Link alla notizia: http://www.hwupgrade.it/news/web/ti-dimentichi-la-password-disegnala_23140.html

La password, per essere efficace, deve essere sufficientemente complicata. Ciò vuol dire anche difficile da ricordare mnemonicamente. Disegnarla sarebbe più facile

Click sul link per visualizzare la notizia.

BAH

e se ho un infortunio? nn entro più nel PC?

sfido chiunque a riprodurre un disegno con la stessa mano, figuriamoci se devo usare quella che nn utiliziamo mai a causa di un imprevisto

Mah, mi sembra che si vada a complicare le cose...era mica più facile ricordarsi la password? :D

in pratica, hanno inventato il riconoscimento della firma (vera, non digitale :) )

Questo metodo era stato abbandonato anche perchè poco sicuro quando non sei da solo, basta un "avvoltoio" dietro le spalle e addio segretezza... (almeno i box alfanumerici hanno i "pallini"

che problema ha il riconoscimento delle impronte?!? mi sembra tanto bello.... ;)

BAH

e se ho un infortunio? nn entro più nel PC?

sfido chiunque a riprodurre un disegno con la stessa mano, figuriamoci se devo usare quella che nn utiliziamo mai a causa di un imprevisto

Il tuo discorso è giusto, ma si applica anche all'utilizzo delle impronte digitali.

Questo metodo era stato abbandonato anche perchè poco sicuro quando non sei da solo, basta un "avvoltoio" dietro le spalle e addio segretezza... (almeno i box alfanumerici hanno i "pallini"

Quoto in pieno! Secondo me il vero problema è questo! Anche perchè a fare un disegno ci vuol più tempo che a digitare una password, soprattutto dopo un po' che la si utilizza (le dita ti si muovono da sole:D )


che problema ha il riconoscimento delle impronte?!? mi sembra tanto bello....

Ti serve un dispositivo hardware apposito per la scansione delle impronte

Mi sa un po' di c@zz..a. Mah!

gran boiata

Il tuo discorso è giusto, ma si applica anche all'utilizzo delle impronte digitali.

Non ci vuole molto a registrare due dita e se ti tagliano entrambe le mani di pure addio al pc, altro che password.

quindi come pw si potranno avere anche tette, culi, o un bel padulo...
che soddisfazione... come ritornare ragazzino... :D :D :D

gran boiata

Se ti tagliano entrambe le mani avrai di certo problemi più pressanti di una password dimenticata... :muro:

che problema ha il riconoscimento delle impronte?!? mi sembra tanto bello.... ;)
appunto, nessuno conosce i problemi delle impronte digitali?:confused:

sulle impronte digitali il problema non è tanto quello dell'impronta, quanto quello del flusso di dati che arriva dall'aggeggio che ti sente l'impronta e va verso il pc, può intercettarlo chiunque.

Figata, ci metti un Picasso come password e chi te lo becca?

Poi alle dita ci tagli via i polpastrelli... o usi la mano mozzata di un altro...

Ci si ingegna ragazzi!

Il problema delle impronte digitali è che sono

1) facilmente riproducibili
2) se ti tagli un dito anche solo superficialmente (non dico, te lo stacchi) il lettore di impronte potrebbe non riconoscerlo

Rilevare le impronte non è difficile,
provate a fare questo esperimento, prendete un foglio di carta bianco, da stampante, metteteci la mano sopra, poi prendete una candela, ed un fermafogli (puntina, o fermafogli metallico) accendete la candela e mettete il fermafogli metallico sulla fiamma (attenzione a non scottarvi), noterete che fa del fumo nero, ora indirizzate quel fumo nero sul foglio di carta(dove avete appoggiato la mano), e come per magia potrete vedere le impronte digitali che compaiono sul foglio, poichè il fumo nero prodotto dal fermaglio reagisce con gli acidi del tessuto epiteliale lasciati sul foglio...
Provare per credere, funziona davvero!
Da li a clonarle però ce ne passa, ma non è poi molto complesso...

Cmq son cose abbastanza da paranoico...
Un buon sensore biometrico è abbastanza sicuro se non bypassabile a livello HW...

Il sensore biometrico infatti da solo un "consenso" (alza o abbassa un pin ad un chip esterno)...se quel particolare pin del chip, viene manipolato, il sistema potrebbe risultare insicuro...

