I nuovi media per il benessere

Incontro


Roma – Si terrà a Roma lunedì 3 aprile una conferenza stampa di presentazione del progetto: “L’impatto dei media digitali per il benessere fisico e mentale”, dal sottotitolo Sensibilizzazione, Formazione e Prevenzione per un corretto e consapevole utilizzo dei nuovi servizi e tecnologie digitali in famiglia e a scuola.

Si tratta di un progetto proposto da CENPIS e Fesaeffe Studio e sostenuto dalla Provincia di Roma e dal Municipio Roma III, che parteciperanno alla conferenza.

Maggiori informazioni sulle pagine dedicate

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • erisk scrive:
    Approposito di Password Manager...
    Copio e incollo dal sito "pianosicurezza.it" "Password Manager offre la possibiltà di archiviare i propri dati personali in maniera veloce e sicura grazie alla protezione del suo database con chiavi di crittografia a 256 bit."Password Manager è rilascitato con licenza GNU ed è quindi freeware. Può essere scaricato e distribuito liberamente senza alcun vincolo.E' vietato decodificare il programma e non vengono forniti i sorgenti."Ho provato l'installante ed effettivamente la licenza riportata è la classica "GNU" ... ma come fa' ad essere GNU se "NON VENGONO FORNITI I SORGENTI?"Forse i signori di Pianosicurezza dovrebbero cambiare licenza (magari una BSD andrebbe benissimo)??
    • Luca Schiavoni scrive:
      Re: Approposito di Password Manager...
      - Scritto da: erisk
      Copio e incollo dal sito "pianosicurezza.it"

      "Password Manager offre la possibiltà di
      archiviare i propri dati personali in maniera
      veloce e sicura grazie alla protezione del suo
      database con chiavi di crittografia a 256 bit.

      "Password Manager è rilascitato con licenza GNU
      ed è quindi freeware. Può essere scaricato e
      distribuito liberamente senza alcun vincolo.
      E' vietato decodificare il programma e non
      vengono forniti i sorgenti."

      Ho provato l'installante ed effettivamente la
      licenza riportata è la classica "GNU" ... ma come
      fa' ad essere GNU se "NON VENGONO FORNITI I
      SORGENTI?"

      Forse i signori di Pianosicurezza dovrebbero
      cambiare licenza (magari una BSD andrebbe
      benissimo)??ci sono alternative se vuoi, tutte in PI Downloadhttp://punto-informatico.it/cerca.asp?s=password+manager&B=CERCA&r=Downloada ognuno.. il suo ;)LucaS
  • Anonimo scrive:
    Come faccio io
    Imparo a memoria una e una sola sequenza di numeri/letterees:4r3ueu94In base al sito in cui mi registro, prendo alcune lettere che lo caratterizzano (es: yahoo.it prendo yait)Utilizzo una funzione semplice ( che non cito :) ma potete inventarvela ) per trasformare la sequenza di partenza attraverso le lettere che caratterizzano il servizio.quindi in yahoo.it avrò password rjr494jrje39j8 in gmail avrò r4ur94i949i3i e non ho necessità di consocerle a memoria, visto che posso ricostruirle a mente ricordandomi una sola e unica sequenza.
    • Anonimo scrive:
      Re: Come faccio io
      Certo la tua tecnica è sicuramente meglio che la password stupida, questa strategia la usavo pure io.Ha però dei problemi:- così facendo sarai portato a non cambiare mai la password nel tempo, perchè dovresti cambiare l'algoritmo, e saresti daccapo.- se qualcuno viene a conoscere casualmente una tua password, potrà desumere con facilità le altreLa vera soluzione è un password manager."Un'unica password per ricordarle tutte......"Caratteristica per me fondamentale è che sia portabile, quello che uso io sta su una pendrive e non ha bisogno di setup. I dati sono tutti crittati ovviamente. Inoltre possedendo un sistema di copia incolla delle password riesce a fregare pure i keylogger.
    • Anonimo scrive:
      Re: Come faccio io
      - Scritto da: Anonimo
      Imparo a memoria una e una sola sequenza di
      numeri/lettere

      es:
      4r3ueu94

      In base al sito in cui mi registro, prendo alcune
      lettere che lo caratterizzano (es: yahoo.it
      prendo yait)

