Roma – Si terrà a Roma lunedì 3 aprile una conferenza stampa di presentazione del progetto: “L’impatto dei media digitali per il benessere fisico e mentale”, dal sottotitolo Sensibilizzazione, Formazione e Prevenzione per un corretto e consapevole utilizzo dei nuovi servizi e tecnologie digitali in famiglia e a scuola.
Si tratta di un progetto proposto da CENPIS e Fesaeffe Studio e sostenuto dalla Provincia di Roma e dal Municipio Roma III, che parteciperanno alla conferenza.
Maggiori informazioni sulle pagine dedicate
-
Certificato digitale personale...
E' proprio necessario?AnonimoRe: Certificato digitale personale...
- Scritto da: Anonimo> E' proprio necessario?no...AnonimoRe: Certificato digitale personale...
- Scritto da: Anonimo> E' proprio necessario?chiaro, c' un mucchio di gente che vuole spingere le smartcard... e soprattutto le marche temporali... tutta roba che si paga, si paga, si paga e si paga ancoraAnonimoRe: Certificato digitale personale...
- Scritto da: Anonimo> - Scritto da: Anonimo> > E' proprio necessario?> chiaro, c' un mucchio di gente che vuole spingere> le smartcard... e soprattutto le marche> temporali... > tutta roba che si paga, si paga, si paga e si> paga ancoraquindi non si preoccupano della sicurezza delle nostre password... e te parevaAnonimoRe: Certificato digitale personale...
- Scritto da: Anonimo> - Scritto da: Anonimo> > - Scritto da: Anonimo> > > E' proprio necessario?> > chiaro, c' un mucchio di gente che vuole> spingere> > le smartcard... e soprattutto le marche> > temporali... > > tutta roba che si paga, si paga, si paga e si> > paga ancora> > quindi non si preoccupano della sicurezza delle> nostre password... e te parevabastava partecipare alle "spiegazioni" sull'uso di smartcard... quei quattro esperti che hanno sollevato le classiche obiezioni sulla forza e il valore del sistema hanno semplicemente ricevuto la risposta "funziona così : non stiamo discutendo".Certo, era vero, non erano le persone che ti spiegano come funziona a poter decidere qualcosa... ma non ci sono state altre occasioniAnonimoRe: Certificato digitale personale...
- Scritto da: Anonimo> E' proprio necessario?Se si vuole una maggiore sicurezza nei meccanismi di autenticazione ... la risposta è si.Qualcuno ti ha risposto che l'utilizzo di certificati personali è in funzione unicamente alla vendita di certificati e smartcard, ma sbaglia. Innanzitutto un certificato può anche non essere fornito con una smartcard, ma ad esempio in un file in formato P12 (personal information exchange) e qundi importato in un browser ed utilizzato in combinazione con username e pwd per autenticarsi. Chiaramente in questo caso dipende da chi ti offre il servizio implementare i servizi necessari.Aggiungo poi che oggi è possibile acquistare portatili con lettori smartcard integrate, senza spese aggiuntive, io per esempio ho un dell latitude. Penso che se l'utilizzo delle smartcard si diffonderà maggiormente il lettore su molti pc diventerà di serie.CiaoDarioAnonimoPassword non visibili
Avere una o molte password comporta, in entrambi i casi, vantaggi e svantaggi.Il punto della questione, come è emerso anche dalla lettera, è che gli amministratori e gestori dei vari servizi (specie internet) che richiedono l'uso di password da parte dell'utente dovrebbero essere i primi a NON poter accedere alle suddette password. Queste, cioè, dovrebbero restare crittografate sul database e gestite in modo protetto dal softwareNaturalmente nessuno garantisce che ciò avvenga. Eppure, gli amm. seri capirebbero che questo modo di procedere salvaguarderebbe anzitutto loro stessi, poichè li salvaguarderebbe da qualsiasi sospetto (che, immancabilmente, li vedrebbe come principali bersagli).E, quando si potesse dimostrare inequivocabilmente che neppure agli amm. è consentita la letture delle password, molto probabilmente