Roma – Si terrà a Roma lunedì 3 aprile una conferenza stampa di presentazione del progetto: “L’impatto dei media digitali per il benessere fisico e mentale”, dal sottotitolo Sensibilizzazione, Formazione e Prevenzione per un corretto e consapevole utilizzo dei nuovi servizi e tecnologie digitali in famiglia e a scuola.
Si tratta di un progetto proposto da CENPIS e Fesaeffe Studio e sostenuto dalla Provincia di Roma e dal Municipio Roma III, che parteciperanno alla conferenza.
Maggiori informazioni sulle pagine dedicate
leggi i 25 commenti
-
Approposito di Password Manager...
Copio e incollo dal sito "pianosicurezza.it" "Password Manager offre la possibiltà di archiviare i propri dati personali in maniera veloce e sicura grazie alla protezione del suo database con chiavi di crittografia a 256 bit."Password Manager è rilascitato con licenza GNU ed è quindi freeware. Può essere scaricato e distribuito liberamente senza alcun vincolo.E' vietato decodificare il programma e non vengono forniti i sorgenti."Ho provato l'installante ed effettivamente la licenza riportata è la classica "GNU" ... ma come fa' ad essere GNU se "NON VENGONO FORNITI I SORGENTI?"Forse i signori di Pianosicurezza dovrebbero cambiare licenza (magari una BSD andrebbe benissimo)?? -
Come faccio io
Imparo a memoria una e una sola sequenza di numeri/letterees:4r3ueu94In base al sito in cui mi registro, prendo alcune lettere che lo caratterizzano (es: yahoo.it prendo yait)Utilizzo una funzione semplice ( che non cito :) ma potete inventarvela ) per trasformare la sequenza di partenza attraverso le lettere che caratterizzano il servizio.quindi in yahoo.it avrò password rjr494jrje39j8 in gmail avrò r4ur94i949i3i e non ho necessità di consocerle a memoria, visto che posso ricostruirle a mente ricordandomi una sola e unica sequenza.-
Re: Come faccio io
Certo la tua tecnica è sicuramente meglio che la password stupida, questa strategia la usavo pure io.Ha però dei problemi:- così facendo sarai portato a non cambiare mai la password nel tempo, perchè dovresti cambiare l'algoritmo, e saresti daccapo.- se qualcuno viene a conoscere casualmente una tua password, potrà desumere con facilità le altreLa vera soluzione è un password manager."Un'unica password per ricordarle tutte......"Caratteristica per me fondamentale è che sia portabile, quello che uso io sta su una pendrive e non ha bisogno di setup. I dati sono tutti crittati ovviamente. Inoltre possedendo un sistema di copia incolla delle password riesce a fregare pure i keylogger.-
Re: Come faccio io
Ah dimenticavo....Il backup è d'obbligo.... magari in duplice copia!
-
-
Re: Come faccio io
- Scritto da: Anonimo
Imparo a memoria una e una sola sequenza di
numeri/lettere
es:
4r3ueu94
In base al sito in cui mi registro, prendo alcune
lettere che lo caratterizzano (es: yahoo.it
prendo yait)
Utilizzo una funzione semplice ( che non cito :)
ma potete inventarvela ) per trasformare la
sequenza di partenza attraverso le lettere che
caratterizzano il servizio.
quindi in yahoo.it avrò password rjr494jrje39j8
in gmail avrò r4ur94i949i3i e non ho necessità di
consocerle a memoria, visto che posso
ricostruirle a mente ricordandomi una sola e
unica sequenza.
e se ti arriva una botta in testa? (rotfl)
-
-
CI sono degli errori di fondo
Il vero problema sta nel fatto che tutte
queste password vengono trasferite e
memorizzate in chiaro da molti dei sistemi
che offrono i servizi a cui accediamo (basti
pensare alla posta elettronica, alla webmail,
ed all'accesso a siti web protetti).E questo chi lo dice? A me risulta che con il pop3, che è il protocollo più diffuso per l'accesso alla posta, le password viaggino in chiaro. Questo non significa che vengano memorizzate in chiaro, né su un server classico né su una interfaccia webmail. Se per siti web protetti si intende la crittografia SSL, l'affermazione è falsa, se si intendono i meccanismi di autenticazione con scambio di nome utente e password, in effetti l'autenticazione base su un sito non SSL ha le password che viaggiano in chiaro, ma ci sono altri sistemi che non soffrono di questi problemi.