      Utilizzo una funzione semplice ( che non cito :)
      ma potete inventarvela ) per trasformare la
      sequenza di partenza attraverso le lettere che
      caratterizzano il servizio.

      quindi in yahoo.it avrò password rjr494jrje39j8
      in gmail avrò r4ur94i949i3i e non ho necessità di
      consocerle a memoria, visto che posso
      ricostruirle a mente ricordandomi una sola e
      unica sequenza.


      e se ti arriva una botta in testa? (rotfl)
  • DPY scrive:
    CI sono degli errori di fondo

    Il vero problema sta nel fatto che tutte
    queste password vengono trasferite e
    memorizzate in chiaro da molti dei sistemi
    che offrono i servizi a cui accediamo (basti
    pensare alla posta elettronica, alla webmail,
    ed all'accesso a siti web protetti).E questo chi lo dice? A me risulta che con il pop3, che è il protocollo più diffuso per l'accesso alla posta, le password viaggino in chiaro. Questo non significa che vengano memorizzate in chiaro, né su un server classico né su una interfaccia webmail. Se per siti web protetti si intende la crittografia SSL, l'affermazione è falsa, se si intendono i meccanismi di autenticazione con scambio di nome utente e password, in effetti l'autenticazione base su un sito non SSL ha le password che viaggiano in chiaro, ma ci sono altri sistemi che non soffrono di questi problemi.
    Chiunque abbia accesso al database di una
    webmail può ottenere la password in chiaro
    di chiunque, ed utilizzarla per accedere ad
    altri servizi. I nomi degli account sono anche
    facili da indovinare.A me questa pare pura fantasia. Quali sono i sistemi che memorizzano le password in chiaro? Io non ne conosco tanti, specialmente un sistema di webmail che, in genere, è un programma usato da un considerevole numero di persone, è sviluppato e mantenuto attivamente, non è insomma la classica applicazione fatta da un giorno all'altro dall'hobbista in cantina.
    • Anonimo scrive:
      Re: CI sono degli errori di fondo
      - Scritto da: DPY

      Il vero problema sta nel fatto che tutte

      queste password vengono trasferite e

      memorizzate in chiaro da molti dei sistemi

      che offrono i servizi a cui accediamo (basti

      pensare alla posta elettronica, alla webmail,

      ed all'accesso a siti web protetti).

      E questo chi lo dice? A me risulta che con il
      pop3, che è il protocollo più diffuso per
      l'accesso alla posta, le password viaggino in
      chiaro. Questo non significa che vengano
      memorizzate in chiaro, né su un server
      classico né su una interfaccia webmail. Se per
      siti web protetti si intende la crittografia SSL,
      l'affermazione è falsa, se si intendono i
      meccanismi di autenticazione con scambio di nome
      utente e password, in effetti l'autenticazione
      base su un sito non SSL ha le password che
      viaggiano in chiaro, ma ci sono altri sistemi che
      non soffrono di questi problemi.


      Chiunque abbia accesso al database di una

      webmail può ottenere la password in chiaro

      di chiunque, ed utilizzarla per accedere ad

      altri servizi. I nomi degli account sono anche

      facili da indovinare.

