Link alla notizia: https://pro.hwupgrade.it/news/scienza-tecnologia/mastercard-basta-numeri-di-carta-di-credito-e-password_78438.html

Questo è il futuro immaginato da Mastercard e che emerge dai lavori del Mastercard Innovation Forum 2018, che si è tenuto all'Università Bocconi di Milano: un mondo senza numeri di carta da ricordare e scrivere nei siti per i pagamenti e soprattutto senza complicate password da ricordare e magari modificare regolarmente

Click sul link per visualizzare la notizia.

Io in tutto questo non ho mai capito una cosa: se ti rubano una password la cambi, ma se ti rubano i dati biometrici cosa fai? :confused: Mica li puoi cambiare.

osservazione ficcante infatti i dati biometrici sono assimilabili più al concetto di username che a quello di password checché vogliano farci credere il contrario

Concordo in pieno con i commenti precedenti che in due frasi stroncano i presupposti del Mastercard Innovation Forum 2018.

Io in tutto questo non ho mai capito una cosa: se ti rubano una password la cambi, ma se ti rubano i dati biometrici cosa fai? :confused: Mica li puoi cambiare.

In che senso "ti rubano i dati biometrici"?

Anche io concordo con le perplessità. Me lo sarei aspettato da qualcosa tipo facebook, non da mastercard.
Poi non capisco, e se voglio prestare la carta?

In che senso "ti rubano i dati biometrici"?

te tagliano i diti :stordita:

In che senso "ti rubano i dati biometrici"?

Ti rubano la mano

Immagino, credo, suppongo che il punto fosse evitare di immettere e memorizzare un numero di carta di credito su un numero n di siti, determinando quindi un aumento "n" volte di rischio di furto identità, sottrazione indebita di fondi etc...

Vero che sia l'istituto di credito, sia l'intermediario che emette la carta, teoricamente, dovrebbero essere assicurati, ma è vero che bisogna denunciare il furto, dimostrare la veridicità della tua dichiarazione, quindi dimostrare che non eri in Slovenia (ex che porto poiché così mi raccontava una dipendente della filiale dove un amico ha il conto), luogo dove risulta esserci un uso improprio della carta. Se vi riesci e penso che per la maggior parte di noi, non dovrebbe essere complicato, la carta è automaticamente bloccata, ne viene emessa una seconda, e si avvia la procedura di rimborso.

Con i dati biometrici, suppongo, che si voglia usare la carta una tantum, evitando di memorizzare dati sensibili su database, comunque e volendo sempre raggiungibili, specialmente da chi è in grado di farlo. Non lo farei, non l'ho mai fatto e non ne ho le competenze, ma visto che accade...significa che qualcuno è in grado.

Amazon ad esempio costringe l'utente a lasciare il numero di carta memorizzata, cosa a mio parere molto pericolosa, al massimo, si può tentare di memorizzare una prepagata, così Ebay etc...personalmente non mi fido, le volte che la uso, cerco di cancellarne subito il passaggio, consapevole che è quasi impossibile...ma sperando di non essere la preda del truffatore di turno.

Con la possibilità di inserire solo i dati biometrici, forse...questi rischi diminuirebbero, poichè nessuno sito, non costringerebbe l'utente ad immettere un numero su cui con vari sw. di permutazione e combinazione, potrebbe anche essere semplice trovare il giusto modo per accedere e quindi sottrarre fondi indebitamente.

Penso alla cosa in modo positivo, più diventa esperenziale l'acquisto è minore è il rischio di truffe a proprio carico. Quindi ben venga.

Capisco la comoditá di non dover ogni volta inserire il codice, ma dal punto di vista della sicurezza nei pagamenti online sono io l'unico che usa codici virtuali generati dalla banca? 3 o 4 volte al mese (tipicamente prima di natale, prima delle ferie estive e prima dell'inizio dell'autunno) io mi creo un numero di carta virtuale, con un massimale di poche centinaia di euro e con una validitá di pochi mesi.
Anche se quei codici mi vengono rubati da qualche sito, non ci si puó fare granché...

