Luca Annunziata

RSA16/ La password più semplice è quella più complessa

Punto Informatico intervista Kayvan Alikhani di RSA. Che racconta di come la sua missione sia di sbarazzarsi per sempre delle password e rendere tutti più sicuri

RSA16/ La password più semplice è quella più complessaSan Francisco - Il sasso nello stagno l'ha lanciato per primo Amit Yoran, presidente di RSA, che sul palco durante il keynote di inaugurazione della edizione 2016 della storica convention che si tiene in California da 25 anni ha detto senza mezzi termini che si deve cambiare mentalità: non basta semplicemente installare un software per garantire a posteriori la sicurezza di un server, di un servizio o di una intera organizzazione, bensì occorre iniziare a penare in modo creativo e come fare ad assicurare alla propria infrastruttura adeguati livelli di protezione anche in presenza di un'emergenza. Un approccio, insomma, più umano e meno automatico: e lo stesso approccio RSA, costola di EMC a sua volta in procinto di essere acquisita definitivamente da Dell, lo propone in tanti dei prodotti che sta lanciando sul mercato.

Kayvan AlikhaniTra gli annunci di RSA Conference 2016 c'è ad esempio la nuova versione di RSA Via, soluzione pensata per gestire in modo organico le identità e l'autenticazione in organizzazioni di qualunque complessità. E l'approccio seguito da RSA per gestire questa delicata questione è tutt'altro che banale: "Stiamo attraversando un periodo di profondi cambiamenti - spiega a Punto Informatico Kayvan Alikhani, responsabile tecnologico per il prodotto RSA Via - con l'autenticazione che è passata da essere un'esperienza fortemente legata al rapporto server-client a un processo sempre più legato al device, magari dotato di sistemi di identificazione biometrica, e alla cosiddetta root of trust. Anche il movimento verso il cloud però fino a questo punto è stato fortemente legato a una questione di convenienza economica: un meccanismo che vediamo ripetersi, ma che non garantisce rispetto alla progettazione sicura dei prodotti e dei servizi, o alla loro facilità d'uso".

La questione, ci spiega, è che si deve senz'altro tenere conto della semplicità con la quale gli strumenti di autenticazione devono e possono essere utilizzati, ma senza trascurare l'efficacia delle soluzioni scelte: "Abbiamo visto accadere cose interessanti in questo settore, con diversi approcci che sono riusciti a superare la dolorosa procedura classica della password a favore di metodi e tecnologie più moderne: l'idea di avvicinare uno smartphone al viso per far riconoscere la forma del volto o l'iride sta diventando familiare, così come si sono moltiplicati i dispositivi (smartphone e non solo) che incorporano altri sistemi di identificazione biometrica come quello dell'impronta digitale. La diffusione di elementi di sicurezza embedded all'interno dei device ha poi permesso di gestire le operazioni di cifratura direttamente a bordo dell'hardware locale, senza dover ricorrere all'autenticazione remota".
Il problema è il bilanciamento tra queste nuove forme di identificazione e riconoscimento, tanto comode visto che basta appoggiare il dito su un sensore incorporato in uno smartphone, e il corrispettivo livello di sicurezza garantito: se l'impronta può essere sostituita da un codice numerico a 4 cifre, dice Alikhani, invece di rafforzare la sicurezza del sistema si finisce per indebolire il processo. Il principio però resta valido: "Pensate a TouchID di Apple - prosegue - e al fatto che consenta di autenticarsi con un singolo dato, la vostra impronta, per effettuare acquisti su molteplici piattaforme e di molteplici beni: è un passo importante. Allo stesso tempo, le vostre credenziali non vengono trasmesse a un server remoto, rimangono sul dispositivo usato, e ciò è un altro vantaggio tangibile di questo approccio che non accentra le credenziali di milioni di utenti su un server che può essere violato".

Tra gli obiettivi centrati recentemente da questa industria, Alikhani ci tiene a sottolineare la costituzione della FIDO Alliance: un luogo dove, ci spiega, finalmente si è proceduto di concerto tra quasi la totalità dell'industria coinvolta alla standardizzazione di questi nuovi metodi di autenticazione e identificazione, con l'obiettivo chiaro di semplificare l'esperienza dal lato utente senza per questo indebolire il valore complessivo della sicurezza offerta dai servizi che adottano le specifiche FIDO. Lui stesso cita le sperimentazioni di Google che ha voluto provare un metodo basato sull'impiego di una chiave hardware per garantire l'identità di un PC, approccio che ora è entrato a far parte anche del prodotto RSA Via di cui Alikhani cura lo sviluppo.

