Hardware Upgrade Forum - View Single Post

xeal · 06-11-2007, 18:49

@ Sup(p)erSandro (

)

L'articolo, con relativa discussione, lo trovi qui: è un bel malloppone

Dubito che una banca seria si affidi ad un unico amministratore con poteri assoluti. Poi, a certi livelli bisogna essere paranoici, e pensare che l'attacker esterno possa entrare in possesso di informazioni confidenziali, utili a craccare le password degli utenti: ad esempio, potrebbe sfruttare un exploit di sicurezza che gli da poteri parziali, e riesce a impadronirsi di queste informazioni + il pwd file, ma non ad aggirare le protezioni (come potrebbe fare un amministratore con pieni poteri di root), oppure che, grazie ad una talpa all'interno, riesca ad entrare in possesso di una copia di backup di quelle informazioni. Insomma, è bene pensare che anche le migliori barriere esterne possano essere superate, e prevedere un'ultima difesa estrema (che sia un'algoritmo di cifratura blindatissimo, oppure una testata nucleare con potenza sufficiente a spazzare via l'intera umanità, compreso il ladro

), altrimenti sarebbe come giocare a calcio con i migliori difensori del mondo, ma senza portiere. Naturalmente, a una minore "sensibilità" dei dati da proteggere potrebbe corrispondere anche un sistema meno complesso e blindato, e quindi anche minori risorse (per proteggere i pornazzi sull'hd non ti procuri certo una testata balistica

).

@ Lucas Malor

Non è detto che un disegno schematico sia semplice da craccare: la questione sta tutta nella precisione con cui dev'essere riprodotto. Aumentando la definizione dell'immagine, si potrebbe far corrispondere il disegnino a una password con alcune decine, se non centinaia di caratteri, percui a una piccola variazione nelle linee/forme/dimensioni potrebbe produrre una pwd completamente diversa per lo stesso simbolo; solo che, in questo modo, si renderebbe molto più difficile per un non-disegnatore professionista usare il sistema. Tutto sta quindi nel trovare un buon compromesso, ma la vedo dura: la news parla di 3 tentativi per accedere, in media, dopo un periodo di "addestramento"... potrebbe funzionare se si riuscisse ad implementare dei meccanismi accurati per il riconoscimente calligrafico, tenendo conto di tratti distintivi parametrizzati e della possibilità che una firma vari da un'esecuzione all'altra... però far fare una perizia calligrafica a un computer potrebbe essere una cosa difficile da implementare, lenta e/o decisamente costosa... Fidati, il sistema migliore è quello a onde cerebrali che ho progettato io, solo che rischieremmo di dare troppo controllo a macchine sempre più intelligenti...

06-11-2007, 18:49	#41
xeal Senior Member Iscritto dal: Jun 2003 Città: vivo in Sicilia (tra la prov. di AG e Palermo) Messaggi: 956	@ Sup(p)erSandro () L'articolo, con relativa discussione, lo trovi qui: è un bel malloppone Dubito che una banca seria si affidi ad un unico amministratore con poteri assoluti. Poi, a certi livelli bisogna essere paranoici, e pensare che l'attacker esterno possa entrare in possesso di informazioni confidenziali, utili a craccare le password degli utenti: ad esempio, potrebbe sfruttare un exploit di sicurezza che gli da poteri parziali, e riesce a impadronirsi di queste informazioni + il pwd file, ma non ad aggirare le protezioni (come potrebbe fare un amministratore con pieni poteri di root), oppure che, grazie ad una talpa all'interno, riesca ad entrare in possesso di una copia di backup di quelle informazioni. Insomma, è bene pensare che anche le migliori barriere esterne possano essere superate, e prevedere un'ultima difesa estrema (che sia un'algoritmo di cifratura blindatissimo, oppure una testata nucleare con potenza sufficiente a spazzare via l'intera umanità, compreso il ladro ), altrimenti sarebbe come giocare a calcio con i migliori difensori del mondo, ma senza portiere. Naturalmente, a una minore "sensibilità" dei dati da proteggere potrebbe corrispondere anche un sistema meno complesso e blindato, e quindi anche minori risorse (per proteggere i pornazzi sull'hd non ti procuri certo una testata balistica ). @ Lucas Malor Non è detto che un disegno schematico sia semplice da craccare: la questione sta tutta nella precisione con cui dev'essere riprodotto. Aumentando la definizione dell'immagine, si potrebbe far corrispondere il disegnino a una password con alcune decine, se non centinaia di caratteri, percui a una piccola variazione nelle linee/forme/dimensioni potrebbe produrre una pwd completamente diversa per lo stesso simbolo; solo che, in questo modo, si renderebbe molto più difficile per un non-disegnatore professionista usare il sistema. Tutto sta quindi nel trovare un buon compromesso, ma la vedo dura: la news parla di 3 tentativi per accedere, in media, dopo un periodo di "addestramento"... potrebbe funzionare se si riuscisse ad implementare dei meccanismi accurati per il riconoscimente calligrafico, tenendo conto di tratti distintivi parametrizzati e della possibilità che una firma vari da un'esecuzione all'altra... però far fare una perizia calligrafica a un computer potrebbe essere una cosa difficile da implementare, lenta e/o decisamente costosa... Fidati, il sistema migliore è quello a onde cerebrali che ho progettato io, solo che rischieremmo di dare troppo controllo a macchine sempre più intelligenti...