ERRATA: 3 o 4 volte all'anno, non al mese. ADDENDUM: e posso invalidare il codice quando voglio se ho dei sospetti.

Per rubare le impronte digitali tanto per fare un esempio basta prendere una qualunque cosa che hai toccato.

ERRATA: 3 o 4 volte all'anno, non al mese. ADDENDUM: e posso invalidare il codice quando voglio se ho dei sospetti.
sono pochissime le banche che lo permettono
Per rubare le impronte digitali tanto per fare un esempio basta prendere una qualunque cosa che hai toccato.
quoto, i dati biometrici sono ottimi per un "autorizzazione rapida", vedi impronta per pagare con Apple Pay per un esempio, ma non possono essere l'unica perché, se per qualche motivo ti viene "rubato" il token relativo a un dato biometrico, non si hanno dita illimitate per ricrearlo

te tagliano i diti :stordita:

Ti rubano la mano

Credo che abbiate capito dove volevo andare a parare, ma per coloro a cui non sia chiaro, credo che la solita vignetta di XKCD esprima bene la situazione:

https://imgs.xkcd.com/comics/security.png

Per rubare le impronte digitali tanto per fare un esempio basta prendere una qualunque cosa che hai toccato.

Non è proprio (https://blog.lookout.com/why-i-hacked-apples-touchid-and-still-think-it-is-awesome) così facile. Il discorso generale è che se il "ladro" è disposto a/capace di fare tutto questo fa prima a cercare di hackerarti o farti "sputare (https://techcrunch.com/2013/09/22/hackers-bypass-apples-touch-id-with-lifted-fingerprint/)" la password.

aldilà della facilità o meno di ottenere dati biometrici (ed al di là di essere d'accordo meno nel depositarli nelle banche dati degli attori in gioco) rimane di fatto che i dati biometrici non soddisfano il requisito principale di una password cioè la possibilità di essere modificata a piacere e almeno al giorno d'oggi non tutti sistemi di riconoscimento disponibili al grande pubblico soddisfano pienamente la corrispondenza biunivoca (certo anche il discorso hash un po' è entrato in discussione in questo senso se non ricordo male), poi per carità si può ragionare sull'eventualità di sorpassare/sostituire lo storico paradigma della protezione di un account con password (affiancata nel tempo da 2FA e via dicendo ovvio)

Io in tutto questo non ho mai capito una cosa: se ti rubano una password la cambi, ma se ti rubano i dati biometrici cosa fai? :confused: Mica li puoi cambiare.

osservazione ficcante infatti i dati biometrici sono assimilabili più al concetto di username che a quello di password checché vogliano farci credere il contrario

Possiamo anche chiudere internet, avete già detto tutto in 30 secondi :)

Io in tutto questo non ho mai capito una cosa: se ti rubano una password la cambi, ma se ti rubano i dati biometrici cosa fai? :confused: Mica li puoi cambiare.

osservazione ficcante infatti i dati biometrici sono assimilabili più al concetto di username che a quello di password checché vogliano farci credere il contrario

Concordo in pieno con i commenti precedenti che in due frasi stroncano i presupposti del Mastercard Innovation Forum 2018.

I dati elettronici conservati non sono in grado di essere usati al posto delle tue dita/iride/etc.

Si rubano le password da siti, ma non da un SO Linux o Windows in quanto le password non ci sono. Ci sono rappresentazioni che devono coincidere e solo in pochissimi casi con grandissima potenza di calcolo (e sfruttando qualche bug) permettono di riottenere la password originale.

Quindi il dato biometrico è sia user che password al tempo stesso.
Certo, non è sicuro al 100% (ed infatti in sistemi mission-critical sono usati due o tre sistemi in contemporanea), ma siamo spanne sopra il pin della Visa o della password di un sito.

Altra cosa è sostituire i tuoi dati biometrici. Ma ad evitare questo questo ci deve pensare chi gestisce il sistema...
Se io ho il DB delle password degli utenti e non lo proteggo non c'è sicurezza che tenga.