Ciao!

Il problema delle impronte digitali è che sono

1) facilmente riproducibili
2) se ti tagli un dito anche solo superficialmente (non dico, te lo stacchi)
3) che non puoi cambiarle!
Un po’ il problema di qualsiasi riconoscimento biometrico usato come password.

news: giovane disegnatore entra nei pc della nasa

Ma scusate, forse sono io che non ci arrivo... si parla sempre di riconoscimento biometrico, ma IMHO le impronte digitali sono il sistema MENO SICURO per proteggere i dati! Qualora una persona sia seriamente intenzionata a trafugare i nostri importanti dati, non dovrà far altro che riprodurre le nostre impronte, prendendo "originali" che sono OVUNQUE nei luoghi che noi frequentiamo... a meno di non girare sempre con i guanti.
Certo, per proteggere dati meno riservati il sistema può essere comodo... ma se i dati da proteggere non sono importanti, a chi gliene può fregare?

3) che non puoi cambiarle!
Un po’ il problema di qualsiasi riconoscimento biometrico usato come password.Il tuo corpo è unico, ma di dita ne hai 10 :D .....
Comunque mi ce li vedo già tutti a fare i novelli CSI con la polverina e il pennellino per entrare nei PC degli amici e fregargli i divx zozzi
ma daiiiii

non è così difficile cmq riprodurre un'impronta...
qualche settimana fa nel programma Myth Busters su discovery channel sono riusciti ad aprire una serratura a impronte digitali con una fotocopia ingrandita presa da un cd (non mi ricordo come l'hanno scansionata) ripassata col pennarello per unire le linee e poi scansionata e ristampata piccola... e la porta si è aperta... e la cosa + bella è che la casa produttrice sosteneva che nessuno era mai riuscito a gabbare quella serratura... :D
fantastico

non è così difficile cmq riprodurre un'impronta...
qualche settimana fa nel programma Myth Busters su discovery channel sono riusciti ad aprire una serratura a impronte digitali con una fotocopia ingrandita presa da un cd (non mi ricordo come l'hanno scansionata) ripassata col pennarello per unire le linee e poi scansionata e ristampata piccola... e la porta si è aperta... e la cosa + bella è che la casa produttrice sosteneva che nessuno era mai riuscito a gabbare quella serratura...
fantastico
Già il sistema più sicuro sarebbe la scansione della retina ma presenta due difetti:
1) E' ancor meno revocabile delle impronte digitali
2) E se qualcuno che volesse veramente entrare ti cavasse un occhio ? Chi correrebbe il rischio?

preferisco una password... sara' che sono sempre stato una capra nei disegni!

Già il sistema più sicuro sarebbe la scansione della retina ma presenta due difetti:
[...]
2) E se qualcuno che volesse veramente entrare ti cavasse un occhio ? Chi correrebbe il rischio?

E' la stessa cosa che ho pensato pure io :sofico:

A questo punto la cosa è semplice: password che ti ricordi per accedere ai tuoi dati, password alternativa da dare ad eventuale rapitore (con annessa esplosione del computer dopo l'OK).

:read:

2) E se qualcuno che volesse veramente entrare ti cavasse un occhio ? Chi correrebbe il rischio?

Secondo me nel 99% dei casi basterebbe puntare una pistola (altro che cavare, strappare o mordicchiare :D)... Voglio proprio vedere chi l'occhio non lo apre poi! :asd:

Ma viva la password va! :asd:

E' una mia vecchia idea, che avrebbe dovuto farmi diventare miliardario. Dunque:

1) Quando devi criptare un documento (o entrare nel tuo conto bancario sul web), devi ovviamente creare una password. Per esempio: Pippo

2) Con le attuali tecnologie, quando un cracker cerca di "entrare" nel tuo conto corrente (o cerca di aprire un file con pw), cerca di indovinare la password. Se la indovina (Pippo), entra, altrimenti (NonPippo) viene negato l'accesso.

3) INVECE (in base alle mie idee) quando si verifica un tentativo con una PW errata (NonPippo), la banca fa "entrare" il cracker, ma lo indirizza verso un conto corrente fasullo, magari creato al momento, contenente però dati credibili. Naturalmente, se l'utente è quello vero (che ha sbagliato a digitare la PW Pippo) si accorge dell'errore e passa al punto 5.

