PAM meglio conosciuto come

    SCAM (swiss cheese auth mod) (:)) ecc... ecc...





    Questo dovrebbe bastare a far capire un po' a

    chiunque la situazione tuttaltro che rosea

    (cercatevi i link come fanno gli uomini veri

    invece di frignare facendo la parte dei bambini

    offesi), ma voglio andare avanti e dare la

    mazzata finale: per un attimo pensate a tutta

    questa spazzatura in esecuzione dentro un aborto

    storico chiamato X11... e qui mi viene da

    piangere!



    Decenni di programmazione hanno dato vita ad un

    superbloatware da 13 milioni di linee di codice

    che ha come principale caratteristica quello di

    essere il migliore, il più persistente e stabile

    keylogger (e non solo) del mondo *nix. Cioé, gli

    *nix (TUTTI) fano ca**re da linea di comando, se

    ci aggiungiamo il server grafico (si struttura

    client/server sob) diventa una pagliacciata

    totale.



    Tanto per fare un esempio il README di xterm

    inizia

    così:



    "Abandon All Hope, Ye Who Enter Here"



    https://gist.github.com/danmilon/4719562



    Non c'é male o meglio non c'é bene!



    Non condanno al 100% il FOSS, la sua funzione é

    quella di offrire una piattaforma a tutti coloro

    che giustamente non sono disposti a pagare per

    del software ancora più schifoso di quello che

    viene dato via

    gratis.



    Di fatto il closed é anche peggio, allo
    spaghetti

    code si somma la backdoor di default

    difficilissima da

    scovare...



    Ma torniamo alla macchietta delle password...



    Tutto é sotto il controllo di un' unica

    potentissima nazione con due scopi principali:

    primo quello di rastrellare informazioni al fine

    di mantenere l' establishment. Secondo fare

    soldi, ma proprio tanti soldi che servono per...

    mantenere l'

    establishment!



    Anche un bambino capirebbe che in un simile

    scenario la "sicurezza" é solo di

    intralcio.



    Parlare di privacy in assenza di comunicazioni

    sicure non ha proprio senso, é una delle parole

    che con l' avvento del "big brother MITM social

    way of life" ha perso ogni

    significato.



    E tu feissssbuk, e tu twitty, e tu gugguli, e tu

    il DNuSa, e tu cool (:|), e tu wintel, e tu amd,

    e tu cisco, e tu HP, e tu Redmond, e tu United

    States of Cloud e tutti coloro ti conoscono

    meglio di tua madre e i dati nelle loro mani
    vita

    natural durante... la password é l' ultimo dei

    tuoi

    problemi.



    Per quelli dotati di buona volontà e di un

    pizzico di saggezza un consiglio: dati sensibili

    alla larga dagli host, fate in modo che il

    vostro terminale Internet , qualunque esso
    sia

    non abbia niente da

    nascondere.

    XXXXX chi ha il coraggio di contraddirti? Se
    qualcuno lo fa e perché, e uno dei tanti che
    ancora oggi non ha capito una
    fava.

    Concordo al 1000 % 1000Ha dimenticavo, il tizio del' intervista o i tizi, sappiamo tutti quanti sono credibili vero?Non vorrei sparare XXXXXXX ma sulle loro buste paga, se messe in trasparenza il Watermark visibile è %n%s%a%
  • Pietro scrive:
    debolezza di sistema
    il problema che rende le password deboli è il fatto che la password rimane sempre la stessa e quindi tentativo dopo tentativo prima o poi si crakka , se la password cambiasse ogni volta sarebbe impossibile superare la protezione.
    • PandaR1 scrive:
      Re: debolezza di sistema
      - Scritto da: Pietro
      il problema che rende le password deboli è il
      fatto che la password rimane sempre la stessa e
      quindi tentativo dopo tentativo prima o poi si
      crakka , se la password cambiasse ogni volta
      sarebbe impossibile superare la
      protezione.(newbie)(newbie)
      • Pietro scrive:
        Re: debolezza di sistema
        - Scritto da: PandaR1
        - Scritto da: Pietro

        il problema che rende le password deboli è il

        fatto che la password rimane sempre la
        stessa
        e

        quindi tentativo dopo tentativo prima o poi
        si

        crakka , se la password cambiasse ogni volta

        sarebbe impossibile superare la

        protezione.

        (newbie)(newbie)poca fantasia vero?
        • PandaR1 scrive:
          Re: debolezza di sistema
          - Scritto da: Pietro
          - Scritto da: PandaR1

          - Scritto da: Pietro


          il problema che rende le password
          deboli è
          il


          fatto che la password rimane sempre la

          stessa

          e


          quindi tentativo dopo tentativo prima o
          poi

          si


          crakka , se la password cambiasse ogni
          volta


          sarebbe impossibile superare la


          protezione.



          (newbie)(newbie)
          poca fantasia vero?nella sicurezza non ci vuole tanta fantasia. Basta attenersi a semplici regole. Non sono abbastanza semplici per tutti? Pazienza.
          • Pietro scrive:
            Re: debolezza di sistema
            - Scritto da: PandaR1
            - Scritto da: Pietro

            - Scritto da: PandaR1


            - Scritto da: Pietro



            il problema che rende le password

            deboli è

            il



            fatto che la password rimane
            sempre
            la


            stessa


            e



            quindi tentativo dopo tentativo
            prima
            o

            poi


            si



            crakka , se la password cambiasse
            ogni

            volta



            sarebbe impossibile superare la



            protezione.





            (newbie)(newbie)

            poca fantasia vero?

            nella sicurezza non ci vuole tanta fantasia.
            Basta attenersi a semplici regole. Non sono
            abbastanza semplici per tutti?
            Pazienza.Prova, fai uno sforzo, immagina un sistema dove ci sia poco da ricordare ma la password cambia ogni volta
          • PandaR1 scrive:
            Re: debolezza di sistema
            - Scritto da: Pietro
            - Scritto da: PandaR1

            - Scritto da: Pietro


            - Scritto da: PandaR1



            - Scritto da: Pietro




            il problema che rende le
            password


            deboli è


            il




            fatto che la password rimane

            sempre

            la



            stessa



            e




            quindi tentativo dopo
            tentativo

            prima

            o


            poi



            si




            crakka , se la password
            cambiasse

            ogni


            volta




            sarebbe impossibile superare
            la




            protezione.







            (newbie)(newbie)


            poca fantasia vero?



            nella sicurezza non ci vuole tanta fantasia.

            Basta attenersi a semplici regole. Non sono

            abbastanza semplici per tutti?

            Pazienza.
            Prova, fai uno sforzo, immagina un sistema dove
            ci sia poco da ricordare ma la password cambia
            ogni
            voltati consiglio un timestamp come otp.Saluti
    • peppino scrive:
      Re: debolezza di sistema
      - Scritto da: Pietro
      il problema che rende le password deboli è il
      fatto che <s
      la password rimane sempre la stessa e
      quindi tentativo dopo tentativo prima o poi si
      crakka , se la password cambiasse ogni volta
      sarebbe impossibile superare la
      protezione. </s
      le infrastrutture che *ospitano*
      le credenziali spesso non sono altrettanto
      affidabili, dato che alcuni registrano ancora
      le password in chiaro nel db, anziché usare metodi
      universalmente noti come salt+hashfixed
      • Pietro scrive:
        Re: debolezza di sistema
        - Scritto da: peppino
        - Scritto da: Pietro

        il problema che rende le password deboli è il

        fatto che <s
        la password rimane
        sempre la stessa
        e

        quindi tentativo dopo tentativo prima o poi
        si

        crakka , se la password cambiasse ogni volta

        sarebbe impossibile superare la

        protezione. </s
        le infrastrutture
        che
        *ospitano*

        le credenziali spesso non sono altrettanto

        affidabili, dato che alcuni registrano ancora

        le password in chiaro nel db, anziché usare
        metodi

        universalmente noti come salt+hash

        fixedcompletamente diverso da quello che ho detto e non modifica il problema
        • percolato come te scrive:
          Re: debolezza di sistema
          Password? Capirai, se cani e porci hanno acXXXXX ai nostri terminali (phon, desk, note/netbook, quello che vi pare) le password di fatto sono pura monnezza.Ci bucano in un attimo, le vulnerabilità venute a galla dal datagate ad oggi mettono in evidenza una realtà impietosa, non importa se windoze uefi 10 spy-metria, Androcess sonda intestinale, MacachIOS cloud/store sfonnato, Micro$Red-Hat & Co. aka deBBian contratto "$ociale" systemd e tutti i figliocci suoi (utumbu amazon edition e mint les incompétents ISO bulgare).Solo questi che ho citato mettono insieme più del 99% dell' utenza mondiale e fanno tutti c-g-r-.Tutto bucato e per favore niente idealismi FOSS del tipo 10-100-1000 occhi: openssl é un colabrodo, il kernel linux é bloatware ultrablobbato per ammissione dello stesso Torvalds, openssh bloatware sforacchiato di fresco, bloatware anche libc (C++), bloatware gcc (C++), TOR percolato e via discorrendo.Poi ci sono i fan dell' "hardenizzato", quelli che "io no! Io sono skilled ergo immune". Purtroppo i metodi utiizzati fanno tutti schifo: (selinux = sintassi assiro-babilonese by NSA LoL), apparmor é un fallimento (insieme al concetto di sandbox), PAM meglio conosciuto come SCAM (swiss cheese auth mod) (:)) ecc... ecc... Questo dovrebbe bastare a far capire un po' a chiunque la situazione tuttaltro che rosea (cercatevi i link come fanno gli uomini veri invece di frignare facendo la parte dei bambini offesi), ma voglio andare avanti e dare la mazzata finale: per un attimo pensate a tutta questa spazzatura in esecuzione dentro un aborto storico chiamato X11... e qui mi viene da piangere!Decenni di programmazione hanno dato vita ad un superbloatware da 13 milioni di linee di codice che ha come principale caratteristica quello di essere il migliore, il più persistente e stabile keylogger (e non solo) del mondo *nix. Cioé, gli *nix (TUTTI) fano ca**re da linea di comando, se ci aggiungiamo il server grafico (si struttura client/server sob) diventa una pagliacciata totale.Tanto per fare un esempio il README di xterm inizia così:"Abandon All Hope, Ye Who Enter Here"https://gist.github.com/danmilon/4719562Non c'é male o meglio non c'é bene!Non condanno al 100% il FOSS, la sua funzione é quella di offrire una piattaforma a tutti coloro che giustamente non sono disposti a pagare per del software ancora più schifoso di quello che viene dato via gratis.Di fatto il closed é anche peggio, allo spaghetti code si somma la backdoor di default difficilissima da scovare...Ma torniamo alla macchietta delle password... Tutto é sotto il controllo di un' unica potentissima nazione con due scopi principali: primo quello di rastrellare informazioni al fine di mantenere l' establishment. Secondo fare soldi, ma proprio tanti soldi che servono per... mantenere l' establishment!Anche un bambino capirebbe che in un simile scenario la "sicurezza" é solo di intralcio.Parlare di privacy in assenza di comunicazioni sicure non ha proprio senso, é una delle parole che con l' avvento del "big brother MITM social way of life" ha perso ogni significato.E tu feissssbuk, e tu twitty, e tu gugguli, e tu il DNuSa, e tu cool (:|), e tu wintel, e tu amd, e tu cisco, e tu HP, e tu Redmond, e tu United States of Cloud e tutti coloro ti conoscono meglio di tua madre e i dati nelle loro mani vita natural durante... la password é l' ultimo dei tuoi problemi.Per quelli dotati di buona volontà e di un pizzico di saggezza un consiglio: dati sensibili alla larga dagli host, fate in modo che il vostro terminale Internet , qualunque esso sia non abbia niente da nascondere.
          • percolato come te scrive:
            Re: debolezza di sistema
            Uff, tutt' altro... refuso.
          • Mario scrive:
            Re: debolezza di sistema
            - Scritto da: percolato come te
            Password? Capirai, se cani e porci hanno acXXXXX
            ai nostri terminali (phon, desk, note/netbook,
            quello che vi pare) le password di fatto sono
            pura
            monnezza.