      A me questa pare pura fantasia. Quali sono i
      sistemi che memorizzano le password in chiaro? Io
      non ne conosco tanti, specialmente un sistema di
      webmail che, in genere, è un programma usato da
      un considerevole numero di persone, è sviluppato
      e mantenuto attivamente, non è insomma la
      classica applicazione fatta da un giorno
      all'altro dall'hobbista in cantina.Sicuramente tutti quelli che ti permettono di recuperare la password "dimenticata".Non c'avevi pensato, vero?
      • DPY scrive:
        Re: CI sono degli errori di fondo
        A parte il fatto che non vedo un grande acume nel quotare tutto il messaggio per mettere due righe di risposta, quali sono questi sistemi? Quelli che conosco io permettono di cambiare la password sulla base di certe azioni fatte dall'utente per provare la sua identità, non di recuperarla, il che è cosa ben diversa. Che poi ci possano essere dei sistemi, anche di largo uso, che usino questo approccio, è possibile, ma qanto sono 'critici' questi sistemi? La webmail di libero (ammesso e non concesso che lo faccia) non è un sistema critico, a dispetto dei poveri di spirito che ci mettono la casella aziendale.
  • Anonimo scrive:
    Ricetta da linaro incallito
    pwgen -cnsC 12Per ogni servizio serio di cui ci si possa fidare (password di root sul proprio PC, account utente locali, servizi che fanno viaggiare i dati tramite protocolli criptati, wallet, ...) una password diversa, generata con pwgen, da almeno 12 caratteri, con all'interno maiscole, minuscole e numeri, così che nel caso in cui una di queste venisse compromessa (fatta eccezione per i wallet, i raccoglitori di password) non si abbia un effetto a catena.GPG per le email e download in locale di quelle importanti, così che non restino (per molto tempo, perché comunque non possono tenere fisicamente copia di tutto ciò che gli passa) sul server della web-mail.Per ogni altro servizio di cui non ci si può fidare o sul quale non viaggiano dati importanti, pippo, pluto e paperino, e tutto in chiaro va più che bene.
    • matcion scrive:
      Re: Ricetta da linaro incallito
      - Scritto da: Anonimo
      pwgen -cnsC 12

      Per ogni servizio serio di cui ci si possa fidare
      (password di root sul proprio PC, account utente
      locali, servizi che fanno viaggiare i dati
      tramite protocolli criptati, wallet, ...) una
      password diversa, generata con pwgen, da almeno
      12 caratteri, con all'interno maiscole, minuscole
      e numeri, così che nel caso in cui una di queste
      venisse compromessa (fatta eccezione per i
      wallet, i raccoglitori di password) non si abbia
      un effetto a catena.
      Il problema di ricordarsele non viene evitato in questo modo, però!
      • Anonimo scrive:
        Re: Ricetta da linaro incallito
        - Scritto da: matcion

        - Scritto da: Anonimo

        pwgen -cnsC 12



        Per ogni servizio serio di cui ci si possa
        fidare

        (password di root sul proprio PC, account utente

        locali, servizi che fanno viaggiare i dati

        tramite protocolli criptati, wallet, ...) una

        password diversa, generata con pwgen, da almeno

        12 caratteri, con all'interno maiscole,
        minuscole

        e numeri, così che nel caso in cui una di queste

        venisse compromessa (fatta eccezione per i

        wallet, i raccoglitori di password) non si abbia

        un effetto a catena.


        Il problema di ricordarsele non viene evitato in
        questo modo, però!Non è un problema è una feature.Scherzi a parte, se sono molte e viene difficile ricordarsele GPG e una chiavetta USB e il gioco e fatto.Comunque per quanto mi riguarda dopo la quinta - sesta volta che digito la stessa password la ricordo senza problemi, anche se non ha senso ed è piena di maiuscole minuscole e numeri e ha 12 o più caratteri. Questione di abitudine. Ad esempio al momento ne ricordo perfettamente 7 tra cui 2 che mi consentono di accedere una al raccoglitore di password di KDE e l'altra a quello di Firefox.Quelle più critiche (root, server remoti, conto in banca, ...) poi le cambio periodicamente. È solo una questione di abitudine.E poi tiene allenata la mente :D .
  • Anonimo scrive:
    Password non visibili
    Avere una o molte password comporta, in entrambi i casi, vantaggi e svantaggi.Il punto della questione, come è emerso anche dalla lettera, è che gli amministratori e gestori dei vari servizi (specie internet) che richiedono l'uso di password da parte dell'utente dovrebbero essere i primi a NON poter accedere alle suddette password. Queste, cioè, dovrebbero restare crittografate sul database e gestite in modo protetto dal softwareNaturalmente nessuno garantisce che ciò avvenga. Eppure, gli amm. seri capirebbero che questo modo di procedere salvaguarderebbe anzitutto loro stessi, poichè li salvaguarderebbe da qualsiasi sospetto (che, immancabilmente, li vedrebbe come principali bersagli).E, quando si potesse dimostrare inequivocabilmente che neppure agli amm. è consentita la letture delle password, molto probabilmente a nessun altro (esclusi gli utenti interessati o super-hacker smanettoni) questa cosa sarà possibile.Questa filosofia dovrebbe riguardare, in piccolo, anche i sistemi multiutenza o di gestione delle reti locali. In sostanza: che utilità c'è per l'amministratore di un PC di conoscere le password degli altri utenti (o amministratori)? Egli può infatti gestire i vari account (modificare le politiche di accesso, cambiare le aliquote di HDD...) anche nel caso in cui non conosca il contenuto di eventuali dati crittografati. E, in fondo, non dovrebbe neppure interessargli conoscerli. Nel caso in cui l'utente proprietario si renda irreperibile o scada il suo diritto di accesso al sistema, i suoi dati possono benissimo essere spostati/rimossi/archiviati, sempre con rispetto della privacy.
    • Anonimo scrive:
      Re: Password non visibili