Capisco la comoditá di non dover ogni volta inserire il codice, ma dal punto di vista della sicurezza nei pagamenti online sono io l'unico che usa codici virtuali generati dalla banca? 3 o 4 volte al mese (tipicamente prima di natale, prima delle ferie estive e prima dell'inizio dell'autunno) io mi creo un numero di carta virtuale, con un massimale di poche centinaia di euro e con una validitá di pochi mesi.
Anche se quei codici mi vengono rubati da qualche sito, non ci si puó fare granché...

Non tutte le banche lo permettono.
In questo il gruppo Intesa-San Paolo è stato uno dei primi ed ha uno dei più efficienti sistemi con diverse chicche...

Per rubare le impronte digitali tanto per fare un esempio basta prendere una qualunque cosa che hai toccato.

Forse per la carta di credito in foto potrebbe funzionare, per un sistema serio non servirebbe a nulla.

Infatti basterebbe mettere ogni volta un numero diverso, generato, tipo quello delle banche .

sono pochissime le banche che lo permettono

quoto, i dati biometrici sono ottimi per un "autorizzazione rapida", vedi impronta per pagare con Apple Pay per un esempio, ma non possono essere l'unica perché, se per qualche motivo ti viene "rubato" il token relativo a un dato biometrico, non si hanno dita illimitate per ricrearlo

Il token non contiene il dato biometrico. Proprio per questo se rubato non serve a nulla...

Credo che abbiate capito dove volevo andare a parare, ma a chi non sia chiaro, credo che la solita vignetta di XKCD esprima bene la situazione....

Ecco questa è la realtà e il vero punto debole del sistema: Tu stesso.
Un buon martello e un dente alla volta il sistema di sicurezza lo passiamo...

Il token non contiene il dato biometrico. Proprio per questo se rubato non serve a nulla...

Però chi garantisce che l'impronta memorizzata nel dispositivo o quella "live" (cioè il flusso dati generato durante la scansione del dito) non va da nessuna parte? Perché lo dice il produttore dello smartphone/pc/carta_di_credito/lettore_stand_alone? Personalmente non mi fido di nessuno di loro, da Apple, Google, Samsung, Lenovo, Asus, Mastercard ecc. Inoltre, anche ammettendo che i produttori di hw/sw siano tutti bravi e onesti, non è da escludere l'azione di malware che rubano impronte alla stregua dei keylogger che rubano id e password, ma almeno questi si possono cambiare con facilità
Tutto ciò IMHO

Bruno Degiovanni, incalzato dai giornalisti presenti, ha poi parlato dei piani futuri su temi come la blockchain. Il tema è sotto la lente di ingrandimento e c'è già in Mastercard un gruppo di lavoro dedicato esclusivamente a esso. Due sono gli ambiti di utilizzo: un è quello delle cripto-valute e l'altro quelli degli smart contract. Il primo è ben lontano da essere realmente utilizzabile. La causa sono i tempi di verifica, al momento Mastercard gestisce migliaia operazioni al secondo, ma soprattutto i costi energetici: la pura elettricità utilizzata per la validazione delle transazioni al momento rende la tecnologia troppo costosa su larghissima scala. Molto più interessante invece il tema degli smart contract, dove vedremo novità in un futuro più prossimo.

Tempi di verifica...:asd:

https://www.youtube.com/watch?v=2Fb6Xww2P7c
https://www.youtube.com/watch?v=ZlyPNABZtHk&t

Sarebbe bellissimo se Mastercard riuscisse a creare un sistema di pagamento senza carte di credito e password. Ma è un'innovazione troppo grande e troppo futuristica secondo me non ci arriveremo mai. :asd:

Ecco questa è la realtà e il vero punto debole del sistema: Tu stesso.
Un buon martello e un dente alla volta il sistema di sicurezza lo passiamo...

Se un ladro o presunto tale, decidesse realmente di "sequestrarti" per ottenere dati viceversa difficilmente ottenibili, quindi decidesse di usare la forza per indurti a "sputare" le pw...oltre a scivolare da un reato di semplice furto, con tutte le sue aggravanti (solitamente parliamo dai 6 mesi ai 3 anni) arriveremmo a toccare reati che toccano pene intorno ai 30 anni, sino all'ergastolo….per il ns. ordinamento.