4) Alla fine delle (lunghe) operazioni - per esempio un bonifico alle isole Cayman - compare il messaggio "Errore! la PW non è quella giusta!"

5) A questo punto bisogna ripetere l'operazione, che per l'utente autorizzato si risolve presto, per il cracker no.

Per criptare un file basta usare il metodo XOR: in pratica, il file viene decompresso comunque, anche digitando la PW errata; solo che con una PW errata viene fuori un'accozzaglia indistinta di caratteri.

@ SupperSandro

Ti consiglio una letturina al thread sull'uso di schede video per crackare pwd mediante brute force: abbiamo discusso abbondantemente su come metodi di questo tipo siano da considerare si utili, ma come "contorno", in quanto servono solo a rallentare un attacker "esterno", che può solo condurre attacchi online, ma tu, se vuoi stabilire un protocollo di sicurezza VERA, devi presupporre che il danno provenga anche dall'interno (es: un amministratore corrotto in un sistema multiamministrato, che possieda solo alcuni privilegi di root, che possa al massimo fregare il file con le informazioni sulle pwd e andare di bruteforce), e che quindi l'attacker abbia accesso a informazioni riservate (conosca tutti i trucchetti usati) e possa operare offline (e queste informazioni devono essere note a tutti gli amministratori, perchè se fosse solo uno a decidere e operare su questo fronte, allora potrebbe fare tutti gli impicci che vuole senza rischiare di essere "sgamato" ). A questo punto, l'ultima vera barricata, quella che deve essere insormontabile, rimane la complessità dell'algoritmo di criptatura; tutto il resto è solo un "contorno necessario".

Per quanto riguarda i lettori di impronte: un po' di tempo fa si era parlato di un brevetto su un metodo di lettura non ottico, ma basato su microcorrenti (penso si trattasse di una lettura impedenziometrica o simile): se funziona, sarà più difficile da aggirare con impronte "fasulle". Quanto al rischio di vedersi tagliato un dito, esistono sistemi migliori, come le minacce dirette, o meglio ancora indirette: rapiscono un tuo familiare e ti costringono a fare quello che vogliono, così aggirano anche un'eventuale sorveglianza; al limite, per l'accesso a qualcosa di estremamente delicato, si può prevedere la presenza congiunta di più persone. Naturalmente, non si avrà mai un sistema sicuro al 100%, ma all'aumentare delle difficoltà nell'aggirare le protezioni, diminuirà il numero di persone con le competenze/i mezzi necessari - naturalmente, il tutto da riportare alle necessità reali di riservatezza.

Ero negato a disegnare a scuola, non riuscirei manco ad entrare nel mio stesso sistema!!! E poi chi cazzo se lo ricordaun disegno, molto più facile ricordarsi una stringa alfanumerica IMHO.

Be', al limite fai una crocetta :sofico:

Be', al limite fai una crocetta :sofico:

:sofico:

A quando il sistema che riconosce il tuo rutto per accedere? :sofico:

Io voto per il naso elettronico che riconosce "le parfum" del padrone... anche se in effetti c'e' il rischio che sudore e gas intestinali vengano (pesantemente) influenzati dalla dieta.

Ragazzi, voi ci scherzate, ma cose del genere si possono fare davvero! L'unico inconveniente, è che per ottenere dati attendibili, in entrambi i casi bisogna posizionare dei sensori in loco e farli passare dalla stessa zona... come dire, sarebbe una lavanda gastrica al contrario... e siccome sono costosi, i sensori bisognerebbe pure riutilizzarli... :asd: :Prrr:

Scherzi a parte, la soluzione ideale sarebbe una interfaccia neurale telepatica, in grado di riconoscere la persona e allo stesso tempo fare una lettura affidabile del suo stato emotivo e fungere da macchina della verità: se riconosce un forte stress, ti fa delle domande mirate a verificare se stai per compiere un accesso per motivi "impropri" (vuoi commettere una frode, sei minacciato, ecc.) e se menti ti vieta l'accesso. Magari tra 150 anni saremo in grado di farlo... e 30 anni dopo le macchine ci trasformeranno in queste:


http://upload.wikimedia.org/wikipedia/commons/3/3b/Batteries.jpg

@NoX83: o anche yakuza style: ti bruciano i polpastrelli.