Chiunque abbia accesso al database di una
webmail può ottenere la password in chiaro
di chiunque, ed utilizzarla per accedere ad
altri servizi. I nomi degli account sono anche
facili da indovinare.A me questa pare pura fantasia. Quali sono i sistemi che memorizzano le password in chiaro? Io non ne conosco tanti, specialmente un sistema di webmail che, in genere, è un programma usato da un considerevole numero di persone, è sviluppato e mantenuto attivamente, non è insomma la classica applicazione fatta da un giorno all'altro dall'hobbista in cantina.-
Re: CI sono degli errori di fondo
- Scritto da: DPY
Il vero problema sta nel fatto che tutte
queste password vengono trasferite e
memorizzate in chiaro da molti dei sistemi
che offrono i servizi a cui accediamo (basti
pensare alla posta elettronica, alla webmail,
ed all'accesso a siti web protetti).
E questo chi lo dice? A me risulta che con il
pop3, che è il protocollo più diffuso per
l'accesso alla posta, le password viaggino in
chiaro. Questo non significa che vengano
memorizzate in chiaro, né su un server
classico né su una interfaccia webmail. Se per
siti web protetti si intende la crittografia SSL,
l'affermazione è falsa, se si intendono i
meccanismi di autenticazione con scambio di nome
utente e password, in effetti l'autenticazione
base su un sito non SSL ha le password che
viaggiano in chiaro, ma ci sono altri sistemi che
non soffrono di questi problemi.
Chiunque abbia accesso al database di una
webmail può ottenere la password in chiaro
di chiunque, ed utilizzarla per accedere ad
altri servizi. I nomi degli account sono anche
facili da indovinare.
A me questa pare pura fantasia. Quali sono i
sistemi che memorizzano le password in chiaro? Io
non ne conosco tanti, specialmente un sistema di
webmail che, in genere, è un programma usato da
un considerevole numero di persone, è sviluppato
e mantenuto attivamente, non è insomma la
classica applicazione fatta da un giorno
all'altro dall'hobbista in cantina.Sicuramente tutti quelli che ti permettono di recuperare la password "dimenticata".Non c'avevi pensato, vero?-
Re: CI sono degli errori di fondo
A parte il fatto che non vedo un grande acume nel quotare tutto il messaggio per mettere due righe di risposta, quali sono questi sistemi? Quelli che conosco io permettono di cambiare la password sulla base di certe azioni fatte dall'utente per provare la sua identità, non di recuperarla, il che è cosa ben diversa. Che poi ci possano essere dei sistemi, anche di largo uso, che usino questo approccio, è possibile, ma qanto sono 'critici' questi sistemi? La webmail di libero (ammesso e non concesso che lo faccia) non è un sistema critico, a dispetto dei poveri di spirito che ci mettono la casella aziendale.-
Re: CI sono degli errori di fondo
Straquoto DPI
-
-
-
-
Ricetta da linaro incallito
pwgen -cnsC 12Per ogni servizio serio di cui ci si possa fidare (password di root sul proprio PC, account utente locali, servizi che fanno viaggiare i dati tramite protocolli criptati, wallet, ...) una password diversa, generata con pwgen, da almeno 12 caratteri, con all'interno maiscole, minuscole e numeri, così che nel caso in cui una di queste venisse compromessa (fatta eccezione per i wallet, i raccoglitori di password) non si abbia un effetto a catena.GPG per le email e download in locale di quelle importanti, così che non restino (per molto tempo, perché comunque non possono tenere fisicamente copia di tutto ciò che gli passa) sul server della web-mail.Per ogni altro servizio di cui non ci si può fidare o sul quale non viaggiano dati importanti, pippo, pluto e paperino, e tutto in chiaro va più che bene.-
Re: Ricetta da linaro incallito
- Scritto da: Anonimo
pwgen -cnsC 12
Per ogni servizio serio di cui ci si possa fidare
(password di root sul proprio PC, account utente
locali, servizi che fanno viaggiare i dati
tramite protocolli criptati, wallet, ...) una
password diversa, generata con pwgen, da almeno
12 caratteri, con all'interno maiscole, minuscole
e numeri, così che nel caso in cui una di queste
venisse compromessa (fatta eccezione per i
wallet, i raccoglitori di password) non si abbia
un effetto a catena.