      Il punto della questione, come è emerso anche
      dalla lettera, è che gli amministratori e gestori
      dei vari servizi (specie internet) che richiedono
      l'uso di password da parte dell'utente dovrebbero
      essere i primi a NON poter accedere alle suddette
      password. vorrei aggiungere che non dovrebbero aver accesso neanche alle email che dovrebbero essere crittografate in modo sicuro e robusto, hai presente quando dimentichi una password e te la spediscono via mail o ti mandano il link per autenticarti?naturalmente tutta la posta dovrebbe essere crittografata e la navigazione anonima, ma poi i politici idioti lo vieterebbero perche' non potrebbero piu' avere le informazioni che hanno adesso su dei poveracci da chiamare in causa per sviare l'attenzione da processi su mafia e introiti illegali vari.
    • DPY scrive:
      Re: Password non visibili

      Il punto della questione, come è emerso anche
      dalla lettera, è che gli amministratori e gestori
      dei vari servizi (specie internet) che richiedono
      l'uso di password da parte dell'utente dovrebbero
      essere i primi a NON poter accedere alle suddette
      password. Queste, cioè, dovrebbero restare
      crittografate sul database e gestite in modo
      protetto dal softwareNon serve a nulla: una password crittografata può essere cambiata, e quella vecchia può essere ripristinata quando non è più necessario accedere.
      E, quando si potesse dimostrare
      inequivocabilmente che neppure agli amm. è
      consentita la letture delle password, molto
      probabilmente a nessun altro (esclusi gli utenti
      interessati o super-hacker smanettoni) questa
      cosa sarà possibile.Questa, come chiunque abbia gestito un archivio di utenti e password può confermare, è una solenne assurdità. Se un amministratore non può, tecnicamente, accedere a una password in chiaro, non può accederci neanche l'utente, gli algoritmi di crittografia non reversibili servono proprio a questo. E il super-hacker è una fantasia, per ricavare una password crittata con un algoritmo non reversibile esiste, salvo debolezze dell'algoritmo stesso, solo l'attacco a forza bruta, che non è appannaggio dei 'mitici' super-hacker smanettoni.
      Questa filosofia dovrebbe riguardare, in piccolo,
      anche i sistemi multiutenza o di gestione delle
      reti locali.E perché? Capisco che può essere utile, ma se permetti chi gestisce un sistema multiutente è libero di gestirlo come vuole, fino a che i suoi utenti sono tutti d'accordo, in barba ai chi come te vuole imporre le sue visioni dall'alto perché è convinto che tutti i sistemi abbiano le stesse necessità di sicurezza e privacy. La decisione di crittografare tutto ha vantaggi e svantaggi, fra gli svantaggi c'è il maggior carico dei sistemi e la maggior dificoltà di recuperare i dati in caso di disastri. Non parliamo poi delle difficoltà quando una chiave viene persa, in tal caso sarebbe necessario avere della chiavi di riserva in grado di accedere comunque ai dati, ma si vanifica di nuovo l'utilità della crittografia come garanzia che nessuno al di fuori dell'utente possa accedere ai dati.Detto fra noi, ho più paura di quelli che dicono "si dovrebbe fare così e cosà" senza cognizione di causa, che dei rischi dovuti alla mancata adozione di misure di sicurezza paranoiche: se un amministratore di un sistema deve sentirsi il fiato sul collo e venire sospettato alla minima anomalia allora tanto vale che appenda il server al chiodo e vada cercarsi un altro posto ove hanno meno paranoie: il suo sistema non funzionerà mai bene, visto che al minimo problema non può fare questo, non può fare quello, "per salvaguardare la privacy degli utenti". Nel momento in cui tu usi un sistema, vai sulla fiducia di chi lo gestisce: se questa fiducia non c'è, è meglio che ti rivolgi a qualcun altro, visto che un metodo per accedere e alterare i tuoi dati si trova sempre, per quanto paranoiche possano essere le misure di sicurezza.
      • Anonimo scrive:
        Re: Password non visibili
        - Scritto da: DPY

