W3C approva WebAuthn come standard ufficiale: la password è morta sul web?

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/w3...web_81090.html

Con WebAuthn che è diventato uno standard ufficiale la password potrebbe avere le ore contate. Certo, ne passerà di tempo per veder scomparire le password come sistema di autenticazione, tuttavia l'annuncio rappresenta un primo passo verso questa direzione

Click sul link per visualizzare la notizia.

[Axios2006]

In pratica si sposta l'attenzione degli hacker dalle password (banali) degli utenti alle password che sovraintendono ai device di autenticazione.

Speriamo che chi produce i dispositivi di autenticazione non li protegga con una password del tipo 12345 come certi router o lascino qualche backdoor per accedere indiscriminatamente a tutto.... Altrimenti qualcuno si ritrovera' l'accesso a milioni di dispositivi in un colpo solo...

Non strettamente correlato, ma per dare l'idea, pochi mesi fa lo scandalo dei serve di autenticazione a 2 fattori via sms dove aziende come Google ed Amazon avevano tutti i dati in chiaro...

[lemuel]

Non ho la minima idea sulla sicurezza dei metodi che verranno proposti, o implementati, o resi obbligatori, da parte dei promulgatori dei sistemi W3C.
Per adesso non sono a conoscenza dell'esatta formulazione del contenuto di simili dispositivi, quale ad esempio una chiave di sicurezza Fido personale o di chiavette USB certificate e marcate.
Per quanto mi riguarda io mi trovo a gestire circa 60 account differenti di posta elettronica, più le chiavi di accesso a vari servizi istituzionali (Inps, ad esempio, o banca e posta) e in più ho almeno 30 siti per acquisti online e altrettanti forum per poter leggere le altrui opinioni e per esprimere il mio punto di vista su argomenti vari.
Per me giocoforza sta tutto nella sicurezza delle password che scelgo.
Chiaramente faccio distinzione fra i siti per gli acquisti da quelli della banca o di PayPal, ad esempio.
Per usi non a rischio, le mie password sono in genere di 13 caratteri alfanumerici combinati, tipo "&7sE5c§H7z3S@".
Per usi a maggior rischio (di possibili danni), le password diventano di 19 caratteri, mediamente, del tipo "#Motn1@Gtes0§Q7%u1£".

Queste password non sono memorizzate sul mio PC, da nessuna parte, come ad esempio nei browser, ma sono scritte "a parte" su un quadernino cartaceo, e la maggior parte le ritengo a memoria, in quanto sono associate a un criterio logico di successione dei caratteri.

Se si aggiunge che i browser di tutti i miei sistemi lavorano entro Sandboxie, e che tutti i dati di navigazione sono "scrupolosamente" "piallati" alla fine di ogni navigazione, o anche a scadenze che scelgo di volta in volta, tramite la cancellazione di tutti i file dell'area virtuale di Sandboxie, non vedo di cosa dovrei mai preoccuparmi.

Piuttosto i problemi per mio conto non sono sul lato "client", ma lapalissianamente sul lato "server" del web.
Ogni tanto, quando leggo di violazione di server di Google, di Amazon o di quant'altro, provvedo subito alla sostituzione delle password che potrebbero essere possibilmente coinvolte in furto di dati di accesso.

Che poi il pianeta Terra sia popolato di "minus habens" che ancora usano 12345 o mammamia come password, a me fa anche piacere, giacché data la facilità con cui si può accedere a questo enorme oceano di dati scarsamente protetto, non verranno studiati troppo a fondo sistemi per violare password di 19 caratteri.
Qbit e PC quantici ancora permettendo.
E per me questo è tutto.

Quote:

Originariamente inviato da Axios2006

In pratica si sposta l'attenzione degli hacker dalle password (banali) degli utenti alle password che sovraintendono ai device di autenticazione.

Speriamo che chi produce i dispositivi di autenticazione non li protegga con una password del tipo 12345 come certi router o lascino qualche backdoor per accedere indiscriminatamente a tutto.... Altrimenti qualcuno si ritrovera' l'accesso a milioni di dispositivi in un colpo solo...

Non strettamente correlato, ma per dare l'idea, pochi mesi fa lo scandalo dei serve di autenticazione a 2 fattori via sms dove aziende come Google ed Amazon avevano tutti i dati in chiaro...

Non ho capito. L'autenticazione a due fattori prevede che la conferma la dai tu tramite SMS.
Quindi di fatto hai una password nuova ogni volta. A me pare un sistema abbastanza "forte".
Per dati in chiaro cosa intendi? Che Google poteva accedere alla tua casella mail conoscendo le credenziali?

[Bradiper]

Sarebbe veramente comodo es avere una chiavetta con dentro una o più password di lunghezza e complessità esponenziale senza doverle ricordare o scrivere, poterla portare in giro e accedere ai servizi da qualunque terminale.

Per me comunque sarebbe più che sufficiente il sistema di identità pubblica digitale che viene usato in molti siti web.
Inquadri il codice con lo smartphone, confermi l'identità con i sensori biometrici e sei dentro.
Mi sembra un sistema abbastanza sicuro e dove non serve ricordare alcuna password.