Il problema di ricordarsele non viene evitato in questo modo, però!-
Re: Ricetta da linaro incallito
- Scritto da: matcion
- Scritto da: Anonimo
pwgen -cnsC 12
Per ogni servizio serio di cui ci si possa
fidare
(password di root sul proprio PC, account utente
locali, servizi che fanno viaggiare i dati
tramite protocolli criptati, wallet, ...) una
password diversa, generata con pwgen, da almeno
12 caratteri, con all'interno maiscole,
minuscole
e numeri, così che nel caso in cui una di queste
venisse compromessa (fatta eccezione per i
wallet, i raccoglitori di password) non si abbia
un effetto a catena.
Il problema di ricordarsele non viene evitato in
questo modo, però!Non è un problema è una feature.Scherzi a parte, se sono molte e viene difficile ricordarsele GPG e una chiavetta USB e il gioco e fatto.Comunque per quanto mi riguarda dopo la quinta - sesta volta che digito la stessa password la ricordo senza problemi, anche se non ha senso ed è piena di maiuscole minuscole e numeri e ha 12 o più caratteri. Questione di abitudine. Ad esempio al momento ne ricordo perfettamente 7 tra cui 2 che mi consentono di accedere una al raccoglitore di password di KDE e l'altra a quello di Firefox.Quelle più critiche (root, server remoti, conto in banca, ...) poi le cambio periodicamente. È solo una questione di abitudine.E poi tiene allenata la mente :D .
-
-
-
Password non visibili
Avere una o molte password comporta, in entrambi i casi, vantaggi e svantaggi.Il punto della questione, come è emerso anche dalla lettera, è che gli amministratori e gestori dei vari servizi (specie internet) che richiedono l'uso di password da parte dell'utente dovrebbero essere i primi a NON poter accedere alle suddette password. Queste, cioè, dovrebbero restare crittografate sul database e gestite in modo protetto dal softwareNaturalmente nessuno garantisce che ciò avvenga. Eppure, gli amm. seri capirebbero che questo modo di procedere salvaguarderebbe anzitutto loro stessi, poichè li salvaguarderebbe da qualsiasi sospetto (che, immancabilmente, li vedrebbe come principali bersagli).E, quando si potesse dimostrare inequivocabilmente che neppure agli amm. è consentita la letture delle password, molto probabilmente a nessun altro (esclusi gli utenti interessati o super-hacker smanettoni) questa cosa sarà possibile.Questa filosofia dovrebbe riguardare, in piccolo, anche i sistemi multiutenza o di gestione delle reti locali. In sostanza: che utilità c'è per l'amministratore di un PC di conoscere le password degli altri utenti (o amministratori)? Egli può infatti gestire i vari account (modificare le politiche di accesso, cambiare le aliquote di HDD...) anche nel caso in cui non conosca il contenuto di eventuali dati crittografati. E, in fondo, non dovrebbe neppure interessargli conoscerli. Nel caso in cui l'utente proprietario si renda irreperibile o scada il suo diritto di accesso al sistema, i suoi dati possono benissimo essere spostati/rimossi/archiviati, sempre con rispetto della privacy.-
Re: Password non visibili
Il punto della questione, come è emerso anche
dalla lettera, è che gli amministratori e gestori
dei vari servizi (specie internet) che richiedono
l'uso di password da parte dell'utente dovrebbero
essere i primi a NON poter accedere alle suddette
password. vorrei aggiungere che non dovrebbero aver accesso neanche alle email che dovrebbero essere crittografate in modo sicuro e robusto, hai presente quando dimentichi una password e te la spediscono via mail o ti mandano il link per autenticarti?naturalmente tutta la posta dovrebbe essere crittografata e la navigazione anonima, ma poi i politici idioti lo vieterebbero perche' non potrebbero piu' avere le informazioni che hanno adesso su dei poveracci da chiamare in causa per sviare l'attenzione da processi su mafia e introiti illegali vari. -
Re: Password non visibili
Il punto della questione, come è emerso anche
dalla lettera, è che gli amministratori e gestori
dei vari servizi (specie internet) che richiedono
l'uso di password da parte dell'utente dovrebbero
essere i primi a NON poter accedere alle suddette
password. Queste, cioè, dovrebbero restare
crittografate sul database e gestite in modo
protetto dal softwareNon serve a nulla: una password crittografata può essere cambiata, e quella vecchia può essere ripristinata quando non è più necessario accedere.