        Il punto della questione, come è emerso anche

        dalla lettera, è che gli amministratori e
        gestori

        dei vari servizi (specie internet) che
        richiedono

        l'uso di password da parte dell'utente
        dovrebbero

        essere i primi a NON poter accedere alle
        suddette

        password. Queste, cioè, dovrebbero restare

        crittografate sul database e gestite in modo

        protetto dal software

        Non serve a nulla: una password crittografata può
        essere cambiata, e quella vecchia può essere
        ripristinata quando non è più necessario
        accedere.Questo dipende dalle politiche di gestione delle password offerte dal Database Manager. Ad ogni modo, il solo fatto che questa risulti crittografata sarebbe già un bel passo avanti sulla sicurezza.

        E, quando si potesse dimostrare

        inequivocabilmente che neppure agli amm. è

        consentita la letture delle password, molto

        probabilmente a nessun altro (esclusi gli utenti

        interessati o super-hacker smanettoni) questa

        cosa sarà possibile.

        Questa, come chiunque abbia gestito un archivio
        di utenti e password può confermare, è una
        solenne assurdità. Se un amministratore non può,
        tecnicamente, accedere a una password in chiaro,
        non può accederci neanche l'utente, gli algoritmi
        di crittografia non reversibili servono proprio a
        questo. Peccato solo che l'utente, essendo il proprietario della password, la conosce perfettamente. Se poi dovesse dimenticarla e non avesse preso alcuna precauzione (ad, es, la classica "frase di ricordo"), beh peggio per lui. Così come quando perde il codice bancomat: gli bloccano l'accesso e gliene procurano uno nuovo.
        E il super-hacker è una fantasia, per
        ricavare una password crittata con un algoritmo
        non reversibile esiste, salvo debolezze
        dell'algoritmo stesso, solo l'attacco a forza
        bruta, che non è appannaggio dei 'mitici'
        super-hacker smanettoni. Ovviamente era ironico. Vorrei cmq ricordati che esistono tecniche anche per rendere i "brutal" meno ostici di quanto si pensi. Pare, ad es, che siano riusciti a sbloccare chiavi da 512 bit in tempi ragionevoli (pur con un'eccezionale potenza di calcolo...).


        Questa filosofia dovrebbe riguardare, in
        piccolo,

        anche i sistemi multiutenza o di gestione delle

        reti locali.