a nessun altro (esclusi gli utenti interessati o super-hacker smanettoni) questa cosa sarà possibile.Questa filosofia dovrebbe riguardare, in piccolo, anche i sistemi multiutenza o di gestione delle reti locali. In sostanza: che utilità c'è per l'amministratore di un PC di conoscere le password degli altri utenti (o amministratori)? Egli può infatti gestire i vari account (modificare le politiche di accesso, cambiare le aliquote di HDD...) anche nel caso in cui non conosca il contenuto di eventuali dati crittografati. E, in fondo, non dovrebbe neppure interessargli conoscerli. Nel caso in cui l'utente proprietario si renda irreperibile o scada il suo diritto di accesso al sistema, i suoi dati possono benissimo essere spostati/rimossi/archiviati, sempre con rispetto della privacy.AnonimoRe: Password non visibili
> Il punto della questione, come è emerso anche> dalla lettera, è che gli amministratori e gestori> dei vari servizi (specie internet) che richiedono> l'uso di password da parte dell'utente dovrebbero> essere i primi a NON poter accedere alle suddette> password. vorrei aggiungere che non dovrebbero aver accesso neanche alle email che dovrebbero essere crittografate in modo sicuro e robusto, hai presente quando dimentichi una password e te la spediscono via mail o ti mandano il link per autenticarti?naturalmente tutta la posta dovrebbe essere crittografata e la navigazione anonima, ma poi i politici idioti lo vieterebbero perche' non potrebbero piu' avere le informazioni che hanno adesso su dei poveracci da chiamare in causa per sviare l'attenzione da processi su mafia e introiti illegali vari.AnonimoRe: Password non visibili
> Il punto della questione, come è emerso anche> dalla lettera, è che gli amministratori e gestori> dei vari servizi (specie internet) che richiedono> l'uso di password da parte dell'utente dovrebbero> essere i primi a NON poter accedere alle suddette> password. Queste, cioè, dovrebbero restare> crittografate sul database e gestite in modo> protetto dal softwareNon serve a nulla: una password crittografata può essere cambiata, e quella vecchia può essere ripristinata quando non è più necessario accedere.> E, quando si potesse dimostrare> inequivocabilmente che neppure agli amm. è> consentita la letture delle password, molto> probabilmente a nessun altro (esclusi gli utenti> interessati o super-hacker smanettoni) questa> cosa sarà possibile.Questa, come chiunque abbia gestito un archivio di utenti e password può confermare, è una solenne assurdità. Se un amministratore non può, tecnicamente, accedere a una password in chiaro, non può accederci neanche l'utente, gli algoritmi di crittografia non reversibili servono proprio a questo. E il super-hacker è una fantasia, per ricavare una password crittata con un algoritmo non reversibile esiste, salvo debolezze dell'algoritmo stesso, solo l'attacco a forza bruta, che non è appannaggio dei 'mitici' super-hacker smanettoni. > Questa filosofia dovrebbe riguardare, in piccolo,> anche i sistemi multiutenza o di gestione delle> reti locali.E perché? Capisco che può essere utile, ma se permetti chi gestisce un sistema multiutente è libero di gestirlo come vuole, fino a che i suoi utenti sono tutti d'accordo, in barba ai chi come te vuole imporre le sue visioni dall'alto perché è convinto che tutti i sistemi abbiano le stesse necessità di sicurezza e privacy. La decisione di crittografare tutto ha vantaggi e svantaggi, fra gli svantaggi c'è il maggior carico dei sistemi e la maggior dificoltà di recuperare i dati in caso di disastri. Non parliamo poi delle difficoltà quando una chiave viene persa, in tal caso sarebbe necessario avere della chiavi di riserva in grado di accedere comunque ai dati, ma si vanifica di nuovo l'utilità della crittografia come garanzia che nessuno al di fuori dell'utente possa accedere