E, quando si potesse dimostrare
inequivocabilmente che neppure agli amm. è
consentita la letture delle password, molto
probabilmente a nessun altro (esclusi gli utenti
interessati o super-hacker smanettoni) questa
cosa sarà possibile.Questa, come chiunque abbia gestito un archivio di utenti e password può confermare, è una solenne assurdità. Se un amministratore non può, tecnicamente, accedere a una password in chiaro, non può accederci neanche l'utente, gli algoritmi di crittografia non reversibili servono proprio a questo. E il super-hacker è una fantasia, per ricavare una password crittata con un algoritmo non reversibile esiste, salvo debolezze dell'algoritmo stesso, solo l'attacco a forza bruta, che non è appannaggio dei 'mitici' super-hacker smanettoni.
Questa filosofia dovrebbe riguardare, in piccolo,
anche i sistemi multiutenza o di gestione delle
reti locali.E perché? Capisco che può essere utile, ma se permetti chi gestisce un sistema multiutente è libero di gestirlo come vuole, fino a che i suoi utenti sono tutti d'accordo, in barba ai chi come te vuole imporre le sue visioni dall'alto perché è convinto che tutti i sistemi abbiano le stesse necessità di sicurezza e privacy. La decisione di crittografare tutto ha vantaggi e svantaggi, fra gli svantaggi c'è il maggior carico dei sistemi e la maggior dificoltà di recuperare i dati in caso di disastri. Non parliamo poi delle difficoltà quando una chiave viene persa, in tal caso sarebbe necessario avere della chiavi di riserva in grado di accedere comunque ai dati, ma si vanifica di nuovo l'utilità della crittografia come garanzia che nessuno al di fuori dell'utente possa accedere ai dati.Detto fra noi, ho più paura di quelli che dicono "si dovrebbe fare così e cosà" senza cognizione di causa, che dei rischi dovuti alla mancata adozione di misure di sicurezza paranoiche: se un amministratore di un sistema deve sentirsi il fiato sul collo e venire sospettato alla minima anomalia allora tanto vale che appenda il server al chiodo e vada cercarsi un altro posto ove hanno meno paranoie: il suo sistema non funzionerà mai bene, visto che al minimo problema non può fare questo, non può fare quello, "per salvaguardare la privacy degli utenti". Nel momento in cui tu usi un sistema, vai sulla fiducia di chi lo gestisce: se questa fiducia non c'è, è meglio che ti rivolgi a qualcun altro, visto che un metodo per accedere e alterare i tuoi dati si trova sempre, per quanto paranoiche possano essere le misure di sicurezza.-
Re: Password non visibili
- Scritto da: DPY
Il punto della questione, come è emerso anche
dalla lettera, è che gli amministratori e
gestori
dei vari servizi (specie internet) che
richiedono
l'uso di password da parte dell'utente
dovrebbero
essere i primi a NON poter accedere alle
suddette
password. Queste, cioè, dovrebbero restare
crittografate sul database e gestite in modo
protetto dal software
Non serve a nulla: una password crittografata può
essere cambiata, e quella vecchia può essere
ripristinata quando non è più necessario
accedere.Questo dipende dalle politiche di gestione delle password offerte dal Database Manager. Ad ogni modo, il solo fatto che questa risulti crittografata sarebbe già un bel passo avanti sulla sicurezza.
E, quando si potesse dimostrare
inequivocabilmente che neppure agli amm. è
consentita la letture delle password, molto
probabilmente a nessun altro (esclusi gli utenti
interessati o super-hacker smanettoni) questa
cosa sarà possibile.
Questa, come chiunque abbia gestito un archivio
di utenti e password può confermare, è una
solenne assurdità. Se un amministratore non può,
tecnicamente, accedere a una password in chiaro,
non può accederci neanche l'utente, gli algoritmi
di crittografia non reversibili servono proprio a
questo. Peccato solo che l'utente, essendo il proprietario della password, la conosce perfettamente. Se poi dovesse dimenticarla e non avesse preso alcuna precauzione (ad, es, la classica "frase di ricordo"), beh peggio per lui. Così come quando perde il codice bancomat: gli bloccano l'accesso e gliene procurano uno nuovo.