@ SupperSandro ...Ti consiglio una letturina al thread sull'uso di schede video per crackare pwd mediante brute force ...
...uhm... schede video per craccare? Confesso che questa non l'ho capita :confused: (qualche link, please?)
servono solo a rallentare un attacker "esterno", che può solo condurre attacchi online ...

Ma infatti, stavamo parlando di attacco esterno. Ovvio che un amministratore, che ha libero accesso - e "deve" avere libero accesso - al sistema, può fare ciò che vuole. A meno che non si istituisca un protocollo simile a quello per il lancio di ordigni nucleari: l'accesso è consentito solo se due (o più ) addetti accedano contemporaneamente al sistema.

PS: SuperSandro, con una sola "p". Sono Super, ma non esageriamo :fagiano:

Schede video per crackare = utilizzano anke la gpu della scheda video per ridurre notevolmente il tempo necessario per un bruteforce, anke grazie ai calcoli in virgola mobile di cui sono capaci le gpu d oggi. + o - e' cosi'. Cmq quoto, il disegno come pass e' un immensa cavolata per tutti i motivi ke avete gia' detto. Meglio la normale pass da millemila caratteri, tanto se devono entrare alla fine entrano lo stesso, qualsiasi sistema uno mette. E' solo questione di tempo. Devono trovare il modo per allungare il tempo necessario a crackare una password, non ad inventare fantasiosi sistemi di sicurezza. A sto punto kiedo anke il sensore a naso e via di "eau de ascell" :D

Ma gia' mi immagino il database di disegni comuni: casetta, omino, simbolo anarchico... :D

A mio modestissimo parere, craccare una figura per resettare la password sara' piu' semplice che craccare una domanda di sicurezza. Semplicemente perche' la gente tende a fare disegni molto schematici.

Dovrebbero invece inventarsi delle domande segrete che spingano la gente ad inventarsi risposte piu' fantasiose! Il cognome da nubile di mia madre, sinceramente, uno bravo che volesse entrare nel mio account lo trova ;)

news: giovane disegnatore entra nei pc della nasa

:D

Ma gia' mi immagino il database di disegni comuni: casetta, omino, simbolo anarchico... :D

A mio modestissimo parere, craccare una figura per resettare la password sara' piu' semplice che craccare una domanda di sicurezza. Semplicemente perche' la gente tende a fare disegni molto schematici.

Dovrebbero invece inventarsi delle domande segrete che spingano la gente ad inventarsi risposte piu' fantasiose! Il cognome da nubile di mia madre, sinceramente, uno bravo che volesse entrare nel mio account lo trova ;)



:DE se tu alla domanda "il cognome da nubile di tua madre" rispondi con la via in cui è nata, magari usando il leet speech?
Panico nel cracker, intento a provare tutti i cognomi della tua famiglia :asd:
Io faccio così, il problema è che mi tocca poi tenere un file (offline) con tutte le varie password...

:D

Infatti alla fine io alle domande segrete metto caratteri a casaccio e utilizzo KeePass (notasi: _non_ KeepAss :D), il quale database backuppo di tanto in tanto su penna usb...

Certo il giorno che mi rompera' l'hard disk e la penna nello stesso momento smadonnero' (perche' capitera' sicuramente, dato che ho cosi' tanta fortuna che ho Murphy appollaiato su una spalla.... :D)

e chi mi dice che riesco a fare lo stesso identico disegno tutte le volte?? a meno che non si faccia i soliti la croce , magari col cerchio interno , o stronzate così che te la sbloccano in 1 nanosecondo...bah la vedo lunga , elaborata e di nonf acile applicazione come idea...

che problema ha il riconoscimento delle impronte?!? mi sembra tanto bello....

si è bello.... ma se ti fai un taglietto sul dito???

e poi è difficile disegnare cn il mouse... servirebbe delle lavagnette magnetiche apposite.... altro dispendio d denaro... meglio le vecchie password

@ Sup(p)erSandro (:p)

L'articolo, con relativa discussione, lo trovi qui (http://www.hwupgrade.it/news/sicurezza/schede-video-per-svelare-le-password_23038.html): è un bel malloppone :p