ai dati.Detto fra noi, ho più paura di quelli che dicono "si dovrebbe fare così e cosà" senza cognizione di causa, che dei rischi dovuti alla mancata adozione di misure di sicurezza paranoiche: se un amministratore di un sistema deve sentirsi il fiato sul collo e venire sospettato alla minima anomalia allora tanto vale che appenda il server al chiodo e vada cercarsi un altro posto ove hanno meno paranoie: il suo sistema non funzionerà mai bene, visto che al minimo problema non può fare questo, non può fare quello, "per salvaguardare la privacy degli utenti". Nel momento in cui tu usi un sistema, vai sulla fiducia di chi lo gestisce: se questa fiducia non c'è, è meglio che ti rivolgi a qualcun altro, visto che un metodo per accedere e alterare i tuoi dati si trova sempre, per quanto paranoiche possano essere le misure di sicurezza.DPYRe: Password non visibili
- Scritto da: DPY> > Il punto della questione, come è emerso anche> > dalla lettera, è che gli amministratori e> gestori> > dei vari servizi (specie internet) che> richiedono> > l'uso di password da parte dell'utente> dovrebbero> > essere i primi a NON poter accedere alle> suddette> > password. Queste, cioè, dovrebbero restare> > crittografate sul database e gestite in modo> > protetto dal software> > Non serve a nulla: una password crittografata può> essere cambiata, e quella vecchia può essere> ripristinata quando non è più necessario> accedere.Questo dipende dalle politiche di gestione delle password offerte dal Database Manager. Ad ogni modo, il solo fatto che questa risulti crittografata sarebbe già un bel passo avanti sulla sicurezza. > > E, quando si potesse dimostrare> > inequivocabilmente che neppure agli amm. è> > consentita la letture delle password, molto> > probabilmente a nessun altro (esclusi gli utenti> > interessati o super-hacker smanettoni) questa> > cosa sarà possibile.> > Questa, come chiunque abbia gestito un archivio> di utenti e password può confermare, è una> solenne assurdità. Se un amministratore non può,> tecnicamente, accedere a una password in chiaro,> non può accederci neanche l'utente, gli algoritmi> di crittografia non reversibili servono proprio a> questo. Peccato solo che l'utente, essendo il proprietario della password, la conosce perfettamente. Se poi dovesse dimenticarla e non avesse preso alcuna precauzione (ad, es, la classica "frase di ricordo"), beh peggio per lui. Così come quando perde il codice bancomat: gli bloccano l'accesso e gliene procurano uno nuovo.>E il super-hacker è una fantasia, per> ricavare una password crittata con un algoritmo> non reversibile esiste, salvo debolezze> dell'algoritmo stesso, solo l'attacco a forza> bruta, che non è appannaggio dei 'mitici'> super-hacker smanettoni. Ovviamente era ironico. Vorrei cmq ricordati che esistono tecniche anche per rendere i "brutal" meno ostici di quanto si pensi. Pare, ad es, che siano riusciti a sbloccare chiavi da 512 bit in tempi ragionevoli (pur con un'eccezionale potenza di calcolo...).> > > Questa filosofia dovrebbe riguardare, in> piccolo,> > anche i sistemi multiutenza o di gestione delle> > reti locali.> > E perché? Capisco che può essere utile, ma se> permetti chi gestisce un sistema multiutente è> libero di gestirlo come vuole, fino a che i suoi> utenti sono tutti d'accordo, in barba ai chi come> te vuole imporre le sue visioni dall'alto perché> è convinto che tutti i sistemi abbiano le stesse> necessità di sicurezza e privacy.Anzitutto io non "impongo" niente, ma espongo la mia opinione, sorretta dall'esperienza. Detto questo, certo, uno col proprio PC può farci quello che vuole, tanto più se in ambito familiare. Dipende essenzialmente dal livello di responsabilità che ha e cosa si aspettano da lui i suoi colleghi.Se, ad es., io fossi l'amministratore di rete interna di una grossa azienda e si venisse a sapere che c'e stata una fuga di password, non credi che sarei, io per primo, molto più tutelato se ci fosse la certezza che non potrei, in nessun modo, averne avuto accesso semplicemente trafficando sulle macchine?