E il super-hacker è una fantasia, per
ricavare una password crittata con un algoritmo
non reversibile esiste, salvo debolezze
dell'algoritmo stesso, solo l'attacco a forza
bruta, che non è appannaggio dei 'mitici'
super-hacker smanettoni. Ovviamente era ironico. Vorrei cmq ricordati che esistono tecniche anche per rendere i "brutal" meno ostici di quanto si pensi. Pare, ad es, che siano riusciti a sbloccare chiavi da 512 bit in tempi ragionevoli (pur con un'eccezionale potenza di calcolo...).
Questa filosofia dovrebbe riguardare, in
piccolo,
anche i sistemi multiutenza o di gestione delle
reti locali.
E perché? Capisco che può essere utile, ma se
permetti chi gestisce un sistema multiutente è
libero di gestirlo come vuole, fino a che i suoi
utenti sono tutti d'accordo, in barba ai chi come
te vuole imporre le sue visioni dall'alto perché
è convinto che tutti i sistemi abbiano le stesse
necessità di sicurezza e privacy.Anzitutto io non "impongo" niente, ma espongo la mia opinione, sorretta dall'esperienza. Detto questo, certo, uno col proprio PC può farci quello che vuole, tanto più se in ambito familiare. Dipende essenzialmente dal livello di responsabilità che ha e cosa si aspettano da lui i suoi colleghi.Se, ad es., io fossi l'amministratore di rete interna di una grossa azienda e si venisse a sapere che c'e stata una fuga di password, non credi che sarei, io per primo, molto più tutelato se ci fosse la certezza che non potrei, in nessun modo, averne avuto accesso semplicemente trafficando sulle macchine?
La decisione di
crittografare tutto ha vantaggi e svantaggi, fra
gli svantaggi c'è il maggior carico dei sistemi e
la maggior dificoltà di recuperare i dati in caso
di disastri. Non parliamo poi delle difficoltà
quando una chiave viene persa, in tal caso
sarebbe necessario avere della chiavi di riserva
in grado di accedere comunque ai dati, ma si
vanifica di nuovo l'utilità della crittografia
come garanzia che nessuno al di fuori dell'utente
possa accedere ai dati.E' un po' come i sistemi RAID: se si rompono i singoli ARRAY c'è il rischio di compromettere l'intero archivio. Ovviamente sono previsti metodi di ripristino che diventano tanto più costosi (ma allo stesso tempo efficaci) quando è complesso l'algoritmo di gestione dei dati.Naturalmente occorre fare una valutazione dei costi, per giungere al giusto compromesso.Mi pare che, all'attuale stato della tecnologia, si possa pensare di sfruttare tecniche di crittografia molto complesse, senza per altro, inficiare le prestazioni finali. Detto questo, mi sembra che valga la pena focalizzarsi anche sui vantaggi....Riguardo poi la conservazione della password da parte dell'utente....esistono anche sistemi di riconoscimento basati su certificati, definiti, in taluni casi, sulle caratteritstiche biometriche del soggetto...o per mezzo di opportune smarcard. E non è fantascenza: si pensi al protocollo di autenticazione IEEE 802.1X per le reti wireless che frutta il sistema EAP proprio per consentire di ricorrere a questi metodi che consentono, in più, di distinguere immediatamente un utente dall'altro.
Detto fra noi, ho più paura di quelli che dicono
"si dovrebbe fare così e cosà" senza cognizione
di causa, che dei rischi dovuti alla mancata
adozione di misure di sicurezza paranoiche: "Senza cognizioni di causa"? Scusa ma non l'ho capita...
se un amministratore di un sistema deve sentirsi il
fiato sul collo e venire sospettato alla minima
anomalia allora tanto vale che appenda il server
al chiodo e vada cercarsi un altro posto ove
hanno meno paranoie: O, più semplicemente, cercarsi un altro lavoro? L'amministrazione richeide grosse responsabilità, sia che si tratti dell'aministrazione di un ufficio, di un palazzo....di un server.
