|
|||||||
|
|
|
 |
|
|
Strumenti |
06-11-2007, 18:49
|
#41 |
|
Senior Member
Iscritto dal: Jun 2003
Città: vivo in Sicilia (tra la prov. di AG e Palermo)
Messaggi: 956
|
@ Sup(p)erSandro (
 )L'articolo, con relativa discussione, lo trovi qui: è un bel malloppone Dubito che una banca seria si affidi ad un unico amministratore con poteri assoluti. Poi, a certi livelli bisogna essere paranoici, e pensare che l'attacker esterno possa entrare in possesso di informazioni confidenziali, utili a craccare le password degli utenti: ad esempio, potrebbe sfruttare un exploit di sicurezza che gli da poteri parziali, e riesce a impadronirsi di queste informazioni + il pwd file, ma non ad aggirare le protezioni (come potrebbe fare un amministratore con pieni poteri di root), oppure che, grazie ad una talpa all'interno, riesca ad entrare in possesso di una copia di backup di quelle informazioni. Insomma, è bene pensare che anche le migliori barriere esterne possano essere superate, e prevedere un'ultima difesa estrema (che sia un'algoritmo di cifratura blindatissimo, oppure una testata nucleare con potenza sufficiente a spazzare via l'intera umanità, compreso il ladro  ), altrimenti sarebbe come giocare a calcio con i migliori difensori del mondo, ma senza portiere. Naturalmente, a una minore "sensibilità" dei dati da proteggere potrebbe corrispondere anche un sistema meno complesso e blindato, e quindi anche minori risorse (per proteggere i pornazzi sull'hd non ti procuri certo una testata balistica ).@ Lucas Malor Non è detto che un disegno schematico sia semplice da craccare: la questione sta tutta nella precisione con cui dev'essere riprodotto. Aumentando la definizione dell'immagine, si potrebbe far corrispondere il disegnino a una password con alcune decine, se non centinaia di caratteri, percui a una piccola variazione nelle linee/forme/dimensioni potrebbe produrre una pwd completamente diversa per lo stesso simbolo; solo che, in questo modo, si renderebbe molto più difficile per un non-disegnatore professionista usare il sistema. Tutto sta quindi nel trovare un buon compromesso, ma la vedo dura: la news parla di 3 tentativi per accedere, in media, dopo un periodo di "addestramento"... potrebbe funzionare se si riuscisse ad implementare dei meccanismi accurati per il riconoscimente calligrafico, tenendo conto di tratti distintivi parametrizzati e della possibilità che una firma vari da un'esecuzione all'altra... però far fare una perizia calligrafica a un computer potrebbe essere una cosa difficile da implementare, lenta e/o decisamente costosa... Fidati, il sistema migliore è quello a onde cerebrali che ho progettato io, solo che rischieremmo di dare troppo controllo a macchine sempre più intelligenti... |
|
|
|
07-11-2007, 10:38
|
#42 | |
|
Senior Member
Iscritto dal: May 2007
Messaggi: 1081
|
Quote:
Comunque visto che stiamo in argomento, personalmente avevo un'idea in proposito: un chip personale (magari messo su chiavetta usb, come alcuni fanno gia') rilasciato insieme alla carta d'identita'. Una carta d'identita' digitale insomma, ma fisica. Non sarebbe ovviamente comodo e rispettoso per la privacy usarlo per registrarsi ad un sitarello, ma sarebbe molto utile come verifica aggiuntiva per conti online, account di aste eccetera. (se qualcuno mi dice che e' gia' stato fatto lo "banno" con Greasemonkey  )
__________________
Il mio blog: http://pazziaumana.blogspot.com/ Breve ma essenziale guida anti-spam Ultima modifica di Lucas Malor : 07-11-2007 alle 10:41. |
|
|
|
|
|
07-11-2007, 13:51
|
#43 | |
|
Senior Member
Iscritto dal: Oct 2004
Messaggi: 1818
|
Quote:
Il sistema, abbinato a quello della password, si presterebbe agli usi più svariati, ad esempio con chiavetta/impronta/password posso fare disposizioni in banca (magari impronte/password diverse abilitano profili diversi, così posso passare la chiavetta a mia moglie limitandogli le spese ad un importo prefissato!), con chiavetta/impronta posso solo visualizzare saldo e movimenti, con la sola chiavetta posso accedere al pc come utente guest, con anche l'impronta accedo come root etc. etc. il tutto ampiamente configurabile dall'utente secondo le sue esigenze.