        E perché? Capisco che può essere utile, ma se
        permetti chi gestisce un sistema multiutente è
        libero di gestirlo come vuole, fino a che i suoi
        utenti sono tutti d'accordo, in barba ai chi come
        te vuole imporre le sue visioni dall'alto perché
        è convinto che tutti i sistemi abbiano le stesse
        necessità di sicurezza e privacy.Anzitutto io non "impongo" niente, ma espongo la mia opinione, sorretta dall'esperienza. Detto questo, certo, uno col proprio PC può farci quello che vuole, tanto più se in ambito familiare. Dipende essenzialmente dal livello di responsabilità che ha e cosa si aspettano da lui i suoi colleghi.Se, ad es., io fossi l'amministratore di rete interna di una grossa azienda e si venisse a sapere che c'e stata una fuga di password, non credi che sarei, io per primo, molto più tutelato se ci fosse la certezza che non potrei, in nessun modo, averne avuto accesso semplicemente trafficando sulle macchine?
        La decisione di
        crittografare tutto ha vantaggi e svantaggi, fra
        gli svantaggi c'è il maggior carico dei sistemi e
        la maggior dificoltà di recuperare i dati in caso
        di disastri. Non parliamo poi delle difficoltà
        quando una chiave viene persa, in tal caso
        sarebbe necessario avere della chiavi di riserva
        in grado di accedere comunque ai dati, ma si
        vanifica di nuovo l'utilità della crittografia
        come garanzia che nessuno al di fuori dell'utente
        possa accedere ai dati.E' un po' come i sistemi RAID: se si rompono i singoli ARRAY c'è il rischio di compromettere l'intero archivio. Ovviamente sono previsti metodi di ripristino che diventano tanto più costosi (ma allo stesso tempo efficaci) quando è complesso l'algoritmo di gestione dei dati.Naturalmente occorre fare una valutazione dei costi, per giungere al giusto compromesso.Mi pare che, all'attuale stato della tecnologia, si possa pensare di sfruttare tecniche di crittografia molto complesse, senza per altro, inficiare le prestazioni finali. Detto questo, mi sembra che valga la pena focalizzarsi anche sui vantaggi....Riguardo poi la conservazione della password da parte dell'utente....esistono anche sistemi di riconoscimento basati su certificati, definiti, in taluni casi, sulle caratteritstiche biometriche del soggetto...o per mezzo di opportune smarcard. E non è fantascenza: si pensi al protocollo di autenticazione IEEE 802.1X per le reti wireless che frutta il sistema EAP proprio per consentire di ricorrere a questi metodi che consentono, in più, di distinguere immediatamente un utente dall'altro.

        Detto fra noi, ho più paura di quelli che dicono
        "si dovrebbe fare così e cosà" senza cognizione
        di causa, che dei rischi dovuti alla mancata
        adozione di misure di sicurezza paranoiche: "Senza cognizioni di causa"? Scusa ma non l'ho capita...
        se un amministratore di un sistema deve sentirsi il
        fiato sul collo e venire sospettato alla minima
        anomalia allora tanto vale che appenda il server
        al chiodo e vada cercarsi un altro posto ove
        hanno meno paranoie: O, più semplicemente, cercarsi un altro lavoro? L'amministrazione richeide grosse responsabilità, sia che si tratti dell'aministrazione di un ufficio, di un palazzo....di un server.
        il suo sistema non funzionerà mai bene, visto che al minimo problema
        non può fare questo, non può fare quello, "per
        salvaguardare la privacy degli utenti". "Non esistono sistemi sicuri ma solo sistemi MENO insicuri". La sicurezza assoluta non è mai raggiungibile, ma si può comunque fare del proprio meglio per avvicinarvisi. E chi ha detto poi che non "possa fare". Può benissimo continuare a fare tutto cio che è in suo potere. Ricordando che mi amm. non sono comunque DIO
        Nel momento in cui tu usi un sistema, vai sulla
        fiducia di chi lo gestisce: se questa fiducia non
        c'è, è meglio che ti rivolgi a qualcun altro,
        visto che un metodo per accedere e alterare i
        tuoi dati si trova sempre, per quanto paranoiche
        possano essere le misure di sicurezza.Giusto: allora tanto vale progetterli, no?Dato che posso "scegliere" a chi rivolgermi per manipolare i miei dati, preferisco andare da chi mi offre maggiori garanzie.
        • DPY scrive:
          Re: Password non visibili