il suo sistema non funzionerà mai bene, visto che al minimo problema
non può fare questo, non può fare quello, "per
salvaguardare la privacy degli utenti". "Non esistono sistemi sicuri ma solo sistemi MENO insicuri". La sicurezza assoluta non è mai raggiungibile, ma si può comunque fare del proprio meglio per avvicinarvisi. E chi ha detto poi che non "possa fare". Può benissimo continuare a fare tutto cio che è in suo potere. Ricordando che mi amm. non sono comunque DIO
Nel momento in cui tu usi un sistema, vai sulla
fiducia di chi lo gestisce: se questa fiducia non
c'è, è meglio che ti rivolgi a qualcun altro,
visto che un metodo per accedere e alterare i
tuoi dati si trova sempre, per quanto paranoiche
possano essere le misure di sicurezza.Giusto: allora tanto vale progetterli, no?Dato che posso "scegliere" a chi rivolgermi per manipolare i miei dati, preferisco andare da chi mi offre maggiori garanzie.-
Re: Password non visibili
Questo dipende dalle politiche di gestione
delle password offerte dal Database
Manager. Ad ogni modo, il solo fatto che
questa risulti crittografata sarebbe già un bel
passo avanti sulla sicurezza.Hai degli esempi di sistemi largamente diffusi ove il cosiddetto 'password manager' blocchi le operazioni di cambio password e ove non sia possibile alterare manualmente il database? Se il blocco è a livello di firme crittografiche e simili cosa, potrebbe essere difficile aggirarlo, ma non impossibile e sicuramente non a livello tale da dare la certezza assoluta di cui parli tu, se è semplicemente il software che si rifiuta di fare un operazione che di per sé sarebbe banale fare a mano, parimenti l'amministratore non sarà mai tranquillo.Hai degli esempi concreti di sistemi che memorizzino le password in chiaro? Se non li hai stiamo parlando al vento. Insisto: non me ne importa nulla della webmail di libero, parlo di sistemi mission critical.
Peccato solo che l'utente, essendo il
proprietario della password, la conosce
perfettamente. Se poi dovesse dimenticarla
e non avesse preso alcuna precauzione (ad,
es, la classica "frase di ricordo"), beh
peggio per lui. E qui siamo ancora più sull'assurdo: se si è così paranoici da far sì che l'amministratore di sistema non possa cambiare la password di un utente, dovremmo consentire all'utente di farlo sulla base di una credenziale molto più debole come la 'frase di ricordo'?
Vorrei cmq ricordati che esistono tecniche
anche per rendere i "brutal" meno ostici di
quanto si pensi. Pare, ad es, che siano
riusciti a sbloccare chiavi da 512 bit in tempi
ragionevoliLa prossima volta compara pere con pere e lamponi con lamponi: i 512 bit cui fai riferimento sono 512 bit di chiavi asimmetriche, che nonoriamente sono molto più deboli, a parità di bit, di quelle degli algoritmi tradizionali. Un algoritmo tradizionale con chiave a 512 bit è praticamente inforzabile. Inoltre, le 'debolezze' delle chiavi asimmetriche non sono degli imprevisti, la loro presenza era conosciuta, proprio per il tipo di algoritmo utilizzato. Per intendercisi, questo significa che il fatto che abbiano scassinato una RSA a 512bit non significa automaticamente che un blowfish a 128 sia molto più facile da scassinare, presumibilmente sarà molto più difficile.
Se, ad es., io fossi l'amministratore di rete
interna di una grossa azienda e si venisse a
sapere che c'e stata una fuga di password,
non credi che sarei, io per primo, molto più
tutelato se ci fosse la certezza che non
potrei, in nessun modo, averne avuto
accesso semplicemente trafficando sulle
macchine?Peccato che questa certezza non ci possa essere, mi stupisco che con la tua 'esperienza' non ci sia ancora arrivato. Se il software ti impedisce di effettuare una operazione banale, prima o poi riuscirai ad aggirarlo. Se il software si basa sulla 'security through obscuriti' prima o poi qualcuno riuscirà ad aggirarlo. Se una chiave è crittata con un algoritmo reversibile, e il software è in grado di decrittarla, devi dimostrare che tu non saresti stato in grado di utilizzare lo stesso software per ricavarla. Ci sono troppe cose da dimostrare e pochi elementi concreti.
Riguardo poi la conservazione della
password da parte dell'utente....esistono
anche sistemi di riconoscimento basati su
certificati, definiti, in taluni casi, sulle
caratteritstiche biometriche del soggetto...o
per mezzo di opportune smarcard. E non è
fantascenza: si pensi al protocollo di
autenticazione IEEE 802.1X per le reti
wireless che frutta il sistema EAP proprio per
consentire di ricorrere a questi metodi che
consentono, in più, di distinguere
immediatamente un utente dall'altro.I certificati sono storia di tutti i giorni ormai, non fantascienza.L'autenticazione biometrica è molto di moda di questi tempi, ma che sia sicura è tutto da dimostrare. Certamente l'autenticazione biometrica non ha niente a che fare con l'802.1x e l'EAP, come invece sembri indicare. Non vedo poi la 'grande novità' di distinguere un utente da un altro: anche accedendo con nomi utente e password diverse ottieni lo stesso risultato, e nessuno ti impedisce di duplicare su due client lo stesso certificato, rendendoli indistinguibili.
