Ti dimentichi la password? Disegnala

[Spacio]

non è così difficile cmq riprodurre un'impronta...
qualche settimana fa nel programma Myth Busters su discovery channel sono riusciti ad aprire una serratura a impronte digitali con una fotocopia ingrandita presa da un cd (non mi ricordo come l'hanno scansionata) ripassata col pennarello per unire le linee e poi scansionata e ristampata piccola... e la porta si è aperta... e la cosa + bella è che la casa produttrice sosteneva che nessuno era mai riuscito a gabbare quella serratura...
fantastico

[magilvia]

Quote:

non è così difficile cmq riprodurre un'impronta...
qualche settimana fa nel programma Myth Busters su discovery channel sono riusciti ad aprire una serratura a impronte digitali con una fotocopia ingrandita presa da un cd (non mi ricordo come l'hanno scansionata) ripassata col pennarello per unire le linee e poi scansionata e ristampata piccola... e la porta si è aperta... e la cosa + bella è che la casa produttrice sosteneva che nessuno era mai riuscito a gabbare quella serratura...
fantastico

Già il sistema più sicuro sarebbe la scansione della retina ma presenta due difetti:
1) E' ancor meno revocabile delle impronte digitali
2) E se qualcuno che volesse veramente entrare ti cavasse un occhio ? Chi correrebbe il rischio?

[bongaiolo]

preferisco una password... sara' che sono sempre stato una capra nei disegni!

[WarDuck]

Quote:

Originariamente inviato da magilvia

Già il sistema più sicuro sarebbe la scansione della retina ma presenta due difetti:
[...]
2) E se qualcuno che volesse veramente entrare ti cavasse un occhio ? Chi correrebbe il rischio?

E' la stessa cosa che ho pensato pure io

A questo punto la cosa è semplice: password che ti ricordi per accedere ai tuoi dati, password alternativa da dare ad eventuale rapitore (con annessa esplosione del computer dopo l'OK).

[Marcus Scaurus]

Quote:

Originariamente inviato da magilvia

2) E se qualcuno che volesse veramente entrare ti cavasse un occhio ? Chi correrebbe il rischio?

Secondo me nel 99% dei casi basterebbe puntare una pistola (altro che cavare, strappare o mordicchiare )... Voglio proprio vedere chi l'occhio non lo apre poi!

Ma viva la password va!

[SuperSandro]

E' una mia vecchia idea, che avrebbe dovuto farmi diventare miliardario. Dunque:

1) Quando devi criptare un documento (o entrare nel tuo conto bancario sul web), devi ovviamente creare una password. Per esempio: Pippo

2) Con le attuali tecnologie, quando un cracker cerca di "entrare" nel tuo conto corrente (o cerca di aprire un file con pw), cerca di indovinare la password. Se la indovina (Pippo), entra, altrimenti (NonPippo) viene negato l'accesso.

3) INVECE (in base alle mie idee) quando si verifica un tentativo con una PW errata (NonPippo), la banca fa "entrare" il cracker, ma lo indirizza verso un conto corrente fasullo, magari creato al momento, contenente però dati credibili. Naturalmente, se l'utente è quello vero (che ha sbagliato a digitare la PW Pippo) si accorge dell'errore e passa al punto 5.

4) Alla fine delle (lunghe) operazioni - per esempio un bonifico alle isole Cayman - compare il messaggio "Errore! la PW non è quella giusta!"

5) A questo punto bisogna ripetere l'operazione, che per l'utente autorizzato si risolve presto, per il cracker no.

Per criptare un file basta usare il metodo XOR: in pratica, il file viene decompresso comunque, anche digitando la PW errata; solo che con una PW errata viene fuori un'accozzaglia indistinta di caratteri.