Non saprei quanto conveniente...anche perché immagino che una banca per conti di primo piano, oltre ad emettere una carta elettronica, abbia piani di sicurezza estremamente sofisticati (lasciando perdere il discorso cifratura etc), quindi rischiare l'ergastolo per un furto di carta elettronica, il rischio, secondo me, risulta essere inversamente proporzionale.

Poi, non saprei...ognuno valuta in sè...

Inoltre, anche ammettendo che i produttori di hw/sw siano tutti bravi e onesti, non è da escludere l'azione di malware che rubano impronte alla stregua dei keylogger che rubano id e password, ma almeno questi si possono cambiare con facilità
Tutto ciò IMHO

Diciamo, secondo me, che la variabile più impazzita, nel tuo discorso è proprio quella del malware, già ora, ricordo di avere letto esserci nel kernel del so, impostato di default un modo per client esterni di ricavare i tuoi dati biometrici ove richiesto ed ottenibile...vendendola come sistema anti terrorismo.

Vero, ID e PW si possono cambiare facilmente, però...se qualcuno è in grado di leggerti il pensiero? Ahahahah

Tempi di verifica...:asd:

https://www.youtube.com/watch?v=2Fb6Xww2P7c
https://www.youtube.com/watch?v=ZlyPNABZtHk&t

Sarebbe bellissimo se Mastercard riuscisse a creare un sistema di pagamento senza carte di credito e password. Ma è un'innovazione troppo grande e troppo futuristica secondo me non ci arriveremo mai. :asd:

Non credo, secondo me, sono già in sperimentazione su ampia scala.
La biometria è un sistema di sicurezza già ampiamente testato e diffuso su ampia scala nella ns. quotidianità. Penso che Mastercard introduca molto presto questo tipo di innovazioni sui propri servizi. Molto prima di ciò che pensiamo, anzi me lo auguro.

Le due telecamere che già moltissime macchine adottano per leggere il volto, l'iride etc..condite da un sw di riconoscimento adottato in moderni sistemi di sicurezza anti terrorismo, sono oramai standardizzate e diffusi

Diciamo, secondo me, che la variabile più impazzita, nel tuo discorso è proprio quella del malware, già ora, ricordo di avere letto esserci nel kernel del so, impostato di default un modo per client esterni di ricavare i tuoi dati biometrici ove richiesto ed ottenibile...vendendola come sistema anti terrorismo.

Vero, ID e PW si possono cambiare facilmente, però...se qualcuno è in grado di leggerti il pensiero? Ahahahah
Peggio per lui, rimarrebbe traumatizzato :asd:

....alla faccia della VERA sicurezza!
...Ma come !?!?! Ce la stanno facendo a peperini con la trasformazione digitale ed il paradigma dello svincolare lo strumento dalla funzione allo scopo di rendere tutto i bit.... e poi realizzi che le tue impronte biometiche fanno la fine di tutti gli altri dati....copiabili, barattabili e oggetto di profilazione incrociata.... con l'aggravante che che identifica in maniera "univoca" e "sicura :ciapet: l'individuo che , secondo loro , non potrà "sfuggire" alle sue responsabilità.... che porcheria senza eguali!!!!

contenti quelli che usano impronte e faccia per sbloccare lo SMARTphone :sofico:

Però chi garantisce che l'impronta memorizzata nel dispositivo o quella "live" (cioè il flusso dati generato durante la scansione del dito) non va da nessuna parte? Perché lo dice il produttore dello smartphone/pc/carta_di_credito/lettore_stand_alone? Personalmente non mi fido di nessuno di loro, da Apple, Google, Samsung, Lenovo, Asus, Mastercard ecc. Inoltre, anche ammettendo che i produttori di hw/sw siano tutti bravi e onesti, non è da escludere l'azione di malware che rubano impronte alla stregua dei keylogger che rubano id e password, ma almeno questi si possono cambiare con facilità
Tutto ciò IMHO

Chi ti dice che la tua password fi HWUpgrade non vada da nessuna parte?
Chi ti dice che la tua sim non abbia una gemella?
Chi ti dice che la tua banca quando fai un versamento non dirotti parte dei soldi?