Sembrano cambiamenti da poco, ma si portano dietro una serie di conseguenze non banali: per esempio il phishing può essere messo seriamente in crisi da questo tipo di autenticazione, visto che l'identità dell'utilizzatore è legata al dongle USB locale da agganciare al PC ed elimina la necessità di far circolare le proprie credenziali via Rete. Non dovendo più andare a popolare i campi di una pagina Web, magari per accedere al sito contraffatto della propria banca, si annulla il rischio di fornire più o meno volontariamente i propri dati ai malintenzionati. Il risultato è che ci sono meno informazioni sensibili in circolazione, e si complica la vita a chi voglia provare a fare "pesca a strascico" (mentre ovviamente gli attacchi su misura indirizzati a una singola persona o organizzazione sono un'altra storia:) il fatto stesso che per violare l'identità di 1 milione di persone che usano lo smartphone come token per l'accesso si dovrebbe sottrarre loro 1 milione di smartphone (uno a testa) è un passo in avanti.

Nel corso della conversazione naturalmente fa capolino anche la vicenda Apple-FBI, citata tra l'altro più volte sul palco del Moscone Center durante le keynote mattutine: "Senza entrare nello specifico - dice Alikhani a Punto Informatico - è importante quando si progetta un sistema di sicurezza che sia tale a tutti i livelli e sia privo di aperture che complicherebbero la vita a chi lo progetta o a chi lo utilizza". Siamo già in una fase complicata, prosegue, durante la quale non tutti gli utenti dispongono già di apparati dotati dei giusti ritrovati tecnici: inserire ulteriori fattori che potenzialmente potrebbero minare questi nuovi approcci viene percepito come il fumo negli occhi. Inoltre, bisogna sconfiggere la attuale mentalità che pone la password solo alla fine della progettazione di un prodotto come barriera poco efficace all'accesso indiscriminato ai dati: la password è una soluzione tampone vecchia, pensata in altra epoca quando ci si è trovati nella necessità di risolvere un problema in fretta e non si ipotizzavano i molteplici rischi odierni, ma un servizio sviluppato oggi non può continuare a fare affidamento su una tecnologia antidiluviana per assicurare la propria sicurezza.

La soluzione prospettata, in ogni caso, va oltre la semplice implementazione di uno o più ritrovati software che da soli non possono risolvere il problema dell'autenticazione e della sicurezza: secondo Alikhani è indispensabile calarsi nella realtà delle attività svolte dagli utenti, cercando di fondersi con il loro modo di lavorare e di utilizzare i diversi servizi e strumenti, arricchendo la loro esperienza. E anche questo è un tema già raccontato dal presidente Yoran durante il keynote: la sola tecnologia non basta, occorre prevedere l'intervento umano che declini la soluzione sul caso specifico e che modelli nel tempo anche la diversa modalità di interazione con il livello del rischio legato alla singola operazione o informazione scambiata. Alikhani la chiama la politica del "what if", ovvero cercare di prevedere alternative e soluzioni nel caso di imprevisti.

Amit Yoran

L'approccio di RSA Via in questo senso è significativo: lato server c'è la massima attenzione nel comprendere ogni tipo di autenticazione e tecnologia ad essa collegata nel software, ma poi sta all'acquirente e a chi utilizza la soluzione scegliere caso per caso quale tipo di livello di sicurezza applicare. Questo significa poter variare il meccanismo di autenticazione a seconda del livello del dipendente (un dirigente maneggerà teoricamente dati più preziosi di un impiegato), del contesto, del luogo in cui ci si trova e dell'operazione svolta: se siamo operando su un conto bancario, ad esempio, operazioni insolite potrebbero far scattare la richiesta di autenticazione ulteriore o secondo criteri più rigidi, così da garantire sia il fornitore del servizio che l'utente finale. Anche l'implementazione di queste policy non può prescindere dall'apporto umano, che deve influenzare la gestione dei criteri secondo uno schema che si evolva nel tempo anche per fare fronte a nuovi tipi di minacce. E la chiusura su un solo metodo di autenticazione non è salutare, poiché la violazione di quel singolo fattore può spalancare la porta a tutte le informazioni presenti (citato il caso OPM)