            Ci bucano in un attimo, le vulnerabilità venute a
            galla dal datagate ad oggi mettono in evidenza
            una realtà impietosa, non importa se windoze uefi
            10 spy-metria, Androcess sonda intestinale,
            MacachIOS cloud/store sfonnato, Micro$Red-Hat &
            Co. aka deBBian contratto "$ociale" systemd e
            tutti i figliocci suoi (utumbu amazon edition e
            mint les incompétents ISO
            bulgare).

            Solo questi che ho citato mettono insieme più del
            99% dell' utenza mondiale e fanno tutti
            c-g-r-.

            Tutto bucato e per favore niente idealismi FOSS
            del tipo 10-100-1000 occhi: openssl é un
            colabrodo, il kernel linux é bloatware
            ultrablobbato per ammissione dello stesso
            Torvalds, openssh bloatware sforacchiato di
            fresco, bloatware anche libc (C++), bloatware gcc
            (C++), TOR percolato e via
            discorrendo.

            Poi ci sono i fan dell' "hardenizzato", quelli
            che "io no! Io sono skilled ergo immune".
            Purtroppo i metodi utiizzati fanno tutti schifo:
            (selinux = sintassi assiro-babilonese by NSA
            LoL), apparmor é un fallimento (insieme al
            concetto di sandbox), PAM meglio conosciuto come
            SCAM (swiss cheese auth mod) (:)) ecc... ecc...


            Questo dovrebbe bastare a far capire un po' a
            chiunque la situazione tuttaltro che rosea
            (cercatevi i link come fanno gli uomini veri
            invece di frignare facendo la parte dei bambini
            offesi), ma voglio andare avanti e dare la
            mazzata finale: per un attimo pensate a tutta
            questa spazzatura in esecuzione dentro un aborto
            storico chiamato X11... e qui mi viene da
            piangere!

            Decenni di programmazione hanno dato vita ad un
            superbloatware da 13 milioni di linee di codice
            che ha come principale caratteristica quello di
            essere il migliore, il più persistente e stabile
            keylogger (e non solo) del mondo *nix. Cioé, gli
            *nix (TUTTI) fano ca**re da linea di comando, se
            ci aggiungiamo il server grafico (si struttura
            client/server sob) diventa una pagliacciata
            totale.

            Tanto per fare un esempio il README di xterm
            inizia
            così:

            "Abandon All Hope, Ye Who Enter Here"

            https://gist.github.com/danmilon/4719562

            Non c'é male o meglio non c'é bene!

            Non condanno al 100% il FOSS, la sua funzione é
            quella di offrire una piattaforma a tutti coloro
            che giustamente non sono disposti a pagare per
            del software ancora più schifoso di quello che
            viene dato via
            gratis.

            Di fatto il closed é anche peggio, allo spaghetti
            code si somma la backdoor di default
            difficilissima da
            scovare...

            Ma torniamo alla macchietta delle password...

            Tutto é sotto il controllo di un' unica
            potentissima nazione con due scopi principali:
            primo quello di rastrellare informazioni al fine
            di mantenere l' establishment. Secondo fare
            soldi, ma proprio tanti soldi che servono per...
            mantenere l'
            establishment!

            Anche un bambino capirebbe che in un simile
            scenario la "sicurezza" é solo di
            intralcio.

            Parlare di privacy in assenza di comunicazioni
            sicure non ha proprio senso, é una delle parole
            che con l' avvento del "big brother MITM social
            way of life" ha perso ogni
            significato.

            E tu feissssbuk, e tu twitty, e tu gugguli, e tu
            il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
            e tu cisco, e tu HP, e tu Redmond, e tu United
            States of Cloud e tutti coloro ti conoscono
            meglio di tua madre e i dati nelle loro mani vita
            natural durante... la password é l' ultimo dei
            tuoi
            problemi.

            Per quelli dotati di buona volontà e di un
            pizzico di saggezza un consiglio: dati sensibili
            alla larga dagli host, fate in modo che <b
            il
            vostro terminale Internet </b
            , qualunque esso sia
            non abbia niente da
            nascondere.Se fosse veramente come dici tu perchè in Usa si stanno strappando i capelii di fronte ad un iPhone chiuso, hanno tirato in ballo anche la corte suprema, aprirlo dovrebbe essere una passeggiata
          • percolato meno di te scrive:
            Re: debolezza di sistema
            Per farti credere che l' iphogne é sicuro da un lato (prima volta che registra un calo di vendite - http://bgr.com/2016/01/27/tim-cook-explains-iphone-sales-decline-march-2016/) e per creare il precedente dall' altro (backdoor a norma di legge).Finito di raccontare balle sul grande circo mediatico (industria dell' "informazione"), si rinuiscono afra di loro per bere una bella birra nel dopolavoro e si sbellicano dalle risate leggendo commenti come il tuo.[img]http://www.startup-book.com/wp-content/uploads/2011/04/titandinnerwnames.jpg[/img](anonimo)E' un teatrino per sondare il popolino, ma alla fine le aziende IT USSL ti sbucherellacchiano come gli pare.
          • Mario scrive:
            Re: debolezza di sistema
            - Scritto da: percolato meno di te
            Per farti credere che l' iphogne é sicuro da un
            lato (prima volta che registra un calo di vendite
            -
            http://bgr.com/2016/01/27/tim-cook-explains-iphone

            Finito di raccontare balle sul grande circo
            mediatico (industria dell' "informazione"), si
            rinuiscono afra di loro per bere una bella birra
            nel dopolavoro e si sbellicano dalle risate
            leggendo commenti come il
            tuo.

            [img]http://www.startup-book.com/wp-content/upload

            (anonimo)

            E' un teatrino per sondare il popolino, ma alla
            fine le aziende IT USSL ti sbucherellacchiano
            come gli
            pare.quindi il governo americano sta facendo causa ad Apple per farle pubblicità? E per quale motivo?
          • tu percolatis simo scrive:
            Re: debolezza di sistema
            Bastava leggere il commento era tutto spiegato nei minimi dettagli, se non ce la fai non é colpa mia :p.
          • Il fuddaro scrive:
            Re: debolezza di sistema
            - Scritto da: Mario
            - Scritto da: percolato meno di te

            Per farti credere che l' iphogne é sicuro da
            un

            lato (prima volta che registra un calo di
            vendite

            -


            http://bgr.com/2016/01/27/tim-cook-explains-iphone



            Finito di raccontare balle sul grande circo

            mediatico (industria dell' "informazione"),
            si

            rinuiscono afra di loro per bere una bella
            birra

            nel dopolavoro e si sbellicano dalle risate

            leggendo commenti come il

            tuo.




            [img]http://www.startup-book.com/wp-content/upload



            (anonimo)



            E' un teatrino per sondare il popolino, ma
            alla

            fine le aziende IT USSL ti sbucherellacchiano

            come gli

            pare.
            quindi il governo americano sta facendo causa ad
            Apple per farle pubblicità? E per quale
            motivo?Perché nel Mondo non c'è posto per i tontoloni come Mario!!!Più vedo in giro gente che al' evidenza continua a scuotere la testa, e più capisco quale era il lavoro finale di un austriaco col baffetto. :((
          • rassegnato scrive:
            Re: debolezza di sistema
            Semplice, vogliono che diventi LEGALE. vogliono che diventi la regola. Il governo deve avere il diritto di entrarti in casa senza chiedere il permesso...
          • Mario scrive:
            Re: debolezza di sistema
            - Scritto da: rassegnato
            Semplice, vogliono che diventi LEGALE. vogliono
            che diventi la regola. Il governo deve avere il
            diritto di entrarti in casa senza chiedere il
            permesso...Decidetevi, il governo USA sta facendo pubblicità ad Apple, oppure il governo vuole che i sistemi siano apribili, le due cose non stanno insieme
          • per cool ato scrive:
            Re: debolezza di sistema
            Te lo dico da amico: 2 piccioni con una fava, forse così capisci. Forse.Ultimamente mi sembra di parlare alle lapidi... solitudine...E c'é chi ha il coraggio di chiedersi come mai siamo arrivati al nefasto risultato della privacy 0.
          • Mario scrive:
            Re: debolezza di sistema
            - Scritto da: per cool ato
            Te lo dico da amico: 2 piccioni con una fava,
            forse così capisci.
            Forse.

            Ultimamente mi sembra di parlare alle lapidi...
            solitudine...