E' un po' come i sistemi RAID: se si rompono
i singoli ARRAY c'è il rischio di
compromettere l'intero archivio. Frase priva di senso: per fare un raid basta un array, che è composto da più dischi. Se si rompe un disco, a meno che tu non abbia un raid 0, non hai ancora perso niente, anche se rischi. Va da se che se si rompe l'array si rompe tutto il raid, ma questo il signor De la Palisse probabilmente non avrebbe saputo dirlo meglio.
Mi pare che, all'attuale stato della
tecnologia, si possa pensare di sfruttare
tecniche di crittografia molto complesse,
senza per altro, inficiare le prestazioni
finali. "Mi pare" è un po' generico. Quali tecnologie? Parli sapendolo o per sentito dire?
"Non esistono sistemi sicuri ma solo sistemi
MENO insicuri". La sicurezza assoluta non è
mai raggiungibile, ma si può comunque fare
del proprio meglio per avvicinarvisi. Mi pare strano che la tua esperienza non ti abbia ancora insegnato che c'è sempre un compromesso fra la sicurezza di un sistema e la sua usabilità. Fai un sistema paranoico: sarà molto sicuro, e molto complicato e noioso da utilizzare.Concludendo, IMHO non hai le idee molto chiare.. che ne diresti da fare un po' più di esperienza? :PPP
-
-
-
-
Certificato digitale personale...
E' proprio necessario?-
Re: Certificato digitale personale...
- Scritto da: Anonimo
E' proprio necessario?no... -
Re: Certificato digitale personale...
- Scritto da: Anonimo
E' proprio necessario?chiaro, c' un mucchio di gente che vuole spingere le smartcard... e soprattutto le marche temporali... tutta roba che si paga, si paga, si paga e si paga ancora-
Re: Certificato digitale personale...
- Scritto da: Anonimo
- Scritto da: Anonimo
E' proprio necessario?
chiaro, c' un mucchio di gente che vuole spingere
le smartcard... e soprattutto le marche
temporali...
tutta roba che si paga, si paga, si paga e si
paga ancoraquindi non si preoccupano della sicurezza delle nostre password... e te pareva-
Re: Certificato digitale personale...
- Scritto da: Anonimo
- Scritto da: Anonimo
- Scritto da: Anonimo
E' proprio necessario?
chiaro, c' un mucchio di gente che vuole
spingere
le smartcard... e soprattutto le marche
temporali...
tutta roba che si paga, si paga, si paga e si
paga ancora
quindi non si preoccupano della sicurezza delle
nostre password... e te parevabastava partecipare alle "spiegazioni" sull'uso di smartcard... quei quattro esperti che hanno sollevato le classiche obiezioni sulla forza e il valore del sistema hanno semplicemente ricevuto la risposta "funziona così : non stiamo discutendo".Certo, era vero, non erano le persone che ti spiegano come funziona a poter decidere qualcosa... ma non ci sono state altre occasioni
-
-
-
Re: Certificato digitale personale...
- Scritto da: Anonimo
E' proprio necessario?Se si vuole una maggiore sicurezza nei meccanismi di autenticazione ... la risposta è si.Qualcuno ti ha risposto che l'utilizzo di certificati personali è in funzione unicamente alla vendita di certificati e smartcard, ma sbaglia. Innanzitutto un certificato può anche non essere fornito con una smartcard, ma ad esempio in un file in formato P12 (personal information exchange) e qundi importato in un browser ed utilizzato in combinazione con username e pwd per autenticarsi. Chiaramente in questo caso dipende da chi ti offre il servizio implementare i servizi necessari.Aggiungo poi che oggi è possibile acquistare portatili con lettori smartcard integrate, senza spese aggiuntive, io per esempio ho un dell latitude. Penso che se l'utilizzo delle smartcard si diffonderà maggiormente il lettore su molti pc diventerà di serie.CiaoDario
-