"Il punto è offrire una scelta: se uso il riconoscimento facciale ed è troppo buio? Se uso le impronte digitali ma non posso usare il sensore perché fa freddo o perché indosso i guanti? Se l'unica alternativa che mi viene proposta è inserire un codice di 4 cifre al posto del mio riconoscimento biometrico, sto indebolendo la catena della sicurezza che circonda i miei dati" continua Alikhani. La visione proposta da RSA, spiega, prevede la fusione tra diversi sistemi e diversi criteri di autenticazione in grado però di garantire un livello costante di sicurezza: e l'obiettivo è promuovere un approccio consapevole anche tra i clienti che scelgono i prodotti della divisione di sicurezza di EMC, permettendogli di sfruttarli al meglio.

Il punto è, ancora, che l'utilizzo delle sole password come strumento di protezione dei dati si è rivelato inefficace: le password possono essere violate, per rendere efficace una password si deve sacrificare la sua facilità d'uso, gli utenti finiscono per usare spesso la stessa semplice parola per più account. "Bisogna superare questo stadio, è un Golia che deve essere ancora sconfitto: dipendiamo ancora troppo da questi vecchi schemi che non garantiscono un livello adeguato di protezione. Come RSA - conclude Alikhani - non crediamo che ci sia un solo metodo, una sola soluzione tecnologica in grado di garantire la sicurezza in termini assoluti: viviamo in questa realtà complessa che ci costringe a gestire più metodi di autenticazione legati al tipo di compito da svolgere e alla portata dell'azione compiuta, unendo l'analisi del comportamento al riconoscimento biometrico e componendo strato dopo strato un sistema realmente sicuro. Complicato sul piano della sua creazione, ma facile e conveniente da usare per l'utente finale".