Quindi attualmente non usi Bancomat, Carte di Credito, Ricaricabili, etc. ma solo contanti tenuti sotto il materasso?

Chi ti dice che la tua password fi HWUpgrade non vada da nessuna parte?
Nessuno, ma la cosa non mi preoccupa più di tanto: non è certamente la stessa che uso in altri ambiti oltre al fatto che non ci vuole niente a modificarla


Chi ti dice che la tua sim non abbia una gemella?
Anche in questo caso nessuno. Però, ammesso che il gestore non abbia blocchi sulla rete quando vede 2 sim uguali connesse magari a centinaia di chilometri di distanza, non ho mai ricevuto chiamate destinate ad altri, e nell'elenco delle chiamate effettuate (disponibile nell'app della compagnia) non ho mai visto telefonate che non ho fatto; anche il consumo dei dati corrisponde, kB avanti-indietro, al contatore del telefono; pertanto, ragionevolmente, direi che no, la mia sim non ha una gemella. O anche l'avesse non è stata utilizzata



Chi ti dice che la tua banca quando fai un versamento non dirotti parte dei soldi?
L'estratto conto?



Quindi attualmente non usi Bancomat, Carte di Credito, Ricaricabili, etc. ma solo contanti tenuti sotto il materasso?
Al contrario, uso tutte le tre carte che hai menzionato


---
Ma tutto ciò non ha nulla a che fare con quanto ho scritto in precedenza
Partendo dal fatto che non ho contestato le tue affermazioni, ho espresso la mia ritrosia sull'utilizzo del riconoscimento biometrico per la mancanza della certezza di come sono trattati tali dati da parte del produttore dell'hw/sw, e per il rischio che possono essere carpiti in svariati modi: backdoor hw/sw, malware, ecc.
Non ho scritto che il rischio non esiste per le password, ma che queste ultime possono essere cambiate con facilità un numero infinito di volte (usando i dati biometrici le possibilità sono limitate)

Forse non mi sono spiegato bene:il punto non è come fanno a rubare i dati biometrici, la mia domanda è: cosa fai se te li rubano? Non sono cose che puoi cambiare come una password.

Forse per la carta di credito in foto potrebbe funzionare, per un sistema serio non servirebbe a nulla.

Ok, ma se ti rubano le impronte digitali tu si sentiresti al sicuro in futuro ad usare un sistema che usa le impronte?

Ok, ma se ti rubano le impronte digitali tu si sentiresti al sicuro in futuro ad usare un sistema che usa le impronte?

Se mi rubano tutte le impronte forse...ma se ne ho usata solo una e mi viene contraffatta me ne rimangono ancora 9 per cambiare i dati di riconoscimento...

Ma tutto ciò non ha nulla a che fare con quanto ho scritto in precedenza


Invece si. Ad esempio il tuo estratto conto lo emette la stessa azienda che ti garantisce la sicurezza dei tuoi soldi.

Tutte le cose che ho indicato (e che forse non hai visto dal punto che ti stavo suggerendo) si basano sul fatto che la tua sicurezza è affidata ad altri.

Se ti fidi della Visa per la sicurezza del tuo PIN ti puoi fidare allo stesso modo della Visa per la sicurezza della tua impronta...Se non ti fidi di lasciargli l'impronta non dovresti nemmeno lasciargli il PIN...Già ma te lo danno loro... e solo in alcuni casi lo puoi cambiare.

Partendo dal fatto che non ho contestato le tue affermazioni, ho espresso la mia ritrosia sull'utilizzo del riconoscimento biometrico per la mancanza della certezza di come sono trattati tali dati da parte del produttore dell'hw/sw, e per il rischio che possono essere carpiti in svariati modi: backdoor hw/sw, malware, ecc.