          Questo dipende dalle politiche di gestione
          delle password offerte dal Database
          Manager. Ad ogni modo, il solo fatto che
          questa risulti crittografata sarebbe già un bel
          passo avanti sulla sicurezza.Hai degli esempi di sistemi largamente diffusi ove il cosiddetto 'password manager' blocchi le operazioni di cambio password e ove non sia possibile alterare manualmente il database? Se il blocco è a livello di firme crittografiche e simili cosa, potrebbe essere difficile aggirarlo, ma non impossibile e sicuramente non a livello tale da dare la certezza assoluta di cui parli tu, se è semplicemente il software che si rifiuta di fare un operazione che di per sé sarebbe banale fare a mano, parimenti l'amministratore non sarà mai tranquillo.Hai degli esempi concreti di sistemi che memorizzino le password in chiaro? Se non li hai stiamo parlando al vento. Insisto: non me ne importa nulla della webmail di libero, parlo di sistemi mission critical.
          Peccato solo che l'utente, essendo il
          proprietario della password, la conosce
          perfettamente. Se poi dovesse dimenticarla
          e non avesse preso alcuna precauzione (ad,
          es, la classica "frase di ricordo"), beh
          peggio per lui. E qui siamo ancora più sull'assurdo: se si è così paranoici da far sì che l'amministratore di sistema non possa cambiare la password di un utente, dovremmo consentire all'utente di farlo sulla base di una credenziale molto più debole come la 'frase di ricordo'?
          Vorrei cmq ricordati che esistono tecniche
          anche per rendere i "brutal" meno ostici di
          quanto si pensi. Pare, ad es, che siano
          riusciti a sbloccare chiavi da 512 bit in tempi
          ragionevoliLa prossima volta compara pere con pere e lamponi con lamponi: i 512 bit cui fai riferimento sono 512 bit di chiavi asimmetriche, che nonoriamente sono molto più deboli, a parità di bit, di quelle degli algoritmi tradizionali. Un algoritmo tradizionale con chiave a 512 bit è praticamente inforzabile. Inoltre, le 'debolezze' delle chiavi asimmetriche non sono degli imprevisti, la loro presenza era conosciuta, proprio per il tipo di algoritmo utilizzato. Per intendercisi, questo significa che il fatto che abbiano scassinato una RSA a 512bit non significa automaticamente che un blowfish a 128 sia molto più facile da scassinare, presumibilmente sarà molto più difficile.
          Se, ad es., io fossi l'amministratore di rete
          interna di una grossa azienda e si venisse a
          sapere che c'e stata una fuga di password,
          non credi che sarei, io per primo, molto più
          tutelato se ci fosse la certezza che non
          potrei, in nessun modo, averne avuto
          accesso semplicemente trafficando sulle
          macchine?Peccato che questa certezza non ci possa essere, mi stupisco che con la tua 'esperienza' non ci sia ancora arrivato. Se il software ti impedisce di effettuare una operazione banale, prima o poi riuscirai ad aggirarlo. Se il software si basa sulla 'security through obscuriti' prima o poi qualcuno riuscirà ad aggirarlo. Se una chiave è crittata con un algoritmo reversibile, e il software è in grado di decrittarla, devi dimostrare che tu non saresti stato in grado di utilizzare lo stesso software per ricavarla. Ci sono troppe cose da dimostrare e pochi elementi concreti.
          Riguardo poi la conservazione della
          password da parte dell'utente....esistono
          anche sistemi di riconoscimento basati su
          certificati, definiti, in taluni casi, sulle
          caratteritstiche biometriche del soggetto...o
          per mezzo di opportune smarcard. E non è
          fantascenza: si pensi al protocollo di
          autenticazione IEEE 802.1X per le reti
          wireless che frutta il sistema EAP proprio per
          consentire di ricorrere a questi metodi che
          consentono, in più, di distinguere
          immediatamente un utente dall'altro.I certificati sono storia di tutti i giorni ormai, non fantascienza.L'autenticazione biometrica è molto di moda di questi tempi, ma che sia sicura è tutto da dimostrare. Certamente l'autenticazione biometrica non ha niente a che fare con l'802.1x e l'EAP, come invece sembri indicare. Non vedo poi la 'grande novità' di distinguere un utente da un altro: anche accedendo con nomi utente e password diverse ottieni lo stesso risultato, e nessuno ti impedisce di duplicare su due client lo stesso certificato, rendendoli indistinguibili.
          E' un po' come i sistemi RAID: se si rompono
          i singoli ARRAY c'è il rischio di
          compromettere l'intero archivio. Frase priva di senso: per fare un raid basta un array, che è composto da più dischi. Se si rompe un disco, a meno che tu non abbia un raid 0, non hai ancora perso niente, anche se rischi. Va da se che se si rompe l'array si rompe tutto il raid, ma questo il signor De la Palisse probabilmente non avrebbe saputo dirlo meglio.
          Mi pare che, all'attuale stato della
          tecnologia, si possa pensare di sfruttare
          tecniche di crittografia molto complesse,
          senza per altro, inficiare le prestazioni
          finali. "Mi pare" è un po' generico. Quali tecnologie? Parli sapendolo o per sentito dire?
          "Non esistono sistemi sicuri ma solo sistemi
          MENO insicuri". La sicurezza assoluta non è
          mai raggiungibile, ma si può comunque fare
          del proprio meglio per avvicinarvisi. Mi pare strano che la tua esperienza non ti abbia ancora insegnato che c'è sempre un compromesso fra la sicurezza di un sistema e la sua usabilità. Fai un sistema paranoico: sarà molto sicuro, e molto complicato e noioso da utilizzare.Concludendo, IMHO non hai le idee molto chiare.. che ne diresti da fare un po' più di esperienza? :PPP
  • Anonimo scrive:
    Certificato digitale personale...
    E' proprio necessario?
    • Anonimo scrive:
      Re: Certificato digitale personale...
      - Scritto da: Anonimo
      E' proprio necessario?no...
    • Anonimo scrive:
      Re: Certificato digitale personale...
      - Scritto da: Anonimo
      E' proprio necessario?chiaro, c' un mucchio di gente che vuole spingere le smartcard... e soprattutto le marche temporali... tutta roba che si paga, si paga, si paga e si paga ancora
      • Anonimo scrive:
        Re: Certificato digitale personale...
        - Scritto da: Anonimo
        - Scritto da: Anonimo