a cura di Luca Annunziata
Notizie collegate
  • SicurezzaWindows 10, autenticazione biometricaMicrosoft abbraccia le specifiche dedicate all'autenticazione biometrica di FIDO Alliance: un passo importante verso la creazione di un ecosistema basato sugli standard della coalizione?
78 Commenti alla Notizia RSA16/ La password più semplice è quella più complessa
Ordina
  • - Scritto da: Il fuddaro
    > - Scritto da: percolato come te
    > > Password? Capirai, se cani e porci hanno accesso
    > > ai nostri terminali (phon, desk, note/netbook,
    > > quello che vi pare) le password di fatto sono
    > > pura
    > > monnezza.
    > >
    > > Ci bucano in un attimo, le vulnerabilità venute
    > a
    > > galla dal datagate ad oggi mettono in evidenza
    > > una realtà impietosa, non importa se windoze
    > uefi
    > > 10 spy-metria, Androcess sonda intestinale,
    > > MacachIOS cloud/store sfonnato, Micro$Red-Hat &
    > > Co. aka deBBian contratto "$ociale" systemd e
    > > tutti i figliocci suoi (utumbu amazon edition e
    > > mint les incompétents ISO
    > > bulgare).
    > >
    > > Solo questi che ho citato mettono insieme più
    > del
    > > 99% dell' utenza mondiale e fanno tutti
    > > c-g-r-.
    > >
    > > Tutto bucato e per favore niente idealismi FOSS
    > > del tipo 10-100-1000 occhi: openssl é un
    > > colabrodo, il kernel linux é bloatware
    > > ultrablobbato per ammissione dello stesso
    > > Torvalds, openssh bloatware sforacchiato di
    > > fresco, bloatware anche libc (C++), bloatware
    > gcc
    > > (C++), TOR percolato e via
    > > discorrendo.
    > >
    > > Poi ci sono i fan dell' "hardenizzato", quelli
    > > che "io no! Io sono skilled ergo immune".
    > > Purtroppo i metodi utiizzati fanno tutti schifo:
    > > (selinux = sintassi assiro-babilonese by NSA
    > > LoL), apparmor é un fallimento (insieme al
    > > concetto di sandbox), PAM meglio conosciuto come
    > > SCAM (swiss cheese auth mod) (:)) ecc... ecc...
    > >
    > >
    > > Questo dovrebbe bastare a far capire un po' a
    > > chiunque la situazione tuttaltro che rosea
    > > (cercatevi i link come fanno gli uomini veri
    > > invece di frignare facendo la parte dei bambini
    > > offesi), ma voglio andare avanti e dare la
    > > mazzata finale: per un attimo pensate a tutta
    > > questa spazzatura in esecuzione dentro un aborto
    > > storico chiamato X11... e qui mi viene da
    > > piangere!
    > >
    > > Decenni di programmazione hanno dato vita ad un
    > > superbloatware da 13 milioni di linee di codice
    > > che ha come principale caratteristica quello di
    > > essere il migliore, il più persistente e stabile
    > > keylogger (e non solo) del mondo *nix. Cioé, gli
    > > *nix (TUTTI) fano ca**re da linea di comando, se
    > > ci aggiungiamo il server grafico (si struttura
    > > client/server sob) diventa una pagliacciata
    > > totale.
    > >
    > > Tanto per fare un esempio il README di xterm
    > > inizia
    > > così:
    > >
    > > "Abandon All Hope, Ye Who Enter Here"
    > >
    > > https://gist.github.com/danmilon/4719562
    > >
    > > Non c'é male o meglio non c'é bene!
    > >
    > > Non condanno al 100% il FOSS, la sua funzione é
    > > quella di offrire una piattaforma a tutti coloro
    > > che giustamente non sono disposti a pagare per
    > > del software ancora più schifoso di quello che
    > > viene dato via
    > > gratis.
    > >
    > > Di fatto il closed é anche peggio, allo
    > spaghetti
    > > code si somma la backdoor di default
    > > difficilissima da
    > > scovare...
    > >
    > > Ma torniamo alla macchietta delle password...
    > >
    > > Tutto é sotto il controllo di un' unica
    > > potentissima nazione con due scopi principali:
    > > primo quello di rastrellare informazioni al fine
    > > di mantenere l' establishment. Secondo fare
    > > soldi, ma proprio tanti soldi che servono per...
    > > mantenere l'
    > > establishment!
    > >
    > > Anche un bambino capirebbe che in un simile
    > > scenario la "sicurezza" é solo di
    > > intralcio.
    > >
    > > Parlare di privacy in assenza di comunicazioni
    > > sicure non ha proprio senso, é una delle parole
    > > che con l' avvento del "big brother MITM social
    > > way of life" ha perso ogni
    > > significato.
    > >
    > > E tu feissssbuk, e tu twitty, e tu gugguli, e tu
    > > il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
    > > e tu cisco, e tu HP, e tu Redmond, e tu United
    > > States of Cloud e tutti coloro ti conoscono
    > > meglio di tua madre e i dati nelle loro mani
    > vita
    > > natural durante... la password é l' ultimo dei
    > > tuoi
    > > problemi.
    > >
    > > Per quelli dotati di buona volontà e di un
    > > pizzico di saggezza un consiglio: dati sensibili
    > > alla larga dagli host, fate in modo che il
    > > vostro terminale Internet
    , qualunque esso
    > sia
    > > non abbia niente da
    > > nascondere.
    >
    > Cazzo chi ha il coraggio di contraddirti? Se
    > qualcuno lo fa e perché, e uno dei tanti che
    > ancora oggi non ha capito una
    > fava.
    >
    > Concordo al 1000 % 1000

    Ha dimenticavo, il tizio del' intervista o i tizi, sappiamo tutti quanti sono credibili vero?

    Non vorrei sparare cazzate ma sulle loro buste paga, se messe in trasparenza il Watermark visibile è %n%s%a%
    non+autenticato
  • il problema che rende le password deboli è il fatto che la password rimane sempre la stessa e quindi tentativo dopo tentativo prima o poi si crakka , se la password cambiasse ogni volta sarebbe impossibile superare la protezione.
    non+autenticato
  • - Scritto da: Pietro
    > il problema che rende le password deboli è il
    > fatto che la password rimane sempre la stessa e
    > quindi tentativo dopo tentativo prima o poi si
    > crakka , se la password cambiasse ogni volta
    > sarebbe impossibile superare la
    > protezione.