Tutte le cose che ho citato io soffrono dello stesso problema da te indicato...però di quelle ti fidi...

Non ho scritto che il rischio non esiste per le password, ma che queste ultime possono essere cambiate con facilità un numero infinito di volte (usando i dati biometrici le possibilità sono limitate)

E questo è vero: Un solo viso, solo due occhi e massimo 10 dita...
Oddio, per gli occhi al limite si può fare come in Minority Report...

Se mi rubano tutte le impronte forse...ma se ne ho usata solo una e mi viene contraffatta me ne rimangono ancora 9 per cambiare i dati di riconoscimento...
Ah quindi il trucco diventa non farsi fregare più di 10 volte, sempre che la persona abbia tutte le dita, tutte le mani e tutte le braccia :D

Ah quindi il trucco diventa non farsi fregare più di 10 volte, sempre che la persona abbia tutte le dita, tutte le mani e tutte le braccia :D

:sbonk:

E comunque nessuno ancora mi ha dato una risposta al quesito fondamentale: allo stato attuale, se ti rubano un qualsiasi dato biometrico che razzo fai? Non importa come facciano a rubarlo, questo è un problema del ladro. Cosa prevedono le procedure di sicurezza?

Niente, ripetizione inutile.

Cosa prevedono le procedure di sicurezza?
Provando a tornare seri, la risposta mi sembra che non ci sia, dunque per come la vedo io non prevedono nulla; anche perché deve pensarci chi propone questo sistema.
Quindi o c'è un mega-buco nelle procedure, oppure si assume che questa eventualità (di furto dei dati biometrici) sia impossibile o comunque di importanza irrilevante.


Devo dire comunque che i requisiti di sicurezza che ultimamente si sono resi necessari col sistema a login e password, ha rasentato il ridicolo.
Se una vecchietta deve fare login per vedere un estratto conto, vedere cedolini pensione, o anche solo entrare su gmail, non so veramente come deve fare.
Devi stare lì a litigare con username, password, eventuali PIN, email, domande di sicurezza e SMS con codici di verifica. Uno che non è del campo si perde, francamente lo capisco.
Io faccio assistenza tecnica ad alcune persone nell'hinterland vicino a me, ed ormai più della metà delle chiamate sono per password persa, oppure ce l'hanno ma non sanno e non vogliono digitarla.
E spesso non sanno nemmeno di avere un account e quindi non sanno nemmeno la userid.
Quasi tutti fanno affidamento sul cookie di sessione per fare l'accesso generato la prima volta anni prima. Quindi se per sbaglio cancelli i cookie (tipo se disinstalli browser, fai una pulizia per virus, o formatti), sostanzialmente gli hai "cancellato" la casella di posta con tutte le email.

Il fatto è che io non do la colpa al sistema login-password con cui io, personalmente, mi trovo bene.

:sbonk:

E comunque nessuno ancora mi ha dato una risposta al quesito fondamentale: allo stato attuale, se ti rubano un qualsiasi dato biometrico che razzo fai? Non importa come facciano a rubarlo, questo è un problema del ladro. Cosa prevedono le procedure di sicurezza?

Il problema è pensare che rubandoti il biometrico è come se ti hanno rubato il dito.
Invece il pensiero esatto è "come se ti rubassero il Codice Fiscale".

Il biometrico è sempre cifrato e legato ad un altro elemento (ad esempio un certificato). Rubando la rappresentazione digitale cambi il relativo certificato e il ladro si ritrova una cosa inutile.
E dalla rappresentazione digitale non si ritorna comunque all'impronta originale.

Il problema è pensare che rubandoti il biometrico è come se ti hanno rubato il dito.
È esattamente così invece.
Io quando metto il dito in un lettore, non devo portare anche un certificato, basta il dito. Eh, altrimenti il vantaggio del biometrico non c'è più.
Se creo un dito artificiale con la stessa impronta del dito originale, per la macchina non fa assolutamente alcuna differenza. Che c'entrano i certificati?
Mi sfugge qualcosa?