            E c'é chi ha il coraggio di chiedersi come mai
            siamo arrivati al nefasto risultato della privacy
            0.ah ho capito, è un complotto.
          • percolato scrive:
            Re: debolezza di sistema
            E' un problema di XXXXXXXXXtà.
          • Il fuddaro scrive:
            Re: debolezza di sistema
            - Scritto da: Mario
            - Scritto da: rassegnato

            Semplice, vogliono che diventi LEGALE.
            vogliono

            che diventi la regola. Il governo deve avere
            il

            diritto di entrarti in casa senza chiedere il

            permesso...
            Decidetevi, il governo USA sta facendo pubblicità
            ad Apple, oppure il governo vuole che i sistemi
            siano apribili, le due cose non stanno
            insiemeNo tu non sei fatto per questo Mondo. Anzi ripensandoci per loro sei il tipo ideale!
          • AxAx scrive:
            Re: debolezza di sistema
            Secondo me stanna avvalorando la tesi che non possno entrarci. E anche se l'FBI (che è solo polizia) non ci riesce stai sicuro che a livello militare e di intelligence ci riescono e come.
          • Mario scrive:
            Re: debolezza di sistema
            - Scritto da: AxAx
            Secondo me stanna avvalorando la tesi che non
            possno entrarci. E anche se l'FBI (che è solo
            polizia) non ci riesce stai sicuro che a livello
            militare e di intelligence ci riescono e
            come.non sarei così sicuro, sembra che l'FBI sia andata troppo oltre con i tentativi, l'iPhone è ormai completamente criptato e nessuno ha la chiave nemmeno apple
          • sei fuori scrive:
            Re: debolezza di sistema
            AHAHAHHAHAHAHAHAHHAHAHAHAHAAHHAAH!!!!Dimostralo!!!
          • Il fuddaro scrive:
            Re: debolezza di sistema
            - Scritto da: Mario
            - Scritto da: AxAx

            Secondo me stanna avvalorando la tesi che non

            possno entrarci. E anche se l'FBI (che è solo

            polizia) non ci riesce stai sicuro che a
            livello

            militare e di intelligence ci riescono e

            come.
            non sarei così sicuro, sembra che l'FBI sia
            andata troppo oltre con i tentativi, l'iPhone è
            ormai completamente criptato e nessuno ha la
            chiave nemmeno
            appleSenti figliolo.. un consiglio da oggi pratica il culto cristiano e fatti prete, e meglio per te.
          • Il fuddaro scrive:
            Re: debolezza di sistema
            - Scritto da: Mario
            - Scritto da: AxAx

            Secondo me stanna avvalorando la tesi che non

            possno entrarci. E anche se l'FBI (che è solo

            polizia) non ci riesce stai sicuro che a
            livello

            militare e di intelligence ci riescono e

            come.
            non sarei così sicuro, sembra che l'FBI sia
            andata troppo oltre con i tentativi, l'iPhone è
            ormai completamente criptato e nessuno ha la
            chiave nemmeno
            appleGuarda tu sei andato certamente oltre l'XXXXXXXXXtà se sei così convinto di quello che dici. Se altrimenti stai "solo" trollando, ti dico suga.. compà!!
          • xx tt scrive:
            Re: debolezza di sistema
            O sommo Minosse, che tutto giudichi, cosa ne pensi di QubeOS?
          • xx tt scrive:
            Re: debolezza di sistema
            Tanto per capirci:http://blog.invisiblethings.org/2012/09/12/how-is-qubes-os-different-from.htmlAdesso ci sono anche i tools winari open-sourcehttps://www.qubes-os.org/news/2016/01/27/windows-tools-open-source/Prima, com'era sacrosanto, funzionava esclusivamente win7. Adesso stanno pensando di ingabbiare anche win8 e la spyEdition (il 10).Non sarà facile domare la bestia spiona. Ma se ci dovessero riuscire, potrebbe essere una soluzione (per quanto estrema) alle aziende che hanno bisogno di usare winzozz ma che non vogliono essere spiate.
          • Pietro scrive:
            Re: debolezza di sistema
            - Scritto da: xx tt
            Tanto per capirci:
            http://blog.invisiblethings.org/2012/09/12/how-is-

            Adesso ci sono anche i tools winari open-source
            https://www.qubes-os.org/news/2016/01/27/windows-t

            Prima, com'era sacrosanto, funzionava
            esclusivamente win7. Adesso stanno pensando di
            ingabbiare anche win8 e la spyEdition (il
            10).

            Non sarà facile domare la bestia spiona.
            Ma se ci dovessero riuscire, potrebbe essere una
            soluzione (per quanto estrema) alle aziende che
            hanno bisogno di usare winzozz ma che non
            vogliono essere
            spiate."Second, all mainstream desktop OSes, such as Windows, Linux, BSD, even OSX, are all based on a monolithic kernels,"OSX è basato su microkernel
          • xx tt scrive:
            Re: debolezza di sistema

            "Second, all mainstream desktop OSes, such as
            Windows, Linux, BSD, even OSX, are all based on a
            monolithic
            kernels,"

            OSX è basato su microkernelMa a parte questo refuso...che giudizio dai del QubeOS?Hanno pure incorporato le connessioni tramite Whonixhttps://www.whonix.org/wiki/QubesOvvero fanno partire le due macchine virtuali, la workstation ed il gateway, in modo automatico, per nascondere l'indirizzo IP reale alla macchina gateway
          • Il fuddaro scrive:
            Re: debolezza di sistema
            - Scritto da: percolato come te
            Password? Capirai, se cani e porci hanno acXXXXX
            ai nostri terminali (phon, desk, note/netbook,
            quello che vi pare) le password di fatto sono
            pura
            monnezza.

            Ci bucano in un attimo, le vulnerabilità venute a
            galla dal datagate ad oggi mettono in evidenza
            una realtà impietosa, non importa se windoze uefi
            10 spy-metria, Androcess sonda intestinale,
            MacachIOS cloud/store sfonnato, Micro$Red-Hat &
            Co. aka deBBian contratto "$ociale" systemd e
            tutti i figliocci suoi (utumbu amazon edition e
            mint les incompétents ISO
            bulgare).

            Solo questi che ho citato mettono insieme più del
            99% dell' utenza mondiale e fanno tutti
            c-g-r-.

            Tutto bucato e per favore niente idealismi FOSS
            del tipo 10-100-1000 occhi: openssl é un
            colabrodo, il kernel linux é bloatware
            ultrablobbato per ammissione dello stesso
            Torvalds, openssh bloatware sforacchiato di
            fresco, bloatware anche libc (C++), bloatware gcc
            (C++), TOR percolato e via
            discorrendo.

            Poi ci sono i fan dell' "hardenizzato", quelli
            che "io no! Io sono skilled ergo immune".
            Purtroppo i metodi utiizzati fanno tutti schifo:
            (selinux = sintassi assiro-babilonese by NSA
            LoL), apparmor é un fallimento (insieme al
            concetto di sandbox), PAM meglio conosciuto come
            SCAM (swiss cheese auth mod) (:)) ecc... ecc...


            Questo dovrebbe bastare a far capire un po' a
            chiunque la situazione tuttaltro che rosea
            (cercatevi i link come fanno gli uomini veri
            invece di frignare facendo la parte dei bambini
            offesi), ma voglio andare avanti e dare la
            mazzata finale: per un attimo pensate a tutta
            questa spazzatura in esecuzione dentro un aborto
            storico chiamato X11... e qui mi viene da
            piangere!

            Decenni di programmazione hanno dato vita ad un
            superbloatware da 13 milioni di linee di codice
            che ha come principale caratteristica quello di
            essere il migliore, il più persistente e stabile
            keylogger (e non solo) del mondo *nix. Cioé, gli
            *nix (TUTTI) fano ca**re da linea di comando, se
            ci aggiungiamo il server grafico (si struttura
            client/server sob) diventa una pagliacciata
            totale.

            Tanto per fare un esempio il README di xterm
            inizia
            così:

            "Abandon All Hope, Ye Who Enter Here"

            https://gist.github.com/danmilon/4719562

            Non c'é male o meglio non c'é bene!

            Non condanno al 100% il FOSS, la sua funzione é
            quella di offrire una piattaforma a tutti coloro
            che giustamente non sono disposti a pagare per
            del software ancora più schifoso di quello che
            viene dato via
            gratis.

            Di fatto il closed é anche peggio, allo spaghetti
            code si somma la backdoor di default
            difficilissima da
            scovare...

            Ma torniamo alla macchietta delle password...

            Tutto é sotto il controllo di un' unica
            potentissima nazione con due scopi principali:
            primo quello di rastrellare informazioni al fine
            di mantenere l' establishment. Secondo fare
            soldi, ma proprio tanti soldi che servono per...
            mantenere l'
            establishment!

            Anche un bambino capirebbe che in un simile
            scenario la "sicurezza" é solo di
            intralcio.

            Parlare di privacy in assenza di comunicazioni
            sicure non ha proprio senso, é una delle parole
            che con l' avvento del "big brother MITM social
            way of life" ha perso ogni
            significato.

            E tu feissssbuk, e tu twitty, e tu gugguli, e tu
            il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
            e tu cisco, e tu HP, e tu Redmond, e tu United
            States of Cloud e tutti coloro ti conoscono
            meglio di tua madre e i dati nelle loro mani vita
            natural durante... la password é l' ultimo dei
            tuoi
            problemi.

            Per quelli dotati di buona volontà e di un
            pizzico di saggezza un consiglio: dati sensibili
            alla larga dagli host, fate in modo che il
            vostro terminale Internet , qualunque esso sia
            non abbia niente da
            nascondere.XXXXX chi ha il coraggio di contraddirti? Se qualcuno lo fa e perché, e uno dei tanti che ancora oggi non ha capito una fava.Concordo al 1000 % 1000
  • mondo sicuro scrive:
    passwprd
    Le password devono stare sul cloud sempre a disposizione delle autorita' competententi
    • panda rossa scrive:
      Re: passwprd
      - Scritto da: mondo sicuro
      Le password devono stare sul cloud sempre a
      disposizione delle autorita'
      competententiMa per carita'!Una cosa del genere e' assolutamente improponibile.Molto meglio obbligare a trasmettere sempre in chiaro!
  • sandrin scrive:
    le vostre credenziali...
    le vostre credenziali rimangono sul dispositivo usato.perdi quello ed hai voglia a cambiare le impronte digitali... fergato per sempre.
  • Lorenzo scrive:
    dicesi FUMO
    Non sono molto convinto che sia il caso di elogiare i sistemi a riconoscimento biometrico .Alla fine il dato biometrico viene convertito in nientepopodimeno che ... una password ( vogliamo chiamarla chiave ? Fa lo stesso) , quindi chi pesca a strascico se non ci sono ulteriori misure di sicurezza verra' anche facilitato perche' una volta intercettato il "codice supersicuro" questo non potra' nemmeno essere cambiato ... Se usiamo il tutto per autenticarci ad un sito ( mettiamo https come requisito di base ) e noi abbiamo un certificato valido per la copia del sito ( magari creiamo un dominio banca_.com invece di banca.com ) ci prendiamo la chiave e via . Torniamo al solito discorso dei markettari .... la password super sicura e' "@#238fhgjtua8_AD_@#[" ( che nessuno se la ricorda ) , un informatico vi dira' che una password molto sicura e' "c'era una volta in un paese lontano lontano in una casetta in via 24 maggio numero 40 ..." il tempo necessario a un crack brute force della prima ( 256^20 tentativi ( 1,4 x 10^48) e' nettamente inferiore a quello della seconda ( 37^60 tentativi 1,2 *10^94) ammesso che si sappia che la seconda non ha caratteri speciali e maiuscole minuscole altimenti il tempo per la seconda diventa 256^60 circa 3*10^144) ... e la seconda si ricorda molto meglio certo strisciare il dito e' piu' comodo che scrivere 60 caratteri ... ma i 60 caratteri li cambio quando voglio :) il dito e' appena appena piu' difficile
    • bradipao scrive:
      Re: dicesi FUMO
      - Scritto da: Lorenzo
      certo strisciare il dito e' piu' comodo che
      scrivere 60 caratteri ...
      ma i 60 caratteri li cambio quando voglio :) il
      dito e' appena appena piu' difficileNon solo il dito è una password che non puoi cambiare......ma ne lasci una copia su tutto quello che tocchi!! (rotfl)
      • PandaR1 scrive:
        Re: dicesi FUMO
        - Scritto da: bradipao
        - Scritto da: Lorenzo

        certo strisciare il dito e' piu' comodo che

        scrivere 60 caratteri ...

        ma i 60 caratteri li cambio quando voglio :) il

        dito e' appena appena piu' difficile

        Non solo il dito è una password che non puoi
        cambiare...