[xeal]

@ SupperSandro

Ti consiglio una letturina al thread sull'uso di schede video per crackare pwd mediante brute force: abbiamo discusso abbondantemente su come metodi di questo tipo siano da considerare si utili, ma come "contorno", in quanto servono solo a rallentare un attacker "esterno", che può solo condurre attacchi online, ma tu, se vuoi stabilire un protocollo di sicurezza VERA, devi presupporre che il danno provenga anche dall'interno (es: un amministratore corrotto in un sistema multiamministrato, che possieda solo alcuni privilegi di root, che possa al massimo fregare il file con le informazioni sulle pwd e andare di bruteforce), e che quindi l'attacker abbia accesso a informazioni riservate (conosca tutti i trucchetti usati) e possa operare offline (e queste informazioni devono essere note a tutti gli amministratori, perchè se fosse solo uno a decidere e operare su questo fronte, allora potrebbe fare tutti gli impicci che vuole senza rischiare di essere "sgamato" ). A questo punto, l'ultima vera barricata, quella che deve essere insormontabile, rimane la complessità dell'algoritmo di criptatura; tutto il resto è solo un "contorno necessario".

Per quanto riguarda i lettori di impronte: un po' di tempo fa si era parlato di un brevetto su un metodo di lettura non ottico, ma basato su microcorrenti (penso si trattasse di una lettura impedenziometrica o simile): se funziona, sarà più difficile da aggirare con impronte "fasulle". Quanto al rischio di vedersi tagliato un dito, esistono sistemi migliori, come le minacce dirette, o meglio ancora indirette: rapiscono un tuo familiare e ti costringono a fare quello che vogliono, così aggirano anche un'eventuale sorveglianza; al limite, per l'accesso a qualcosa di estremamente delicato, si può prevedere la presenza congiunta di più persone. Naturalmente, non si avrà mai un sistema sicuro al 100%, ma all'aumentare delle difficoltà nell'aggirare le protezioni, diminuirà il numero di persone con le competenze/i mezzi necessari - naturalmente, il tutto da riportare alle necessità reali di riservatezza.

[sommojames]

Ero negato a disegnare a scuola, non riuscirei manco ad entrare nel mio stesso sistema!!! E poi chi cazzo se lo ricordaun disegno, molto più facile ricordarsi una stringa alfanumerica IMHO.

[xeal]

Be', al limite fai una crocetta

[sommojames]

Quote:

Originariamente inviato da xeal

Be', al limite fai una crocetta

A quando il sistema che riconosce il tuo rutto per accedere?

[DKDIB]

Io voto per il naso elettronico che riconosce "le parfum" del padrone... anche se in effetti c'e' il rischio che sudore e gas intestinali vengano (pesantemente) influenzati dalla dieta.

[xeal]

Ragazzi, voi ci scherzate, ma cose del genere si possono fare davvero! L'unico inconveniente, è che per ottenere dati attendibili, in entrambi i casi bisogna posizionare dei sensori in loco e farli passare dalla stessa zona... come dire, sarebbe una lavanda gastrica al contrario... e siccome sono costosi, i sensori bisognerebbe pure riutilizzarli...

Scherzi a parte, la soluzione ideale sarebbe una interfaccia neurale telepatica, in grado di riconoscere la persona e allo stesso tempo fare una lettura affidabile del suo stato emotivo e fungere da macchina della verità: se riconosce un forte stress, ti fa delle domande mirate a verificare se stai per compiere un accesso per motivi "impropri" (vuoi commettere una frode, sei minacciato, ecc.) e se menti ti vieta l'accesso. Magari tra 150 anni saremo in grado di farlo... e 30 anni dopo le macchine ci trasformeranno in queste:

[Sajiuuk Kaar]

@NoX83: o anche yakuza style: ti bruciano i polpastrelli.

[SuperSandro]

Quote:

Originariamente inviato da xeal

@ SupperSandro ...Ti consiglio una letturina al thread sull'uso di schede video per crackare pwd mediante brute force ...

...uhm... schede video per craccare? Confesso che questa non l'ho capita (qualche link, please?)