>La decisione di> crittografare tutto ha vantaggi e svantaggi, fra> gli svantaggi c'è il maggior carico dei sistemi e> la maggior dificoltà di recuperare i dati in caso> di disastri. Non parliamo poi delle difficoltà> quando una chiave viene persa, in tal caso> sarebbe necessario avere della chiavi di riserva> in grado di accedere comunque ai dati, ma si> vanifica di nuovo l'utilità della crittografia> come garanzia che nessuno al di fuori dell'utente> possa accedere ai dati.E' un po' come i sistemi RAID: se si rompono i singoli ARRAY c'è il rischio di compromettere l'intero archivio. Ovviamente sono previsti metodi di ripristino che diventano tanto più costosi (ma allo stesso tempo efficaci) quando è complesso l'algoritmo di gestione dei dati.Naturalmente occorre fare una valutazione dei costi, per giungere al giusto compromesso.Mi pare che, all'attuale stato della tecnologia, si possa pensare di sfruttare tecniche di crittografia molto complesse, senza per altro, inficiare le prestazioni finali. Detto questo, mi sembra che valga la pena focalizzarsi anche sui vantaggi....Riguardo poi la conservazione della password da parte dell'utente....esistono anche sistemi di riconoscimento basati su certificati, definiti, in taluni casi, sulle caratteritstiche biometriche del soggetto...o per mezzo di opportune smarcard. E non è fantascenza: si pensi al protocollo di autenticazione IEEE 802.1X per le reti wireless che frutta il sistema EAP proprio per consentire di ricorrere a questi metodi che consentono, in più, di distinguere immediatamente un utente dall'altro.> > Detto fra noi, ho più paura di quelli che dicono> "si dovrebbe fare così e cosà" senza cognizione> di causa, che dei rischi dovuti alla mancata> adozione di misure di sicurezza paranoiche: "Senza cognizioni di causa"? Scusa ma non l'ho capita...> se un amministratore di un sistema deve sentirsi il> fiato sul collo e venire sospettato alla minima> anomalia allora tanto vale che appenda il server> al chiodo e vada cercarsi un altro posto ove> hanno meno paranoie: O, più semplicemente, cercarsi un altro lavoro? L'amministrazione richeide grosse responsabilità, sia che si tratti dell'aministrazione di un ufficio, di un palazzo....di un server.> il suo sistema non funzionerà mai bene, visto che al minimo problema> non può fare questo, non può fare quello, "per> salvaguardare la privacy degli utenti". "Non esistono sistemi sicuri ma solo sistemi MENO insicuri". La sicurezza assoluta non è mai raggiungibile, ma si può comunque fare del proprio meglio per avvicinarvisi. E chi ha detto poi che non "possa fare". Può benissimo continuare a fare tutto cio che è in suo potere. Ricordando che mi amm. non sono comunque DIO> Nel momento in cui tu usi un sistema, vai sulla> fiducia di chi lo gestisce: se questa fiducia non> c'è, è meglio che ti rivolgi a qualcun altro,> visto che un metodo per accedere e alterare i> tuoi dati si trova sempre, per quanto paranoiche> possano essere le misure di sicurezza.Giusto: allora tanto vale progetterli, no?Dato che posso "scegliere" a chi rivolgermi per manipolare i miei dati, preferisco andare da chi mi offre maggiori garanzie.AnonimoRe: Password non visibili