        ...ma ne lasci una copia su tutto quello che
        tocchi!!
        (rotfl)il dito non è una password. E' una username.
        • panda rossa scrive:
          Re: dicesi FUMO
          - Scritto da: PandaR1
          - Scritto da: bradipao

          - Scritto da: Lorenzo


          certo strisciare il dito e' piu' comodo
          che


          scrivere 60 caratteri ...


          ma i 60 caratteri li cambio quando
          voglio :)
          il


          dito e' appena appena piu' difficile



          Non solo il dito è una password che non puoi

          cambiare...



          ...ma ne lasci una copia su tutto quello che

          tocchi!!

          (rotfl)

          il dito non è una password. E' una username.Ancora peggio.Renderebbe impossibile l'anonimato, il morphing e il trolling.
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: panda rossa
            - Scritto da: PandaR1

            - Scritto da: bradipao


            - Scritto da: Lorenzo



            certo strisciare il dito e' piu'
            comodo

            che



            scrivere 60 caratteri ...



            ma i 60 caratteri li cambio quando

            voglio :)

            il



            dito e' appena appena piu'
            difficile





            Non solo il dito è una password che non
            puoi


            cambiare...





            ...ma ne lasci una copia su tutto
            quello
            che


            tocchi!!


            (rotfl)



            il dito non è una password. E' una username.

            Ancora peggio.
            Renderebbe impossibile l'anonimato, il morphing e
            il
            trolling.per quello basta comprarsi uno di questi [img]http://prodottiperestetica.eu/media/catalog/product/cache/1/image/600x600/9df78eab33525d08d6e5fb8d27136e95/0/0/002_-_ok_2.jpg[/img]
          • panda rossa scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1

            per quello basta comprarsi uno di questiCos'e'? (newbie)E soprattutto a cosa serve?
          • rockroll scrive:
            Re: dicesi FUMO
            - Scritto da: panda rossa
            - Scritto da: PandaR1




            per quello basta comprarsi uno di questi


            Cos'e'? (newbie)
            E soprattutto a cosa serve?E' un gadget per signore reperibile in ogni sexy-shop
          • zack scrive:
            Re: dicesi FUMO
            - Scritto da: rockroll
            - Scritto da: panda rossa

            - Scritto da: PandaR1

            Cos'e'? (newbie)

            E soprattutto a cosa serve?

            E' un gadget per signore reperibile in ogni
            sexy-shopPerò agganciato alla parete starebbe bene anche come appendiabiti :)
          • ... scrive:
            Re: dicesi FUMO
            - Scritto da: rockroll
            - Scritto da: panda rossa

            - Scritto da: PandaR1







            per quello basta comprarsi uno di questi





            Cos'e'? (newbie)

            E soprattutto a cosa serve?

            E' un gadget per signore reperibile in ogni
            sexy-shopper signore senza dita?
    • Luca scrive:
      Re: dicesi FUMO
      Fumo sì, ma anche quello che viene riportato. Tante parole, nessun fatto.
    • Pietro scrive:
      Re: dicesi FUMO
      - Scritto da: Lorenzo
      Non sono molto convinto che sia il caso di
      elogiare i sistemi a riconoscimento biometrico
      .
      Alla fine il dato biometrico viene convertito in
      nientepopodimeno che ... una password ( vogliamo
      chiamarla chiave ? Fa lo stesso) , quindi chi
      pesca a strascico se non ci sono ulteriori misure
      di sicurezza verra' anche facilitato perche' una
      volta intercettato il "codice supersicuro" questo
      non potra' nemmeno essere cambiato ...


      Se usiamo il tutto per autenticarci ad un sito (
      mettiamo https come requisito di base ) e noi
      abbiamo un certificato valido per la copia del
      sito ( magari creiamo un dominio banca_.com
      invece di banca.com ) ci prendiamo la chiave e
      via .


      Torniamo al solito discorso dei markettari ....
      la password super sicura e'
      "@#238fhgjtua8_AD_@#[" ( che nessuno se la
      ricorda ) , un informatico vi dira' che una
      password molto sicura e' "c'era una volta in un
      paese lontano lontano in una casetta in via 24
      maggio numero 40 ..." il tempo necessario a un
      crack brute force della prima ( 256^20 tentativi
      ( 1,4 x 10^48) e' nettamente inferiore a quello
      della seconda ( 37^60 tentativi 1,2 *10^94)
      ammesso che si sappia che la seconda non ha
      caratteri speciali e maiuscole minuscole
      altimenti il tempo per la seconda diventa 256^60
      circa 3*10^144) ... e la seconda si ricorda
      molto meglio


      certo strisciare il dito e' piu' comodo che
      scrivere 60 caratteri ...

      ma i 60 caratteri li cambio quando voglio :) il
      dito e' appena appena piu'
      difficileci sarebbe un sistema semplice per rendere molto più sicure le password attuali, basterebbe che il sistema richiedesse un minuto di attesa tra un tentativo e un altro, in modo tale che se anche la password giusta fosse digitata prima che sia trascorso il minuto verrebbe considerata sbagliata.I tempi di crack diventerebbero infiniti.
      • xx tt scrive:
        Re: dicesi FUMO

        ci sarebbe un sistema semplice per rendere molto
        più sicure le password attuali, basterebbe che il
        sistema richiedesse un minuto di attesa tra un
        tentativo e un altro, in modo tale che se anche
        la password giusta fosse digitata prima che sia
        trascorso il minuto verrebbe considerata
        sbagliata.
        I tempi di crack diventerebbero infiniti.Oppure basterebbe un amplificatore di password, usando una chiave random nel PC (e ricopiata al sicuro SU CARTA da qualche parte).Così ogni tua passwotd utonta tipo "123456", combinata a questa chiave, si trasformerebbero in cose tipo "4AAD9572-2825-491D-A691-215BD8575C489 6E29BEC-0C01-4E15-93FF-86F6 7190D95276F130E0-87A8-4304-96A4-44761A64DE58". O anche più lunghe, tanto c'è un software che le crea, mica devi digitarle a mano.Quindi l'utonto scrive "123456", fa clic su un pulsantone, e il campo "password" da inserire viene riempito com la pappardella di cui sopra.Troppo complicato?e tanti auguri ai signori del brute force.
    • Albedo 0,9 scrive:
      Re: dicesi FUMO
      - Scritto da: Lorenzo
      Torniamo al solito discorso dei markettari ....
      la password super sicura e'
      "@#238fhgjtua8_AD_@#[" ( che nessuno se la
      ricorda ) , un informatico vi dira' che una
      password molto sicura e' "c'era una volta in un
      paese lontano lontano in una casetta in via 24
      maggio numero 40 ..." il tempo necessario a un
      crack brute force della prima ( 256^20 tentativi
      ( 1,4 x 10^48) e' nettamente inferiore a quello
      della seconda ( 37^60 tentativi 1,2 *10^94)
      ammesso che si sappia che la seconda non ha
      caratteri speciali e maiuscole minuscole
      altimenti il tempo per la seconda diventa 256^60
      circa 3*10^144) ... e la seconda si ricorda
      molto meglio


      certo strisciare il dito e' piu' comodo che
      scrivere 60 caratteri ...

      ma i 60 caratteri li cambio quando voglio :) il
      dito e' appena appena piu'
      difficileTutto molto bello, poi quando ti ritrovi una dozzina di account voglio vedere quante password da 60 caratteri dovrai ricordarti.Aggiungici pure che ogni N mesi vanno sostituite.
      • Kenshiro scrive:
        Re: dicesi FUMO
        Io uso KeePassX per risolvere a questo problema.Una sola password per sbloccare il database di password generate random per altri servizi.Certamente ho più di una copia di backup del database (che è altrettanto ovvio è una file cifrato e non plaintext)
        • Albedo 0,9 scrive:
          Re: dicesi FUMO
          - Scritto da: Kenshiro
          Io uso KeePassX per risolvere a questo problema.
          Una sola password per sbloccare il database di
          password generate random per altri
          servizi.
          Certamente ho più di una copia di backup del
          database (che è altrettanto ovvio è una file
          cifrato e non
          plaintext)Sì, KeePass e affini fungono appunto come token o "mazzo di chiavi", ovvero evitarti per quanto possibile l'uso della password tradizionale.La password testuale da imparare a memoria è un concetto obsoleto e oggi troppo rischioso da mantenere.
          • Pietro scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: Kenshiro

            Io uso KeePassX per risolvere a questo
            problema.

            Una sola password per sbloccare il database
            di

            password generate random per altri

            servizi.

            Certamente ho più di una copia di backup del

            database (che è altrettanto ovvio è una file

            cifrato e non

            plaintext)

            Sì, KeePass e affini fungono appunto come token o
            "mazzo di chiavi", ovvero evitarti per quanto
            possibile l'uso della password
            tradizionale.