[nameman]

password più o meno complesse, autenticazione a due fattori, sistemi biometrici, ed ora chiave di sicurezza fido personale insomma sistemi sempre più complessi di aiutenticazione! Questo dimostra solo che il web non ha e non avrà mai un grado di sicurezza elevato, perchè a nuove metodologie di controllo degli accessi comunque ci saranno sistemi di intrusione più complessi che riusciranno a perforare, prima o poi qualsiasi tipo di difesa.
Lo dimostra il fatto che Google ed Amazon avevano tutti i dati in chiaro...
lo dimostra il fatto che utenti, che almeno sulla carta dovrebbero essere più che evoluti (siti governativi, siti di sicurezza nazionali, aereoporti ecc. ecc) seppur raramente comunque ma comunque a volte giungono notizie di violazioni.... ma veramente vengono divulgate notizie di intrusioni dempre ed in ogni caso ? Io non credo.... il caso più ecclatante lo dimostra la vcenda Trump-Russi, il caso dello spionaggio americano di qualche tempo fà il caso della Huawei e chissa quanti altri...
IL WEB NON E' E NON SARA' MAI SICURO !!!!
Quindi rassegnatevi, tra qualche anno ci sarà qualche altro accorgimento che lo spacceranno per SICURO ED EFFICACE!

[Axios2006]

Quote:

Originariamente inviato da cinetic

Non ho capito. L'autenticazione a due fattori prevede che la conferma la dai tu tramite SMS.
Quindi di fatto hai una password nuova ogni volta. A me pare un sistema abbastanza "forte".
Per dati in chiaro cosa intendi? Che Google poteva accedere alla tua casella mail conoscendo le credenziali?

Non si ha una nuova password, nel senso stretto del termine... I server terzi che inviavano gli SMS per l'autenticazione a 2 fattori di Amazon e Google trattavano in chiaro i dati degli utenti... https://techcrunch.com/2018/11/15/mi...o-factor-codes

In generale, se si deve accentrare l'accesso a innumerevoli siti in un solo algoritmo, spero che sia davvero robusto.

Se no, meglio tenere tutto separato. Così almeno chi è prudente ed esperto per i fatti suoi non rischia di trovarsi i dati violati.

[LukeIlBello]

Quote:

Originariamente inviato da lemuel

Non ho la minima idea sulla sicurezza dei metodi che verranno proposti, o implementati, o resi obbligatori, da parte dei promulgatori dei sistemi W3C.
Per adesso non sono a conoscenza dell'esatta formulazione del contenuto di simili dispositivi, quale ad esempio una chiave di sicurezza Fido personale o di chiavette USB certificate e marcate.
Per quanto mi riguarda io mi trovo a gestire circa 60 account differenti di posta elettronica, più le chiavi di accesso a vari servizi istituzionali (Inps, ad esempio, o banca e posta) e in più ho almeno 30 siti per acquisti online e altrettanti forum per poter leggere le altrui opinioni e per esprimere il mio punto di vista su argomenti vari.
Per me giocoforza sta tutto nella sicurezza delle password che scelgo.
Chiaramente faccio distinzione fra i siti per gli acquisti da quelli della banca o di PayPal, ad esempio.
Per usi non a rischio, le mie password sono in genere di 13 caratteri alfanumerici combinati, tipo "&7sE5c§H7z3S@".
Per usi a maggior rischio (di possibili danni), le password diventano di 19 caratteri, mediamente, del tipo "#Motn1@Gtes0§Q7%u1£".

Queste password non sono memorizzate sul mio PC, da nessuna parte, come ad esempio nei browser, ma sono scritte "a parte" su un quadernino cartaceo, e la maggior parte le ritengo a memoria, in quanto sono associate a un criterio logico di successione dei caratteri.

Se si aggiunge che i browser di tutti i miei sistemi lavorano entro Sandboxie, e che tutti i dati di navigazione sono "scrupolosamente" "piallati" alla fine di ogni navigazione, o anche a scadenze che scelgo di volta in volta, tramite la cancellazione di tutti i file dell'area virtuale di Sandboxie, non vedo di cosa dovrei mai preoccuparmi.

Piuttosto i problemi per mio conto non sono sul lato "client", ma lapalissianamente sul lato "server" del web.
Ogni tanto, quando leggo di violazione di server di Google, di Amazon o di quant'altro, provvedo subito alla sostituzione delle password che potrebbero essere possibilmente coinvolte in furto di dati di accesso.

Che poi il pianeta Terra sia popolato di "minus habens" che ancora usano 12345 o mammamia come password, a me fa anche piacere, giacché data la facilità con cui si può accedere a questo enorme oceano di dati scarsamente protetto, non verranno studiati troppo a fondo sistemi per violare password di 19 caratteri.
Qbit e PC quantici ancora permettendo.
E per me questo è tutto.

sei sempre passibile di un attacco di tipo spooffing o keylogging
questa è la debolezza intrinseca delle password, le puoi scegliere anche chilometriche e scriverle sullo scottex, ma poi a un certo punto le devi digitare e qui è la falla.. un keylogger te la rende sgamabile sempre e comunque

quindi queste soluzioni "hardware", o biometriche sono indubbiamente migliori

[LukeIlBello]

Quote:

Originariamente inviato da cinetic

Per me comunque sarebbe più che sufficiente il sistema di identità pubblica digitale che viene usato in molti siti web.
Inquadri il codice con lo smartphone, confermi l'identità con i sensori biometrici e sei dentro.
Mi sembra un sistema abbastanza sicuro e dove non serve ricordare alcuna password.

esatto