> Questo dipende dalle politiche di gestione > delle password offerte dal Database > Manager. Ad ogni modo, il solo fatto che > questa risulti crittografata sarebbe già un bel > passo avanti sulla sicurezza.Hai degli esempi di sistemi largamente diffusi ove il cosiddetto 'password manager' blocchi le operazioni di cambio password e ove non sia possibile alterare manualmente il database? Se il blocco è a livello di firme crittografiche e simili cosa, potrebbe essere difficile aggirarlo, ma non impossibile e sicuramente non a livello tale da dare la certezza assoluta di cui parli tu, se è semplicemente il software che si rifiuta di fare un operazione che di per sé sarebbe banale fare a mano, parimenti l'amministratore non sarà mai tranquillo.Hai degli esempi concreti di sistemi che memorizzino le password in chiaro? Se non li hai stiamo parlando al vento. Insisto: non me ne importa nulla della webmail di libero, parlo di sistemi mission critical.> Peccato solo che l'utente, essendo il > proprietario della password, la conosce > perfettamente. Se poi dovesse dimenticarla > e non avesse preso alcuna precauzione (ad, > es, la classica "frase di ricordo"), beh > peggio per lui. E qui siamo ancora più sull'assurdo: se si è così paranoici da far sì che l'amministratore di sistema non possa cambiare la password di un utente, dovremmo consentire all'utente di farlo sulla base di una credenziale molto più debole come la 'frase di ricordo'?> Vorrei cmq ricordati che esistono tecniche > anche per rendere i "brutal" meno ostici di > quanto si pensi. Pare, ad es, che siano > riusciti a sbloccare chiavi da 512 bit in tempi > ragionevoliLa prossima volta compara pere con pere e lamponi con lamponi: i 512 bit cui fai riferimento sono 512 bit di chiavi asimmetriche, che nonoriamente sono molto più deboli, a parità di bit, di quelle degli algoritmi tradizionali. Un algoritmo tradizionale con chiave a 512 bit è praticamente inforzabile. Inoltre, le 'debolezze' delle chiavi asimmetriche non sono degli imprevisti, la loro presenza era conosciuta, proprio per il tipo di algoritmo utilizzato. Per intendercisi, questo significa che il fatto che abbiano scassinato una RSA a 512bit non significa automaticamente che un blowfish a 128 sia molto più facile da scassinare, presumibilmente sarà molto più difficile.> Se, ad es., io fossi l'amministratore di rete > interna di una grossa azienda e si venisse a > sapere che c'e stata una fuga di password, > non credi che sarei, io per primo, molto più > tutelato se ci fosse la certezza che non > potrei, in nessun modo, averne avuto > accesso semplicemente trafficando sulle > macchine?Peccato che questa certezza non ci possa essere, mi stupisco che con la tua 'esperienza' non ci sia ancora arrivato. Se il software ti impedisce di effettuare una operazione banale, prima o poi riuscirai ad aggirarlo. Se il software si basa sulla 'security through obscuriti' prima o poi qualcuno riuscirà ad aggirarlo. Se una chiave è crittata con un algoritmo reversibile, e il software è in grado di decrittarla, devi dimostrare che tu non saresti stato in grado di utilizzare lo stesso software per ricavarla. Ci sono troppe cose da dimostrare e pochi elementi concreti.> Riguardo poi la conservazione della > password da parte dell'utente....esistono > anche sistemi di riconoscimento basati su > certificati, definiti, in taluni casi, sulle > caratteritstiche biometriche del soggetto...o > per mezzo di opportune smarcard. E non è > fantascenza: si pensi al protocollo di > autenticazione IEEE 802.1X per le reti > wireless che frutta il sistema EAP proprio per > consentire di ricorrere a questi metodi che > consentono, in più, di distinguere > immediatamente un utente dall'altro.I certificati sono storia di tutti i giorni ormai, non fantascienza.L'autenticazione biometrica è molto di moda di questi tempi, ma che sia sicura è tutto da dimostrare. Certamente l'autenticazione biometrica non ha niente a che fare con l'802.1x e l'EAP, come invece sembri indicare. Non vedo poi la 'grande novità' di distinguere un utente da un altro: anche accedendo con nomi utente e password diverse ottieni lo stesso risultato, e nessuno ti impedisce di duplicare su due client lo stesso certificato, rendendoli indistinguibili.