            La password testuale da imparare a memoria è un
            concetto obsoleto e oggi troppo rischioso da
            mantenere.password come queste non sono difficili da memorizzare: 44GiFp3CiRd2 però sono abbastanza sicure. quarantaquattro gatti in fila per tre con il resto di due
      • PandaR1 scrive:
        Re: dicesi FUMO
        - Scritto da: Albedo 0,9
        - Scritto da: Lorenzo

        Torniamo al solito discorso dei markettari
        ....

        la password super sicura e'

        "@#238fhgjtua8_AD_@#[" ( che nessuno se la

        ricorda ) , un informatico vi dira' che una

        password molto sicura e' "c'era una volta
        in
        un

        paese lontano lontano in una casetta in via
        24

        maggio numero 40 ..." il tempo necessario a
        un

        crack brute force della prima ( 256^20
        tentativi

        ( 1,4 x 10^48) e' nettamente inferiore a
        quello

        della seconda ( 37^60 tentativi 1,2 *10^94)

        ammesso che si sappia che la seconda non ha

        caratteri speciali e maiuscole minuscole

        altimenti il tempo per la seconda diventa
        256^60

        circa 3*10^144) ... e la seconda si ricorda

        molto meglio





        certo strisciare il dito e' piu' comodo che

        scrivere 60 caratteri ...



        ma i 60 caratteri li cambio quando voglio
        :)
        il

        dito e' appena appena piu'

        difficile


        Tutto molto bello,
        poi quando ti ritrovi una dozzina di account
        voglio vedere quante password da 60 caratteri
        dovrai
        ricordarti.
        Aggiungici pure che ogni N mesi vanno sostituite.di accounts ne ho molti di più. Ad oggi nessun problema.
        • Albedo 0,9 scrive:
          Re: dicesi FUMO
          - Scritto da: PandaR1
          - Scritto da: Albedo 0,9

          - Scritto da: Lorenzo


          Torniamo al solito discorso dei
          markettari

          ....


          la password super sicura e'


          "@#238fhgjtua8_AD_@#[" ( che nessuno
          se
          la


          ricorda ) , un informatico vi dira' che
          una


          password molto sicura e' "c'era una
          volta

          in

          un


          paese lontano lontano in una casetta in
          via

          24


          maggio numero 40 ..." il tempo
          necessario
          a

          un


          crack brute force della prima ( 256^20

          tentativi


          ( 1,4 x 10^48) e' nettamente inferiore a

          quello


          della seconda ( 37^60 tentativi 1,2
          *10^94)


          ammesso che si sappia che la seconda
          non
          ha


          caratteri speciali e maiuscole minuscole


          altimenti il tempo per la seconda
          diventa

          256^60


          circa 3*10^144) ... e la seconda si
          ricorda


          molto meglio








          certo strisciare il dito e' piu' comodo
          che


          scrivere 60 caratteri ...





          ma i 60 caratteri li cambio quando
          voglio


          :)

          il


          dito e' appena appena piu'


          difficile





          Tutto molto bello,

          poi quando ti ritrovi una dozzina di account

          voglio vedere quante password da 60 caratteri

          dovrai

          ricordarti.

          Aggiungici pure che ogni N mesi vanno
          sostituite.

          di accounts ne ho molti di più. Ad oggi nessun
          problema.Ti aspetti davvero che ci creda?
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: PandaR1

            - Scritto da: Albedo 0,9


            - Scritto da: Lorenzo



            Torniamo al solito discorso dei

            markettari


            ....



            la password super sicura e'



            "@#238fhgjtua8_AD_@#[" ( che
            nessuno

            se

            la



            ricorda ) , un informatico vi
            dira'
            che

            una



            password molto sicura e' "c'era
            una

            volta


            in


            un



            paese lontano lontano in una
            casetta
            in

            via


            24



            maggio numero 40 ..." il tempo

            necessario

            a


            un



            crack brute force della prima (
            256^20


            tentativi



            ( 1,4 x 10^48) e' nettamente
            inferiore
            a


            quello



            della seconda ( 37^60 tentativi 1,2

            *10^94)



            ammesso che si sappia che la
            seconda

            non

            ha



            caratteri speciali e maiuscole
            minuscole



            altimenti il tempo per la seconda

            diventa


            256^60



            circa 3*10^144) ... e la seconda
            si

            ricorda



            molto meglio











            certo strisciare il dito e' piu'
            comodo

            che



            scrivere 60 caratteri ...







            ma i 60 caratteri li cambio quando

            voglio




            :)


            il



            dito e' appena appena piu'



            difficile








            Tutto molto bello,


            poi quando ti ritrovi una dozzina di
            account


            voglio vedere quante password da 60
            caratteri


            dovrai


            ricordarti.


            Aggiungici pure che ogni N mesi vanno

            sostituite.



            di accounts ne ho molti di più. Ad oggi
            nessun

            problema.

            Ti aspetti davvero che ci creda?sei libero di credere a quel che vuoi
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1

            Ti aspetti davvero che ci creda?

            sei libero di credere a quel che vuoiPreferisco credere alla realtà dei fatti: l'utente medio non è in grado di ricordarsi molte password lunghe.Come mai il pin del bancomat è composto da sole quattro cifre?
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: PandaR1



            Ti aspetti davvero che ci creda?



            sei libero di credere a quel che vuoi

            Preferisco credere alla realtà dei fatti:
            l'utente medio non è in grado di ricordarsi molte
            password
            lunghe.
            non ci sono password da ricordare, ma giusti processi da adottare.
            Come mai il pin del bancomat è composto da sole
            quattro
            cifre?perchè del solo pin senza carta non te ne fai nulla. E hai 3 tentativi prima di bruciartelo.
          • panda rossa scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: PandaR1



            Ti aspetti davvero che ci creda?



            sei libero di credere a quel che vuoi

            Preferisco credere alla realtà dei fatti:
            l'utente medio non è in grado di ricordarsi molte
            password
            lunghe.E chissenefrega dell'utente medio?L'utente medio e' la nostra miglior protezione.Finche' esistera un utente medio, sara' lui a pagare per noi in termini di privacy, sicurezza e quant'altro.
            Come mai il pin del bancomat è composto da sole
            quattro
            cifre?Perche' devi avere il bancomat fisico in mano.
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: panda rossa
            - Scritto da: Albedo 0,9

            - Scritto da: PandaR1





            Ti aspetti davvero che ci creda?





            sei libero di credere a quel che vuoi



            Preferisco credere alla realtà dei fatti:

            l'utente medio non è in grado di ricordarsi
            molte

            password

            lunghe.

            E chissenefrega dell'utente medio?

            L'utente medio e' la nostra miglior protezione.
            Finche' esistera un utente medio, sara' lui a
            pagare per noi in termini di privacy, sicurezza e
            quant'altro.Se basi la tua professionalità sull'ignoranza dell'utente medio stai messo proprio bene.Che poi tanta ignoranza non è, se consideri che abbiamo praticamente chiesto all'utenza, caparbiamente per anni, di memorizzare un qualcosa alla pari di tutte le posizioni dei pin delle chiavi del loro mazzo.Le cui chiavi, come non bastasse, da sostituire ogni tot di tempo.Spiacente, ma se devo ricorrere a mezzi come KeePass vuol dire che è stata pensata davvero molto, molto male.

            Come mai il pin del bancomat è composto da
            sole

            quattro

            cifre?

            Perche' devi avere il bancomat fisico in mano.Vedi quant'è semplice?Deleghi la complessità della password a un mezzo fisico, a portata di mano.Che poi si tratti di una chiave metallica, di un chip o altro, è giusto una questione di mezzo.
          • panda rossa scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: panda rossa

            - Scritto da: Albedo 0,9


            - Scritto da: PandaR1







            Ti aspetti davvero che ci
            creda?







            sei libero di credere a quel che
            vuoi





            Preferisco credere alla realtà dei
            fatti:


            l'utente medio non è in grado di
            ricordarsi

            molte


            password


            lunghe.



            E chissenefrega dell'utente medio?



            L'utente medio e' la nostra miglior
            protezione.

            Finche' esistera un utente medio, sara' lui a

            pagare per noi in termini di privacy,
            sicurezza
            e

            quant'altro.

            Se basi la tua professionalità sull'ignoranza
            dell'utente medio stai messo proprio
            bene.No, non la professionalita', ma la sicurezza.E' un po' il principio per cui pur sapendo che e' insufficiente, tu metti una serratura in piu' del tuo vicino di casa: il giorno che vengono nel tuo condominio a rubare, meglio lui che me.
            Che poi tanta ignoranza non è, se consideri che
            abbiamo praticamente chiesto all'utenza,
            caparbiamente per anni, di memorizzare un
            qualcosa alla pari di tutte le posizioni dei pin
            delle chiavi del loro
            mazzo.
            Le cui chiavi, come non bastasse, da sostituire
            ogni tot di
            tempo.E ci hanno dato ascolto?
            Spiacente, ma se devo ricorrere a mezzi come
            KeePass vuol dire che è stata pensata davvero
            molto, molto
            male.Io non ho bisogno di KeyPass.


            Come mai il pin del bancomat è composto
            da

            sole


            quattro


            cifre?



            Perche' devi avere il bancomat fisico in
            mano.

            Vedi quant'è semplice?
            Deleghi la complessità della password a un mezzo
            fisico, a portata di
            mano.Si, ma stiamo parlando di cose diverse.Il giorno che PI imponesse un token fisico per far autenticare al suo forum, io mi cancello l'account e che andassero tutti a prendersela in saccoccia.
            Che poi si tratti di una chiave metallica, di un
            chip o altro, è giusto una questione di
            mezzo.Ma perche' imporre una componente fisica quando e' sufficiente una password diversa da quella usata per la valigia?
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: panda rossa
            No, non la professionalita', ma la sicurezza.
            E' un po' il principio per cui pur sapendo che e'
            insufficiente, tu metti una serratura in piu' del
            tuo vicino di casa: il giorno che vengono nel tuo
            condominio a rubare, meglio lui che
            me.Chiaro.Ma se nel frattempo si sviluppa una buona portineria automatizzata, oltre a fornirti un set di serratura e chiavi più sicure e ugualmente standardizzate, penso che ci guadagnino tutti gli inquilini. No?

            Che poi tanta ignoranza non è, se consideri
            che

            abbiamo praticamente chiesto all'utenza,

            caparbiamente per anni, di memorizzare un

            qualcosa alla pari di tutte le posizioni dei
            pin

            delle chiavi del loro

            mazzo.

            Le cui chiavi, come non bastasse, da
            sostituire

            ogni tot di

            tempo.

            E ci hanno dato ascolto?Ovviamente no, visto che si è dimostrata una richiesta più che assurda.



            Come mai il pin del bancomat è
            composto

            da


            sole



            quattro



            cifre?