Quote:

Originariamente inviato da xeal

servono solo a rallentare un attacker "esterno", che può solo condurre attacchi online ...

Ma infatti, stavamo parlando di attacco esterno. Ovvio che un amministratore, che ha libero accesso - e "deve" avere libero accesso - al sistema, può fare ciò che vuole. A meno che non si istituisca un protocollo simile a quello per il lancio di ordigni nucleari: l'accesso è consentito solo se due (o più ) addetti accedano contemporaneamente al sistema.

PS: SuperSandro, con una sola "p". Sono Super, ma non esageriamo

[Baboo85]

Schede video per crackare = utilizzano anke la gpu della scheda video per ridurre notevolmente il tempo necessario per un bruteforce, anke grazie ai calcoli in virgola mobile di cui sono capaci le gpu d oggi. + o - e' cosi'. Cmq quoto, il disegno come pass e' un immensa cavolata per tutti i motivi ke avete gia' detto. Meglio la normale pass da millemila caratteri, tanto se devono entrare alla fine entrano lo stesso, qualsiasi sistema uno mette. E' solo questione di tempo. Devono trovare il modo per allungare il tempo necessario a crackare una password, non ad inventare fantasiosi sistemi di sicurezza. A sto punto kiedo anke il sensore a naso e via di "eau de ascell"

[Lucas Malor]

Ma gia' mi immagino il database di disegni comuni: casetta, omino, simbolo anarchico...

A mio modestissimo parere, craccare una figura per resettare la password sara' piu' semplice che craccare una domanda di sicurezza. Semplicemente perche' la gente tende a fare disegni molto schematici.

Dovrebbero invece inventarsi delle domande segrete che spingano la gente ad inventarsi risposte piu' fantasiose! Il cognome da nubile di mia madre, sinceramente, uno bravo che volesse entrare nel mio account lo trova

Quote:

Originariamente inviato da share_it

news: giovane disegnatore entra nei pc della nasa

[MiKeLezZ]

Quote:

Originariamente inviato da Lucas Malor

Ma gia' mi immagino il database di disegni comuni: casetta, omino, simbolo anarchico...

A mio modestissimo parere, craccare una figura per resettare la password sara' piu' semplice che craccare una domanda di sicurezza. Semplicemente perche' la gente tende a fare disegni molto schematici.

Dovrebbero invece inventarsi delle domande segrete che spingano la gente ad inventarsi risposte piu' fantasiose! Il cognome da nubile di mia madre, sinceramente, uno bravo che volesse entrare nel mio account lo trova

E se tu alla domanda "il cognome da nubile di tua madre" rispondi con la via in cui è nata, magari usando il leet speech?
Panico nel cracker, intento a provare tutti i cognomi della tua famiglia
Io faccio così, il problema è che mi tocca poi tenere un file (offline) con tutte le varie password...

[Lucas Malor]

Infatti alla fine io alle domande segrete metto caratteri a casaccio e utilizzo KeePass (notasi: _non_ KeepAss ), il quale database backuppo di tanto in tanto su penna usb...

Certo il giorno che mi rompera' l'hard disk e la penna nello stesso momento smadonnero' (perche' capitera' sicuramente, dato che ho cosi' tanta fortuna che ho Murphy appollaiato su una spalla.... )

[indio68]

e chi mi dice che riesco a fare lo stesso identico disegno tutte le volte?? a meno che non si faccia i soliti la croce , magari col cerchio interno , o stronzate così che te la sbloccano in 1 nanosecondo...bah la vedo lunga , elaborata e di nonf acile applicazione come idea...

[Duddas]

che problema ha il riconoscimento delle impronte?!? mi sembra tanto bello....

si è bello.... ma se ti fai un taglietto sul dito???

e poi è difficile disegnare cn il mouse... servirebbe delle lavagnette magnetiche apposite.... altro dispendio d denaro... meglio le vecchie password