> E' un po' come i sistemi RAID: se si rompono > i singoli ARRAY c'è il rischio di > compromettere l'intero archivio. Frase priva di senso: per fare un raid basta un array, che è composto da più dischi. Se si rompe un disco, a meno che tu non abbia un raid 0, non hai ancora perso niente, anche se rischi. Va da se che se si rompe l'array si rompe tutto il raid, ma questo il signor De la Palisse probabilmente non avrebbe saputo dirlo meglio.> Mi pare che, all'attuale stato della > tecnologia, si possa pensare di sfruttare > tecniche di crittografia molto complesse, > senza per altro, inficiare le prestazioni > finali. "Mi pare" è un po' generico. Quali tecnologie? Parli sapendolo o per sentito dire?> "Non esistono sistemi sicuri ma solo sistemi > MENO insicuri". La sicurezza assoluta non è > mai raggiungibile, ma si può comunque fare > del proprio meglio per avvicinarvisi. Mi pare strano che la tua esperienza non ti abbia ancora insegnato che c'è sempre un compromesso fra la sicurezza di un sistema e la sua usabilità. Fai un sistema paranoico: sarà molto sicuro, e molto complicato e noioso da utilizzare.Concludendo, IMHO non hai le idee molto chiare.. che ne diresti da fare un po' più di esperienza? :PPPDPYRicetta da linaro incallito
pwgen -cnsC 12Per ogni servizio serio di cui ci si possa fidare (password di root sul proprio PC, account utente locali, servizi che fanno viaggiare i dati tramite protocolli criptati, wallet, ...) una password diversa, generata con pwgen, da almeno 12 caratteri, con all'interno maiscole, minuscole e numeri, così che nel caso in cui una di queste venisse compromessa (fatta eccezione per i wallet, i raccoglitori di password) non si abbia un effetto a catena.GPG per le email e download in locale di quelle importanti, così che non restino (per molto tempo, perché comunque non possono tenere fisicamente copia di tutto ciò che gli passa) sul server della web-mail.Per ogni altro servizio di cui non ci si può fidare o sul quale non viaggiano dati importanti, pippo, pluto e paperino, e tutto in chiaro va più che bene.AnonimoRe: Ricetta da linaro incallito
- Scritto da: Anonimo> pwgen -cnsC 12> > Per ogni servizio serio di cui ci si possa fidare> (password di root sul proprio PC, account utente> locali, servizi che fanno viaggiare i dati> tramite protocolli criptati, wallet, ...) una> password diversa, generata con pwgen, da almeno> 12 caratteri, con all'interno maiscole, minuscole> e numeri, così che nel caso in cui una di queste> venisse compromessa (fatta eccezione per i> wallet, i raccoglitori di password) non si abbia> un effetto a catena.>Il problema di ricordarsele non viene evitato in questo modo, però!matcionRe: Ricetta da linaro incallito
- Scritto da: matcion> > - Scritto da: Anonimo> > pwgen -cnsC 12> > > > Per ogni servizio serio di cui ci si possa> fidare> > (password di root sul proprio PC, account utente> > locali, servizi che fanno viaggiare i dati> > tramite protocolli criptati, wallet, ...) una> > password diversa, generata con pwgen, da almeno> > 12 caratteri, con all'interno maiscole,> minuscole> > e numeri, così che nel caso in cui una di queste> > venisse compromessa (fatta eccezione per i> > wallet, i raccoglitori di password) non si abbia> > un effetto a catena.> >> Il problema di ricordarsele non viene evitato in> questo modo, però!Non è un problema è una feature.Scherzi a parte, se sono molte e viene difficile ricordarsele GPG e una chiavetta USB e il gioco e fatto.Comunque per quanto mi riguarda dopo la quinta - sesta volta che digito la stessa password la ricordo senza problemi, anche se non ha senso ed è piena di maiuscole minuscole e numeri e ha 12 o più caratteri. Questione di abitudine. Ad esempio al momento ne ricordo perfettamente 7 tra cui 2 che mi consentono di accedere una al raccoglitore di password di KDE e l'altra a quello di Firefox.Quelle più critiche (root, server remoti, conto in banca, ...) poi le cambio periodicamente. È solo una questione di abitudine.E poi tiene allenata la mente :D .AnonimoCI sono degli errori di fondo