            Perche' devi avere il bancomat fisico in

            mano.



            Vedi quant'è semplice?

            Deleghi la complessità della password a un
            mezzo

            fisico, a portata di

            mano.

            Si, ma stiamo parlando di cose diverse.
            Il giorno che PI imponesse un token fisico per
            far autenticare al suo forum, io mi cancello
            l'account e che andassero tutti a prendersela in
            saccoccia.Se il token fisico fosse un componente standard e in uso nel pc come negli altri device, che problema avresti?Non ti sto mica obbligando a farti riconoscere univocamente come persona fisica, eh.Ti sto soltanto invitando ad entrare usando un sistema più sicuro dell'obsoleta password, al contrario c'è sempre la possibilità dell'account non registrato.

            Che poi si tratti di una chiave metallica,
            di
            un

            chip o altro, è giusto una questione di

            mezzo.

            Ma perche' imporre una componente fisica quando
            e' sufficiente una password diversa da quella
            usata per la
            valigia?Perché, a mio personale parere, la password delle valigie non garantisce nulla, se non un falso senso di sicurezza. Tanto vale farla fuori. O niente o un sistema sufficientemente sicuro.Allo stesso modo per cui, se devi mettere in sicurezza un server, non vai di certo a rendere disponibili le cyper suite obsolete e bucabili.In tal caso tanto vale viaggiare in chiaro.
          • panda rossa scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: panda rossa

            No, non la professionalita', ma la sicurezza.

            E' un po' il principio per cui pur sapendo
            che
            e'

            insufficiente, tu metti una serratura in
            piu'
            del

            tuo vicino di casa: il giorno che vengono
            nel
            tuo

            condominio a rubare, meglio lui che

            me.

            Chiaro.
            Ma se nel frattempo si sviluppa una buona
            portineria automatizzata, oltre a fornirti un set
            di serratura e chiavi più sicure e ugualmente
            standardizzate, penso che ci guadagnino tutti gli
            inquilini.
            No?Perche' dovrei pagare io per l'incapacita' altrui?La portineria costa. (E la portinaia non si fa mai i fatti suoi).


            Che poi tanta ignoranza non è, se
            consideri

            che


            abbiamo praticamente chiesto all'utenza,


            caparbiamente per anni, di memorizzare
            un


            qualcosa alla pari di tutte le
            posizioni
            dei

            pin


            delle chiavi del loro


            mazzo.


            Le cui chiavi, come non bastasse, da

            sostituire


            ogni tot di


            tempo.



            E ci hanno dato ascolto?

            Ovviamente no, visto che si è dimostrata una
            richiesta più che
            assurda.Io trovo assurdo che ci sia gente incapace di memorizzare delle password.




            Come mai il pin del bancomat è

            composto


            da



            sole




            quattro




            cifre?







            Perche' devi avere il bancomat
            fisico
            in


            mano.





            Vedi quant'è semplice?


            Deleghi la complessità della password a
            un

            mezzo


            fisico, a portata di


            mano.



            Si, ma stiamo parlando di cose diverse.

            Il giorno che PI imponesse un token fisico
            per

            far autenticare al suo forum, io mi cancello

            l'account e che andassero tutti a
            prendersela
            in

            saccoccia.

            Se il token fisico fosse un componente standard e
            in uso nel pc come negli altri device, che
            problema avresti?Il token e' riconducibile a me.E io non voglio che cio' sia possibile in determinati casi.
            Non ti sto mica obbligando a farti riconoscere
            univocamente come persona fisica,
            eh.Nel momento in cui il tocken sara' standard e il sistema operativo avra' una libreria integrata (con backdoor governativa) per la gestione del token, tutti ne faranno uso.Non e' un panorama auspicabile.
            Ti sto soltanto invitando ad entrare usando un
            sistema più sicuro dell'obsoleta password, al
            contrario c'è sempre la possibilità dell'account
            non registrato.Tu proponi entrambe le soluzioni e lascia a me scegliere quella che ritengo piu' sicura per me.


            Che poi si tratti di una chiave
            metallica,

            di

            un


            chip o altro, è giusto una questione di


            mezzo.



            Ma perche' imporre una componente fisica
            quando

            e' sufficiente una password diversa da quella

            usata per la

            valigia?

            Perché, a mio personale parere, la password delle
            valigie non garantisce nulla, se non un falso
            senso di sicurezza. Tanto vale farla fuori. O
            niente o un sistema sufficientemente
            sicuro.La password della valigia serve solo a rendere noto agli altri la mia volonta' a tenere quella valigia chiusa.Non impedisce certo ad un ladro di spaccare la serratura ed aprirla comunqe: non e' mica un forziere blindato.
            Allo stesso modo per cui, se devi mettere in
            sicurezza un server, non vai di certo a rendere
            disponibili le cyper suite obsolete e
            bucabili.
            In tal caso tanto vale viaggiare in chiaro.A differenza della valigia, il server non lo apri col piede di XXXXX.
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: panda rossa
            - Scritto da: Albedo 0,9

            - Scritto da: panda rossa


            No, non la professionalita', ma la
            sicurezza.


            E' un po' il principio per cui pur
            sapendo

            che

            e'


            insufficiente, tu metti una serratura in

            piu'

            del


            tuo vicino di casa: il giorno che
            vengono

            nel

            tuo


            condominio a rubare, meglio lui che


            me.



            Chiaro.

            Ma se nel frattempo si sviluppa una buona

            portineria automatizzata, oltre a fornirti
            un
            set

            di serratura e chiavi più sicure e ugualmente

            standardizzate, penso che ci guadagnino
            tutti
            gli

            inquilini.

            No?

            Perche' dovrei pagare io per l'incapacita' altrui?
            La portineria costa. (E la portinaia non si fa
            mai i fatti
            suoi).Perché gli standard di sicurezza si evolvono ed è giusto che tu, in quanto inquilino, ti aggiorni (non è detto che la portinaia debba per forza farsi i fatti altrui, dipende dal tipo di sistema di acXXXXX).



            Che poi tanta ignoranza non è, se

            consideri


            che



            abbiamo praticamente chiesto
            all'utenza,



            caparbiamente per anni, di
            memorizzare

            un



            qualcosa alla pari di tutte le

            posizioni

            dei


            pin



            delle chiavi del loro



            mazzo.



            Le cui chiavi, come non bastasse,
            da


            sostituire



            ogni tot di



            tempo.





            E ci hanno dato ascolto?



            Ovviamente no, visto che si è dimostrata una

            richiesta più che

            assurda.

            Io trovo assurdo che ci sia gente incapace di
            memorizzare delle
            password.Proviamo, fingiamo che sei un utente medio, eccoti le password ai 9 account che di solito frequenti:- 7815696ecbf1c96e6894b779456d330e- 202cb962ac59075b964b07152d234b70- e3e84538a1b02b1cc11bf71fe3169958- 57705b63dd516663356b14e97caa3f46- d58e3582afa99040e27b92b13c8f2280- a32eade4c838cd65efd532a432febaa9- ac07a1308c5580fbbe57c16afdad1ae3- 84d9cfc2f395ce883a41d7ffc1bbcf4e- 8c71fb3f7593543f2ad180d31148a7cfMemorizzale e prova a ricordartene qualcuna tra un mese.





            Come mai il pin del
            bancomat
            è


            composto



            da




            sole





            quattro





            cifre?









            Perche' devi avere il bancomat

            fisico

            in



            mano.







            Vedi quant'è semplice?



            Deleghi la complessità della
            password
            a

            un


            mezzo



            fisico, a portata di



            mano.





            Si, ma stiamo parlando di cose diverse.


            Il giorno che PI imponesse un token
            fisico

            per


            far autenticare al suo forum, io mi
            cancello


            l'account e che andassero tutti a

            prendersela

            in


            saccoccia.



            Se il token fisico fosse un componente
            standard
            e

            in uso nel pc come negli altri device, che

            problema avresti?

            Il token e' riconducibile a me.
            E io non voglio che cio' sia possibile in
            determinati
            casi.E chi l'ha detto. Il token può benissimo essere parametrico, eh.


            Ma perche' imporre una componente fisica

            quando


            e' sufficiente una password diversa da
            quella


            usata per la


            valigia?



            Perché, a mio personale parere, la password
            delle

            valigie non garantisce nulla, se non un falso

            senso di sicurezza. Tanto vale farla fuori. O

            niente o un sistema sufficientemente

            sicuro.

            La password della valigia serve solo a rendere
            noto agli altri la mia volonta' a tenere quella
            valigia
            chiusa.Allora scrivicelo sopra a penna o mettici delle fascette, che tanto è uguale.
            Non impedisce certo ad un ladro di spaccare la
            serratura ed aprirla comunqe: non e' mica un
            forziere
            blindato.


            Allo stesso modo per cui, se devi mettere in

            sicurezza un server, non vai di certo a
            rendere

            disponibili le cyper suite obsolete e

            bucabili.

            In tal caso tanto vale viaggiare in chiaro.

            A differenza della valigia, il server non lo apri
            col piede di
            XXXXX.Se ci infili delle cypher suite obsoletissime stai tranquillo che te lo aprono anche col giravite.
          • panda rossa scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: panda rossa

            - Scritto da: Albedo 0,9


            - Scritto da: panda rossa



            No, non la professionalita', ma la

            sicurezza.



            E' un po' il principio per cui pur

            sapendo


            che


            e'



            insufficiente, tu metti una
            serratura
            in


            piu'


            del



            tuo vicino di casa: il giorno che

            vengono


            nel


            tuo



            condominio a rubare, meglio lui che



            me.





            Chiaro.


            Ma se nel frattempo si sviluppa una
            buona


            portineria automatizzata, oltre a
            fornirti

            un

            set


            di serratura e chiavi più sicure e
            ugualmente


            standardizzate, penso che ci guadagnino

            tutti

            gli


            inquilini.


            No?



            Perche' dovrei pagare io per l'incapacita'
            altrui?

            La portineria costa. (E la portinaia non si
            fa

            mai i fatti

            suoi).

            Perché gli standard di sicurezza si evolvono ed è
            giusto che tu, in quanto inquilino, ti aggiorni
            (non è detto che la portinaia debba per forza
            farsi i fatti altrui, dipende dal tipo di sistema
            di
            acXXXXX).Ma io mi aggiorno! Mi sono messo una porta blindata al cui confronto il caveau della banca sembra carta velina, e per colpa di un branco di ignoranti che si sono fatti abbindolare dal markettaro, complice l'amministratore di condominio, mi tocca pagare una portinaia e rinunciare alla mia porta blindata?Non esiste!