        E' proprio necessario?
        chiaro, c' un mucchio di gente che vuole spingere
        le smartcard... e soprattutto le marche
        temporali...
        tutta roba che si paga, si paga, si paga e si
        paga ancoraquindi non si preoccupano della sicurezza delle nostre password... e te pareva
        • Anonimo scrive:
          Re: Certificato digitale personale...
          - Scritto da: Anonimo
          - Scritto da: Anonimo

          - Scritto da: Anonimo


          E' proprio necessario?

          chiaro, c' un mucchio di gente che vuole
          spingere

          le smartcard... e soprattutto le marche

          temporali...

          tutta roba che si paga, si paga, si paga e si

          paga ancora

          quindi non si preoccupano della sicurezza delle
          nostre password... e te parevabastava partecipare alle "spiegazioni" sull'uso di smartcard... quei quattro esperti che hanno sollevato le classiche obiezioni sulla forza e il valore del sistema hanno semplicemente ricevuto la risposta "funziona così : non stiamo discutendo".Certo, era vero, non erano le persone che ti spiegano come funziona a poter decidere qualcosa... ma non ci sono state altre occasioni
    • Anonimo scrive:
      Re: Certificato digitale personale...
      - Scritto da: Anonimo
      E' proprio necessario?Se si vuole una maggiore sicurezza nei meccanismi di autenticazione ... la risposta è si.Qualcuno ti ha risposto che l'utilizzo di certificati personali è in funzione unicamente alla vendita di certificati e smartcard, ma sbaglia. Innanzitutto un certificato può anche non essere fornito con una smartcard, ma ad esempio in un file in formato P12 (personal information exchange) e qundi importato in un browser ed utilizzato in combinazione con username e pwd per autenticarsi. Chiaramente in questo caso dipende da chi ti offre il servizio implementare i servizi necessari.Aggiungo poi che oggi è possibile acquistare portatili con lettori smartcard integrate, senza spese aggiuntive, io per esempio ho un dell latitude. Penso che se l'utilizzo delle smartcard si diffonderà maggiormente il lettore su molti pc diventerà di serie.CiaoDario
Chiudi i commenti