> Il vero problema sta nel fatto che tutte > queste password vengono trasferite e> memorizzate in chiaro da molti dei sistemi > che offrono i servizi a cui accediamo (basti > pensare alla posta elettronica, alla webmail, > ed all'accesso a siti web protetti).E questo chi lo dice? A me risulta che con il pop3, che è il protocollo più diffuso per l'accesso alla posta, le password viaggino in chiaro. Questo non significa che vengano memorizzate in chiaro, né su un server classico né su una interfaccia webmail. Se per siti web protetti si intende la crittografia SSL, l'affermazione è falsa, se si intendono i meccanismi di autenticazione con scambio di nome utente e password, in effetti l'autenticazione base su un sito non SSL ha le password che viaggiano in chiaro, ma ci sono altri sistemi che non soffrono di questi problemi. > Chiunque abbia accesso al database di una > webmail può ottenere la password in chiaro > di chiunque, ed utilizzarla per accedere ad > altri servizi. I nomi degli account sono anche > facili da indovinare.A me questa pare pura fantasia. Quali sono i sistemi che memorizzano le password in chiaro? Io non ne conosco tanti, specialmente un sistema di webmail che, in genere, è un programma usato da un considerevole numero di persone, è sviluppato e mantenuto attivamente, non è insomma la classica applicazione fatta da un giorno all'altro dall'hobbista in cantina.DPYRe: CI sono degli errori di fondo
- Scritto da: DPY> > Il vero problema sta nel fatto che tutte > > queste password vengono trasferite e> > memorizzate in chiaro da molti dei sistemi > > che offrono i servizi a cui accediamo (basti > > pensare alla posta elettronica, alla webmail, > > ed all'accesso a siti web protetti).> > E questo chi lo dice? A me risulta che con il> pop3, che è il protocollo più diffuso per> l'accesso alla posta, le password viaggino in> chiaro. Questo non significa che vengano> memorizzate in chiaro, né su un server> classico né su una interfaccia webmail. Se per> siti web protetti si intende la crittografia SSL,> l'affermazione è falsa, se si intendono i> meccanismi di autenticazione con scambio di nome> utente e password, in effetti l'autenticazione> base su un sito non SSL ha le password che> viaggiano in chiaro, ma ci sono altri sistemi che> non soffrono di questi problemi. > > > Chiunque abbia accesso al database di una > > webmail può ottenere la password in chiaro > > di chiunque, ed utilizzarla per accedere ad > > altri servizi. I nomi degli account sono anche > > facili da indovinare.> > A me questa pare pura fantasia. Quali sono i> sistemi che memorizzano le password in chiaro? Io> non ne conosco tanti, specialmente un sistema di> webmail che, in genere, è un programma usato da> un considerevole numero di persone, è sviluppato> e mantenuto attivamente, non è insomma la> classica applicazione fatta da un giorno> all'altro dall'hobbista in cantina.Sicuramente tutti quelli che ti permettono di recuperare la password "dimenticata".Non c'avevi pensato, vero?AnonimoRe: CI sono degli errori di fondo
A parte il fatto che non vedo un grande acume nel quotare tutto il messaggio per mettere due righe di risposta, quali sono questi sistemi? Quelli che conosco io permettono di cambiare la password sulla base di certe azioni fatte dall'utente per provare la sua identità, non di recuperarla, il che è cosa ben diversa. Che poi ci possano essere dei sistemi, anche di largo uso, che usino questo approccio, è possibile, ma qanto sono 'critici' questi sistemi? La webmail di libero (ammesso e non concesso che lo faccia) non è un sistema critico, a dispetto dei poveri di spirito che ci mettono la casella aziendale.DPYRe: CI sono degli errori di fondo