            Proviamo, fingiamo che sei un utente medio,
            eccoti le password ai 9 account che di solito
            frequenti:
            - 7815696ecbf1c96e6894b779456d330e
            - 202cb962ac59075b964b07152d234b70
            - e3e84538a1b02b1cc11bf71fe3169958
            - 57705b63dd516663356b14e97caa3f46
            - d58e3582afa99040e27b92b13c8f2280
            - a32eade4c838cd65efd532a432febaa9
            - ac07a1308c5580fbbe57c16afdad1ae3
            - 84d9cfc2f395ce883a41d7ffc1bbcf4e
            - 8c71fb3f7593543f2ad180d31148a7cf

            Memorizzale e prova a ricordartene qualcuna tra
            un
            mese.Perche' dovrei memorizzare quelle?Le cambio al primo acXXXXX, sostitendole con il giro di accordi per chitarra di alcune canzoni che so a memoria.FaLaDo7Re7FaReLa7Re#Do...Me le ricordero' anche tra 10 anni, visto che le conosco da piu' di 10 anni.

            Il token e' riconducibile a me.

            E io non voglio che cio' sia possibile in

            determinati

            casi.

            E chi l'ha detto. Il token può benissimo essere
            parametrico,
            eh.Allora perche' vincolare al token?Dammi l'algoritmo che genera le chiavi del token che me lo implemento da me.

            La password della valigia serve solo a
            rendere

            noto agli altri la mia volonta' a tenere
            quella

            valigia

            chiusa.

            Allora scrivicelo sopra a penna o mettici delle
            fascette, che tanto è
            uguale.La chiusura a combinazione e' integrata nella valigia.Nelle valige in cui non c'e' la combinazione integrata, metto la fascetta.Scrivercelo sopra non e' altrettanto efficace, visto che la valigia deve viaggiare per mezzo mondo e finire in mano a gente che le lingue non le sa, e magari e' pure analfabeta.

            Non impedisce certo ad un ladro di spaccare
            la

            serratura ed aprirla comunqe: non e' mica un

            forziere

            blindato.




            Allo stesso modo per cui, se devi
            mettere
            in


            sicurezza un server, non vai di certo a

            rendere


            disponibili le cyper suite obsolete e


            bucabili.


            In tal caso tanto vale viaggiare in
            chiaro.



            A differenza della valigia, il server non lo
            apri

            col piede di

            XXXXX.

            Se ci infili delle cypher suite obsoletissime
            stai tranquillo che te lo aprono anche col
            giravite.Per questo voglio essere libero di adottare la sicurezza che preferisco invece di far decidere qualcun altro al mio posto.
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            Spiacente, ma se devo ricorrere a mezzi come
            KeePass vuol dire che è stata pensata davvero
            molto, molto
            male.
            Dimmi, dimmi, cosa avrebbe KeePass che non va? Io lo uso con grande soddisfazione su tutti i miei dispositivi.

            Vedi quant'è semplice?
            Deleghi la complessità della password a un mezzo
            fisico, a portata di
            mano.

            Che poi si tratti di una chiave metallica, di un
            chip o altro, è giusto una questione di
            mezzo.non deleghi la sicurezza ad un mezzo fisico. Utilizzi, per il bancomat, una autenticazione a 2 fattori (hai la carta e sai il pin).La stessa cosa con cellulare + impronta (hai il cellulare e sei l'impronta). Quel che deve essere chiaro è che cellulare + impronta è una comodità, non una sicurezza, perchè compromessa l'autenticazione, hai compromesso tutto ciò che si appoggia a quella autenticazione.La buona norma di avere autenticazioni diverse per accounts diversi serve a non vedersi compromessi tutti gli accounts in una volta sola.
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1
            - Scritto da: Albedo 0,9


            Spiacente, ma se devo ricorrere a mezzi come

            KeePass vuol dire che è stata pensata davvero

            molto, molto

            male.



            Dimmi, dimmi, cosa avrebbe KeePass che non va? Io
            lo uso con grande soddisfazione su tutti i miei
            dispositivi.





            Vedi quant'è semplice?

            Deleghi la complessità della password a un
            mezzo

            fisico, a portata di

            mano.



            Che poi si tratti di una chiave metallica,
            di
            un

            chip o altro, è giusto una questione di

            mezzo.

            non deleghi la sicurezza ad un mezzo fisico.
            Utilizzi, per il bancomat, una autenticazione a 2
            fattori (hai la carta e sai il
            pin).
            La stessa cosa con cellulare + impronta (hai il
            cellulare e sei l'impronta). Quel che deve essere
            chiaro è che cellulare + impronta è una comodità,
            non una sicurezza, perchè compromessa
            l'autenticazione, hai compromesso tutto ciò che
            si appoggia a quella
            autenticazione.
            La buona norma di avere autenticazioni diverse
            per accounts diversi serve a non vedersi
            compromessi tutti gli accounts in una volta
            sola.Ipotizza di rendere più interoperabile il proXXXXX di scambio dati tra Browser e Keepass (no copia-incolla manuale).Invece di una master password lunga, un pin che dopo tot tentativi blocca tutto.Hai ottenuto un sistema molto simile al bancomat, solo che al posto di un componente hardware (il chip della carta) sfrutti un software (KeePass, come contenitore di password/token).Stesso identico discorso dell'impronta+cellulare+pin. L'impronta+cellulare è il modulo hardware.Stesso identico discorso di un token hardware+pin.La tendenza è sempre la stessa: delegare quanto possibile la complessità di sicurezza ai moduli, abbassando la quantità di informazione che l'utente deve mantenere a memoria.
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            Ipotizza di rendere più interoperabile il
            proXXXXX di scambio dati tra Browser e Keepass
            (no copia-incolla
            manuale).Keepass non obbliga al copia incolla; io uso Keepass in two-channel auto-type obfuscation, ad esempio. Se c'è bisogno apre direttamente applicazioni ad esegue login. Offre anche possibilità di HOTP/TOTP.
            Invece di una master password lunga, un pin che
            dopo tot tentativi blocca
            tutto.Keepass offre già anche questo. Come master password io uso una parte mnemonica + password lunga recuperata via nfc/qrcode + challenge response via yubikey (ncf).
            Hai ottenuto un sistema molto simile al bancomat,
            solo che al posto di un componente hardware (il
            chip della carta) sfrutti un software (KeePass,
            come contenitore di
            password/token).
            no. Ripeto che il bancomat offre una autenticazione a 2 fattori. L'autenticazione con keepass offre 1 fattore. Ti serve il secondo (otp o altro) sul servizio in cui intendi autenticarti.
            Stesso identico discorso
            dell'impronta+cellulare+pin. L'impronta+cellulare
            è il modulo
            hardware.

            Stesso identico discorso di un token hardware+pin.
            se utilizzi impronta+cellulare+pin uguale per tutti gli accounts, una volta "rotta" la sicurezza hai "rotto" tutti gli acconts.
            La tendenza è sempre la stessa: delegare quanto
            possibile la complessità di sicurezza ai moduli,
            abbassando la quantità di informazione che
            l'utente deve mantenere a
            memoria.E questo va bene. Basta che il modulo a cui deleghi la sicurezza non sia sempre lo stesso.
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1
            Keepass non obbliga al copia incolla; io uso
            Keepass in two-channel auto-type obfuscation, ad
            esempio. Se c'è bisogno apre direttamente
            applicazioni ad esegue login. Offre anche
            possibilità di
            HOTP/TOTP.[..]
            Keepass offre già anche questo. Come master
            password io uso una parte mnemonica + password
            lunga recuperata via nfc/qrcode + challenge
            response via yubikey
            (ncf).Grazie per le dritte, soprattutto per quest'ultima parte che sicuramente sperimenterò :)

            La tendenza è sempre la stessa: delegare
            quanto

            possibile la complessità di sicurezza ai
            moduli,

            abbassando la quantità di informazione che

            l'utente deve mantenere a

            memoria.

            E questo va bene. Basta che il modulo a cui
            deleghi la sicurezza non sia sempre lo
            stesso.Spiegami meglio questo passaggio.Nel tuo caso, Keepass + yubi ecc.., non è sempre lo stesso modulo?
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: PandaR1

            Grazie per le dritte, soprattutto per
            quest'ultima parte che sicuramente sperimenterò
            :)
            ;)



            La tendenza è sempre la stessa: delegare

            quanto


            possibile la complessità di sicurezza ai

            moduli,


            abbassando la quantità di informazione
            che


            l'utente deve mantenere a


            memoria.



            E questo va bene. Basta che il modulo a cui

            deleghi la sicurezza non sia sempre lo

            stesso.

            Spiegami meglio questo passaggio.
            Nel tuo caso, Keepass + yubi ecc.., non è sempre
            lo stesso
            modulo?l'acXXXXX all'archivio delle password avviene comunque sempre con una master password moooolto lunga (ottenuta tramite dispositivi). L'acXXXXX all'archivio ha già 2 fattori (hai l'archivio e sai la password). Ma l'archivio non ti serve a niente, se non ad accedere a servizi. L'acXXXXX a questi servizi basandosi solo sull'archivio è a 1 fattore. Bisogna rinforzare l'acXXXXX al servizio con il secondo fattore (otp o altro). E questo non dipende dall'archivio, ma dal servizio. Quindi per l'acXXXXX al servizio i 2 fattori usati (hai l'otp e sai la password) è sempre diversa.
          • Albedo 0,9 scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1
            - Scritto da: Albedo 0,9

            - Scritto da: PandaR1



            Grazie per le dritte, soprattutto per

            quest'ultima parte che sicuramente
            sperimenterò

            :)



            ;)






            La tendenza è sempre la stessa:
            delegare


            quanto



            possibile la complessità di
            sicurezza
            ai


            moduli,



            abbassando la quantità di
            informazione

            che



            l'utente deve mantenere a



            memoria.





            E questo va bene. Basta che il modulo a
            cui


            deleghi la sicurezza non sia sempre lo


            stesso.



            Spiegami meglio questo passaggio.