Dubito che una banca seria si affidi ad un unico amministratore con poteri assoluti. Poi, a certi livelli bisogna essere paranoici, e pensare che l'attacker esterno possa entrare in possesso di informazioni confidenziali, utili a craccare le password degli utenti: ad esempio, potrebbe sfruttare un exploit di sicurezza che gli da poteri parziali, e riesce a impadronirsi di queste informazioni + il pwd file, ma non ad aggirare le protezioni (come potrebbe fare un amministratore con pieni poteri di root), oppure che, grazie ad una talpa all'interno, riesca ad entrare in possesso di una copia di backup di quelle informazioni. Insomma, è bene pensare che anche le migliori barriere esterne possano essere superate, e prevedere un'ultima difesa estrema (che sia un'algoritmo di cifratura blindatissimo, oppure una testata nucleare con potenza sufficiente a spazzare via l'intera umanità, compreso il ladro :asd: ), altrimenti sarebbe come giocare a calcio con i migliori difensori del mondo, ma senza portiere. Naturalmente, a una minore "sensibilità" dei dati da proteggere potrebbe corrispondere anche un sistema meno complesso e blindato, e quindi anche minori risorse (per proteggere i pornazzi sull'hd non ti procuri certo una testata balistica :asd: ).

@ Lucas Malor

Non è detto che un disegno schematico sia semplice da craccare: la questione sta tutta nella precisione con cui dev'essere riprodotto. Aumentando la definizione dell'immagine, si potrebbe far corrispondere il disegnino a una password con alcune decine, se non centinaia di caratteri, percui a una piccola variazione nelle linee/forme/dimensioni potrebbe produrre una pwd completamente diversa per lo stesso simbolo; solo che, in questo modo, si renderebbe molto più difficile per un non-disegnatore professionista usare il sistema. Tutto sta quindi nel trovare un buon compromesso, ma la vedo dura: la news parla di 3 tentativi per accedere, in media, dopo un periodo di "addestramento"... potrebbe funzionare se si riuscisse ad implementare dei meccanismi accurati per il riconoscimente calligrafico, tenendo conto di tratti distintivi parametrizzati e della possibilità che una firma vari da un'esecuzione all'altra... però far fare una perizia calligrafica a un computer potrebbe essere una cosa difficile da implementare, lenta e/o decisamente costosa... Fidati, il sistema migliore è quello a onde cerebrali che ho progettato io, solo che rischieremmo di dare troppo controllo a macchine sempre più intelligenti...

Fidati, il sistema migliore è quello a onde cerebrali che ho progettato io

0__0 deve essere roba buona quella che fumi.... ^______^

Comunque visto che stiamo in argomento, personalmente avevo un'idea in proposito: un chip personale (magari messo su chiavetta usb, come alcuni fanno gia') rilasciato insieme alla carta d'identita'. Una carta d'identita' digitale insomma, ma fisica. Non sarebbe ovviamente comodo e rispettoso per la privacy usarlo per registrarsi ad un sitarello, ma sarebbe molto utile come verifica aggiuntiva per conti online, account di aste eccetera.

(se qualcuno mi dice che e' gia' stato fatto lo "banno" con Greasemonkey :D)

Comunque visto che stiamo in argomento, personalmente avevo un'idea in proposito: un chip personale (magari messo su chiavetta usb, come alcuni fanno gia') rilasciato insieme alla carta d'identita'. Una carta d'identita' digitale insomma, ma fisica. Non sarebbe ovviamente comodo e rispettoso per la privacy usarlo per registrarsi ad un sitarello, ma sarebbe molto utile come verifica aggiuntiva per conti online, account di aste eccetera.