Straquoto DPIAnlanCome faccio io
Imparo a memoria una e una sola sequenza di numeri/letterees:4r3ueu94In base al sito in cui mi registro, prendo alcune lettere che lo caratterizzano (es: yahoo.it prendo yait)Utilizzo una funzione semplice ( che non cito :) ma potete inventarvela ) per trasformare la sequenza di partenza attraverso le lettere che caratterizzano il servizio.quindi in yahoo.it avrò password rjr494jrje39j8 in gmail avrò r4ur94i949i3i e non ho necessità di consocerle a memoria, visto che posso ricostruirle a mente ricordandomi una sola e unica sequenza.AnonimoRe: Come faccio io
Certo la tua tecnica è sicuramente meglio che la password stupida, questa strategia la usavo pure io.Ha però dei problemi:- così facendo sarai portato a non cambiare mai la password nel tempo, perchè dovresti cambiare l'algoritmo, e saresti daccapo.- se qualcuno viene a conoscere casualmente una tua password, potrà desumere con facilità le altreLa vera soluzione è un password manager."Un'unica password per ricordarle tutte......"Caratteristica per me fondamentale è che sia portabile, quello che uso io sta su una pendrive e non ha bisogno di setup. I dati sono tutti crittati ovviamente. Inoltre possedendo un sistema di copia incolla delle password riesce a fregare pure i keylogger.AnonimoRe: Come faccio io
Ah dimenticavo....Il backup è d'obbligo.... magari in duplice copia!AnonimoRe: Come faccio io
- Scritto da: Anonimo> Imparo a memoria una e una sola sequenza di> numeri/lettere> > es:> 4r3ueu94> > In base al sito in cui mi registro, prendo alcune> lettere che lo caratterizzano (es: yahoo.it > prendo yait)> > Utilizzo una funzione semplice ( che non cito :)> ma potete inventarvela ) per trasformare la> sequenza di partenza attraverso le lettere che> caratterizzano il servizio.> > quindi in yahoo.it avrò password rjr494jrje39j8> in gmail avrò r4ur94i949i3i e non ho necessità di> consocerle a memoria, visto che posso> ricostruirle a mente ricordandomi una sola e> unica sequenza.> > > e se ti arriva una botta in testa? (rotfl)AnonimoApproposito di Password Manager...
Copio e incollo dal sito "pianosicurezza.it" "Password Manager offre la possibiltà di archiviare i propri dati personali in maniera veloce e sicura grazie alla protezione del suo database con chiavi di crittografia a 256 bit."Password Manager è rilascitato con licenza GNU ed è quindi freeware. Può essere scaricato e distribuito liberamente senza alcun vincolo.E' vietato decodificare il programma e non vengono forniti i sorgenti."Ho provato l'installante ed effettivamente la licenza riportata è la classica "GNU" ... ma come fa' ad essere GNU se "NON VENGONO FORNITI I SORGENTI?"Forse i signori di Pianosicurezza dovrebbero cambiare licenza (magari una BSD andrebbe benissimo)??eriskRe: Approposito di Password Manager...
- Scritto da: erisk> Copio e incollo dal sito "pianosicurezza.it" > > "Password Manager offre la possibiltà di> archiviare i propri dati personali in maniera> veloce e sicura grazie alla protezione del suo> database con chiavi di crittografia a 256 bit.> > "Password Manager è rilascitato con licenza GNU> ed è quindi freeware. Può essere scaricato e> distribuito liberamente senza alcun vincolo.> E' vietato decodificare il programma e non> vengono forniti i sorgenti."> > Ho provato l'installante ed effettivamente la> licenza riportata è la classica "GNU" ... ma come> fa' ad essere GNU se "NON VENGONO FORNITI I> SORGENTI?"> > Forse i signori di Pianosicurezza dovrebbero> cambiare licenza (magari una BSD andrebbe> benissimo)??ci sono alternative se vuoi, tutte in PI Downloadhttp://punto-informatico.it/cerca.asp?s=password+manager&B=CERCA&r=Downloada ognuno.. il suo ;)LucaSLuca SchiavoniGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiRedazione 28 03 2006
Ti potrebbe interessare