__________________
Un uomo intelligente risolve i problemi Un uomo molto intelligente li previene |
|
|
|
|
|
07-11-2007, 18:03
|
#44 |
|
Senior Member
Iscritto dal: Jun 2003
Città: vivo in Sicilia (tra la prov. di AG e Palermo)
Messaggi: 956
|
Si, si, è roba buona, autoprodotta!
 Per il resto... volendo si può fare, però non credo che cambierebbe granchè... in fondo, le informazioni contenute nella chiavetta devono essere interpretabili correttamente dalla banca, quindi dovrà esserci un file, da qualche parte, che contiene, in forma criptata, le informazioni necessarie all'autenticazione del cliente. Sostanzialmente, è come avere una doppia password, ovvero una password con il doppio dei caratteri: se l'hacker può bucare in qualche modo il server della banca, può avere accesso ai dati che gli servono, e torniamo al punto di partenza, cioè alla necessità di un algoritmo di cifratura forte. Oltretutto, le informazioni contenute in un documento di identità "pubblico" saranno esse stesse pubbliche, almeno in parte, quindi potrebbero essere clonate... a meno che... a meno che non si preveda un meccanismo a chiave pubblica/privata, con il token privato in possesso di un organo governativo e rilasciato solo ad enti autorizzati (eventualmente anche commerciali, come banche, appunto); però, considerate anche che un sito di fishing potrebbe sempre trarvi in inganno, prendersi le informazioni cifrate con il token pubblico e rigirarle alla banca, la quale le interpreta correttamente e concede l'accesso (occhio che sono riusciti, con siti ad hoc, a fregare anche il meccanismo delle chiavette aggiuntive con codice che cambia ogni tot minuti: se cadi in trappola, digiti quel codice e loro riescono ad accedere al tuo conto in tempo reale, prima che il codice scada...). Alla fine della fiera, l'utilità maggiore di un sistema di questo tipo (chiavetta con chip di autenticazione) è quello di poter memorizzare delle password forti, di alcune decine di caratteri e non da dizionario, in modo da dilatare i tempi per un brute force, ma bisogna anche stare attenti a custodire bene la chiave. Per i documenti elettronici, il discorso è un po' diverso: l'utilità sarebbe nell'avere a disposizione in un unico chip (che dev'essere aggiornabile: niente chip Fritz) tutta una serie di informazioni, dalla propria identità ai dati sanitari (malattie, forme allergiche, medicinali in uso, ma anche fascia di ticket, ecc.), con livelli diversi di accesso per enti diversi (per garantire la privacy), più eventualmente delle chiavi per accedere a delle informazioni burocratiche disparate (visure catastali, situazione fiscale, ecc.), il tutto unitamente ad un sistema informatico centralizzato che consenta una correlazione più rapida ed efficiente delle diverse informazioni (es: cambi residenza e non devi più comunicarlo al p.r.a. nè a nessun altro, perchè l'aggiornamento dei database è automatico), riducendo le spese sia per il cittadino (che ad esempio pagherebbe meno o non pagherebbe affatto una visura), sia per lo Stato (riduzione delle spese di gestione, e quindi ancora risparmio per i cittadini). Ai fini della sicurezza, premesso che comunque non si può avere una blindatura assolutamente inaggirabile, eviterei tassativamente i chip RFID, visto che è già stata dimostrata la loro clonabilità; eviterei anche il chip fritz, perchè non si può aggiornare in maniera "utile" e perchè se si guasta lo puoi buttare (per questo non lo userei mai per cifrare informazioni non temporanee); tutt'al pià, si potrebbe usare un tpm per cifrare in maniera veloce e "sicura" (con chiavi pubbliche forti) lo scambio di dati, ad esempio su connessione https (adoperando anche altri meccanismi per evitare il "man in the middle" e facendo molta attenzione a non cadere nella trappola del fishing, altrimenti non servirebbe a nulla). Tutto, chiaramente, IMHO 
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:05.