            Nel tuo caso, Keepass + yubi ecc.., non è
            sempre

            lo stesso

            modulo?

            l'acXXXXX all'archivio delle password avviene
            comunque sempre con una master password moooolto
            lunga (ottenuta tramite dispositivi). L'acXXXXX
            all'archivio ha già 2 fattori (hai l'archivio e
            sai la password). Ma l'archivio non ti serve a
            niente, se non ad accedere a servizi. L'acXXXXX a
            questi servizi basandosi solo sull'archivio è a 1
            fattore. Bisogna rinforzare l'acXXXXX al servizio
            con il secondo fattore (otp o altro). E questo
            non dipende dall'archivio, ma dal servizio.
            Quindi per l'acXXXXX al servizio i 2 fattori
            usati (hai l'otp e sai la password) è sempre
            diversa.Capito.Sì, potrebbe equivalere ad un sistema a 2 fattori dove hai la password debole (pin) e per il challenge si interroga un servizio del device mobile (impronta digitale, token temporale o altro).Il challenge naturalmente varia anche in base al dominio, così come si comporta KeePass con le varie password degli account memorizzati.
          • Izio01 scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1

            Dimmi, dimmi, cosa avrebbe KeePass che non va? Io
            lo uso con grande soddisfazione su tutti i miei
            dispositivi.

            (...)

            La buona norma di avere autenticazioni diverse
            per accounts diversi serve a non vedersi
            compromessi tutti gli accounts in una volta
            sola.Il che è <b
            esattamente </b
            ciò che succede se inserisci la password di KeePass senza sapere che sul tuo PC c'è un keylogger.È questo il vero svantaggio di KeePass, a mio parere. Lo uso anch'io e lo trovo fatto veramente bene, ma tremo all'idea che qualcuno scopra la mia chilometrica master password.Certo, ho un ulteriore grado di sicurezza, vale a dire che le password "nude" presenti in KeePass non bastano. Però, beccata una di esse e beccato il DB, le trovi tutte.
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Izio01
            - Scritto da: PandaR1



            Dimmi, dimmi, cosa avrebbe KeePass che non
            va?
            Io

            lo uso con grande soddisfazione su tutti i
            miei

            dispositivi.



            (...)



            La buona norma di avere autenticazioni
            diverse

            per accounts diversi serve a non vedersi

            compromessi tutti gli accounts in una volta

            sola.

            Il che è <b
            esattamente </b
            ciò
            che succede se inserisci la password di KeePass
            senza sapere che sul tuo PC c'è un
            keylogger.
            È questo il vero svantaggio di KeePass, a
            mio parere. Lo uso anch'io e lo trovo fatto
            veramente bene, ma tremo all'idea che qualcuno
            scopra la mia chilometrica master
            password.
            Certo, ho un ulteriore grado di sicurezza, vale a
            dire che le password "nude" presenti in KeePass
            non bastano. Però, beccata una di esse e beccato
            il DB, le trovi
            tutte.esattamente. La debolezza nell'utilizzo di keepass sta nella compromissione del dispositivo in cui usi keepass (ed è sotto mio controllo). E' per questo che bisogna aggiungere il secondo fattore di autenticazione sul servizio a cui accedi utilizzando keepass, cambiare password del servizio (ogni tanto) e, perchè no, cambiare password di keepass, ogni tanto.E con dispositivo compromesso non credo che cellulare+impronta sia meglio.
          • Pietro scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1
            - Scritto da: Albedo 0,9


            Spiacente, ma se devo ricorrere a mezzi come

            KeePass vuol dire che è stata pensata davvero

            molto, molto

            male.



            Dimmi, dimmi, cosa avrebbe KeePass che non va? Io
            lo uso con grande soddisfazione su tutti i miei
            dispositivi.
            non sei a casa tua non hai i tuoi computer, devi accedere a qualsiasi cosa, es la posta o il cloud ti prestano un computer, non hai più le tue password, non puoi fare niente.La memoria è ancora l'unica cosa su sui puoi contare
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: Pietro
            - Scritto da: PandaR1

            - Scritto da: Albedo 0,9




            Spiacente, ma se devo ricorrere a mezzi
            come


            KeePass vuol dire che è stata pensata
            davvero


            molto, molto


            male.






            Dimmi, dimmi, cosa avrebbe KeePass che non
            va?
            Io

            lo uso con grande soddisfazione su tutti i
            miei

            dispositivi.


            non sei a casa tua non hai i tuoi computer, devi
            accedere a qualsiasi cosa, es la posta o il cloud
            ti prestano un computer, non hai più le tue
            password, non puoi fare
            niente.
            La memoria è ancora l'unica cosa su sui puoi
            contareho il mio cellulare, le mie chiavi il mio keepass portable, all'occorrenza.Stiamo parlando di sicurezza e tu parli di accedere alla posta o al cloud o a qualsiasi cosa da un pc che non è il tuo? Senza nemmeno avere un secondo fattore di sicurezza configurato sulla posta o sul cloud o su qualsiasi altra cosa? E allora meglio username "user" e password "password".
          • ... scrive:
            Re: dicesi FUMO
            - Scritto da: PandaR1
            - Scritto da: Pietro

            - Scritto da: PandaR1


            - Scritto da: Albedo 0,9






            Spiacente, ma se devo ricorrere a
            mezzi

            come



            KeePass vuol dire che è stata
            pensata

            davvero



            molto, molto



            male.









            Dimmi, dimmi, cosa avrebbe KeePass che
            non

            va?

            Io


            lo uso con grande soddisfazione su
            tutti
            i

            miei


            dispositivi.




            non sei a casa tua non hai i tuoi computer,
            devi

            accedere a qualsiasi cosa, es la posta o il
            cloud

            ti prestano un computer, non hai più le tue

            password, non puoi fare

            niente.

            La memoria è ancora l'unica cosa su sui puoi

            contare

            ho il mio cellulare, le mie chiavi il mio keepass
            portable,
            all'occorrenza.

            Stiamo parlando di sicurezza e tu parli di
            accedere alla posta o al cloud o a qualsiasi cosa
            da un pc che non è il tuo? Senza nemmeno avere un
            secondo fattore di sicurezza configurato sulla
            posta o sul cloud o su qualsiasi altra cosa? E
            allora meglio username "user" e password
            "password".visto ? la catena di sicurezza ferma subito invece dovrebbe poter continuare nonostante tu sia su un computer non tuo.
          • PandaR1 scrive:
            Re: dicesi FUMO
            - Scritto da: ...
            visto ? la catena di sicurezza ferma subito
            invece dovrebbe poter continuare nonostante tu
            sia su un computer non
            tuo.tu si che c'hai visto lungo! Perchè mai chiudere a chiave la porta di casa? E se ci si dimentica la chiave ci si ferma subito. Meglio lasciare la porta aperta.
          • rockroll scrive:
            Re: dicesi FUMO
            - Scritto da: Albedo 0,9
            - Scritto da: PandaR1



            Ti aspetti davvero che ci creda?



            sei libero di credere a quel che vuoi

            Preferisco credere alla realtà dei fatti:
            l'utente medio non è in grado di ricordarsi molte
            password
            lunghe.

            Come mai il pin del bancomat è composto da sole
            quattro
            cifre?Veramente da 5 cifre, il chè comporta 1 probabilità su 100000 per tentativo di essere individuato, ma dopo 3 tentativi stop.
      • Lorenzo scrive:
        Re: dicesi FUMO
        basta ricordare la prima pagina del tuo libro preferito ...
      • Il fuddaro scrive:
        Re: dicesi FUMO
        - Scritto da: Albedo 0,9
        - Scritto da: Lorenzo

        Torniamo al solito discorso dei markettari
        ....

        la password super sicura e'

        "@#238fhgjtua8_AD_@#[" ( che nessuno se la

        ricorda ) , un informatico vi dira' che una

        password molto sicura e' "c'era una volta
        in
        un

        paese lontano lontano in una casetta in via
        24

        maggio numero 40 ..." il tempo necessario a
        un

        crack brute force della prima ( 256^20
        tentativi

        ( 1,4 x 10^48) e' nettamente inferiore a
        quello

        della seconda ( 37^60 tentativi 1,2 *10^94)

        ammesso che si sappia che la seconda non ha

        caratteri speciali e maiuscole minuscole

        altimenti il tempo per la seconda diventa
        256^60

        circa 3*10^144) ... e la seconda si ricorda

        molto meglio





        certo strisciare il dito e' piu' comodo che

        scrivere 60 caratteri ...



        ma i 60 caratteri li cambio quando voglio
        :)
        il

        dito e' appena appena piu'

        difficile


        Tutto molto bello,
        poi quando ti ritrovi una dozzina di account
        voglio vedere quante password da 60 caratteri
        dovrai
        ricordarti.
        Aggiungici pure che ogni N mesi vanno sostituite.Io uso passwd di NON meno 24 caratteri comprensivi di 123abc@.!ABC ricopiati su carta in un posto a dir poco sicuro.E faccio pure il cambio ogni 5-6 mesi tanto la forza del fuoco in quella data temporale si attacca comunque. ;-)
    • pratico scrive:
      Re: dicesi FUMO

      ma i 60 caratteri li cambio quando voglio :) il
      dito e' appena appena piu'
      difficilema te lo immagini uno al bancomat che deve digitare 60 caratteri?
      • panda rossa scrive:
        Re: dicesi FUMO
        - Scritto da: pratico

        ma i 60 caratteri li cambio quando voglio :) il

        dito e' appena appena piu'

        difficile

        ma te lo immagini uno al bancomat che deve
        digitare 60
        caratteri?Fossero anche 600, e' un limite del tizio, mica mio.
    • Funz scrive:
      Re: dicesi FUMO
      - Scritto da: Lorenzo
      Torniamo al solito discorso dei markettari ....
      la password super sicura e'
      "@#238fhgjtua8_AD_@#[" ( che nessuno se laCome fai a sapere la mia password? :o
      ricorda ) , un informatico vi dira' che una
      password molto sicura e' "c'era una volta in un
      paese lontano lontano in una casetta in via 24
      maggio numero 40 ..." Come fai a sapere il mio indirizzo? :o(effettivamente, ho abitato veramente in via 24 maggio :D
  • Numbo kid scrive:
    Crittografia per nubbi
    Le password sono troppo complicate, non vanno più di moda e se usate bene funzionano altrettanto bene. E' necessità impellente quindi sostituirle con qualcosa di semplice, tanto alla gente interessa la semplicità e la novitàXXXXX, mica cose complicate che non sanno e non capiscono.Avanti quindi con la semplicitàXXXXX e strombazzata, così già che ci siamo si risolve anche il problema di come craccare facile quello che prima non si poteva fare. Di sicuro XXXXXXXXX che li seguono ne troveranno a sfare.
  • marcione scrive:
    RSA
    la stessa che ha preso soldi da NSA per implementare crittografia bacata (link per gli smemorati: http://arstechnica.com/security/2013/12/report-nsa-paid-rsa-to-make-flawed-crypto-algorithm-the-default/)?1669 parole per elogiare questi individui?ma per cortesia...
Chiudi i commenti