(se qualcuno mi dice che e' gia' stato fatto lo "banno" con Greasemonkey :D)

Io credo che l'ideale sarebbe un mix di tecnologie già ampiamente disponibili ed utilizzate: il chip da te proposto, in fondo, potrebbe essere un normale chip Fritz però montato su un dispositivo portatile, che potrebbe benissimo essere una chiavetta usb dotata di lettore di impronte, come ne ho già viste in giro (rispetto a queste però dovrebbero essere in grado di eseguire un "bios" minimale residente sulla chiavetta stessa che dovrebbe quindi essere alimentata come un comune lettore mp3), e con un piccolo display.
Il sistema, abbinato a quello della password, si presterebbe agli usi più svariati, ad esempio con chiavetta/impronta/password posso fare disposizioni in banca (magari impronte/password diverse abilitano profili diversi, così posso passare la chiavetta a mia moglie limitandogli le spese ad un importo prefissato!), con chiavetta/impronta posso solo visualizzare saldo e movimenti, con la sola chiavetta posso accedere al pc come utente guest, con anche l'impronta accedo come root etc. etc. il tutto ampiamente configurabile dall'utente secondo le sue esigenze.

Si, si, è roba buona, autoprodotta! :sofico:

Per il resto... volendo si può fare, però non credo che cambierebbe granchè... in fondo, le informazioni contenute nella chiavetta devono essere interpretabili correttamente dalla banca, quindi dovrà esserci un file, da qualche parte, che contiene, in forma criptata, le informazioni necessarie all'autenticazione del cliente. Sostanzialmente, è come avere una doppia password, ovvero una password con il doppio dei caratteri: se l'hacker può bucare in qualche modo il server della banca, può avere accesso ai dati che gli servono, e torniamo al punto di partenza, cioè alla necessità di un algoritmo di cifratura forte. Oltretutto, le informazioni contenute in un documento di identità "pubblico" saranno esse stesse pubbliche, almeno in parte, quindi potrebbero essere clonate... a meno che... a meno che non si preveda un meccanismo a chiave pubblica/privata, con il token privato in possesso di un organo governativo e rilasciato solo ad enti autorizzati (eventualmente anche commerciali, come banche, appunto); però, considerate anche che un sito di fishing potrebbe sempre trarvi in inganno, prendersi le informazioni cifrate con il token pubblico e rigirarle alla banca, la quale le interpreta correttamente e concede l'accesso (occhio che sono riusciti, con siti ad hoc, a fregare anche il meccanismo delle chiavette aggiuntive con codice che cambia ogni tot minuti: se cadi in trappola, digiti quel codice e loro riescono ad accedere al tuo conto in tempo reale, prima che il codice scada...).

Alla fine della fiera, l'utilità maggiore di un sistema di questo tipo (chiavetta con chip di autenticazione) è quello di poter memorizzare delle password forti, di alcune decine di caratteri e non da dizionario, in modo da dilatare i tempi per un brute force, ma bisogna anche stare attenti a custodire bene la chiave. Per i documenti elettronici, il discorso è un po' diverso: l'utilità sarebbe nell'avere a disposizione in un unico chip (che dev'essere aggiornabile: niente chip Fritz) tutta una serie di informazioni, dalla propria identità ai dati sanitari (malattie, forme allergiche, medicinali in uso, ma anche fascia di ticket, ecc.), con livelli diversi di accesso per enti diversi (per garantire la privacy), più eventualmente delle chiavi per accedere a delle informazioni burocratiche disparate (visure catastali, situazione fiscale, ecc.), il tutto unitamente ad un sistema informatico centralizzato che consenta una correlazione più rapida ed efficiente delle diverse informazioni (es: cambi residenza e non devi più comunicarlo al p.r.a. nè a nessun altro, perchè l'aggiornamento dei database è automatico), riducendo le spese sia per il cittadino (che ad esempio pagherebbe meno o non pagherebbe affatto una visura), sia per lo Stato (riduzione delle spese di gestione, e quindi ancora risparmio per i cittadini). Ai fini della sicurezza, premesso che comunque non si può avere una blindatura assolutamente inaggirabile, eviterei tassativamente i chip RFID, visto che è già stata dimostrata la loro clonabilità; eviterei anche il chip fritz, perchè non si può aggiornare in maniera "utile" e perchè se si guasta lo puoi buttare (per questo non lo userei mai per cifrare informazioni non temporanee); tutt'al pià, si potrebbe usare un tpm per cifrare in maniera veloce e "sicura" (con chiavi pubbliche forti) lo scambio di dati, ad esempio su connessione https (adoperando anche altri meccanismi per evitare il "man in the middle" e facendo molta attenzione a non cadere nella trappola del fishing, altrimenti non servirebbe a nulla).

Tutto, chiaramente, IMHO ;)