    Newbie, inespertoNewbie, inesperto
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: Pietro
    > > il problema che rende le password deboli è il
    > > fatto che la password rimane sempre la
    > stessa
    > e
    > > quindi tentativo dopo tentativo prima o poi
    > si
    > > crakka , se la password cambiasse ogni volta
    > > sarebbe impossibile superare la
    > > protezione.
    >
    > Newbie, inespertoNewbie, inesperto
    poca fantasia vero?
    non+autenticato
  • - Scritto da: Pietro
    > - Scritto da: PandaR1
    > > - Scritto da: Pietro
    > > > il problema che rende le password
    > deboli è
    > il
    > > > fatto che la password rimane sempre la
    > > stessa
    > > e
    > > > quindi tentativo dopo tentativo prima o
    > poi
    > > si
    > > > crakka , se la password cambiasse ogni
    > volta
    > > > sarebbe impossibile superare la
    > > > protezione.
    > >
    > > Newbie, inespertoNewbie, inesperto
    > poca fantasia vero?

    nella sicurezza non ci vuole tanta fantasia. Basta attenersi a semplici regole. Non sono abbastanza semplici per tutti? Pazienza.
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: Pietro
    > > - Scritto da: PandaR1
    > > > - Scritto da: Pietro
    > > > > il problema che rende le password
    > > deboli è
    > > il
    > > > > fatto che la password rimane
    > sempre
    > la
    > > > stessa
    > > > e
    > > > > quindi tentativo dopo tentativo
    > prima
    > o
    > > poi
    > > > si
    > > > > crakka , se la password cambiasse
    > ogni
    > > volta
    > > > > sarebbe impossibile superare la
    > > > > protezione.
    > > >
    > > > Newbie, inespertoNewbie, inesperto
    > > poca fantasia vero?
    >
    > nella sicurezza non ci vuole tanta fantasia.
    > Basta attenersi a semplici regole. Non sono
    > abbastanza semplici per tutti?
    > Pazienza.
    Prova, fai uno sforzo, immagina un sistema dove ci sia poco da ricordare ma la password cambia ogni volta
    non+autenticato
  • - Scritto da: Pietro
    > - Scritto da: PandaR1
    > > - Scritto da: Pietro
    > > > - Scritto da: PandaR1
    > > > > - Scritto da: Pietro
    > > > > > il problema che rende le
    > password
    > > > deboli è
    > > > il
    > > > > > fatto che la password rimane
    > > sempre
    > > la
    > > > > stessa
    > > > > e
    > > > > > quindi tentativo dopo
    > tentativo
    > > prima
    > > o
    > > > poi
    > > > > si
    > > > > > crakka , se la password
    > cambiasse
    > > ogni
    > > > volta
    > > > > > sarebbe impossibile superare
    > la
    > > > > > protezione.
    > > > >
    > > > > Newbie, inespertoNewbie, inesperto
    > > > poca fantasia vero?
    > >
    > > nella sicurezza non ci vuole tanta fantasia.
    > > Basta attenersi a semplici regole. Non sono
    > > abbastanza semplici per tutti?
    > > Pazienza.
    > Prova, fai uno sforzo, immagina un sistema dove
    > ci sia poco da ricordare ma la password cambia
    > ogni
    > volta

    ti consiglio un timestamp come otp.

    Saluti
    non+autenticato
  • - Scritto da: Pietro
    > il problema che rende le password deboli è il
    > fatto che la password rimane sempre la stessa e
    > quindi tentativo dopo tentativo prima o poi si
    > crakka , se la password cambiasse ogni volta
    > sarebbe impossibile superare la
    > protezione.
    le infrastrutture che *ospitano*
    > le credenziali spesso non sono altrettanto
    > affidabili, dato che alcuni registrano ancora
    > le password in chiaro nel db, anziché usare metodi
    > universalmente noti come salt+hash

    fixed
    non+autenticato
  • - Scritto da: peppino
    > - Scritto da: Pietro
    > > il problema che rende le password deboli è il
    > > fatto che la password rimane
    > sempre la stessa
    > e
    > > quindi tentativo dopo tentativo prima o poi
    > si
    > > crakka , se la password cambiasse ogni volta
    > > sarebbe impossibile superare la
    > > protezione.
    le infrastrutture
    > che
    > *ospitano*
    > > le credenziali spesso non sono altrettanto
    > > affidabili, dato che alcuni registrano ancora
    > > le password in chiaro nel db, anziché usare
    > metodi
    > > universalmente noti come salt+hash
    >
    > fixed
    completamente diverso da quello che ho detto e non modifica il problema
    non+autenticato
  • Password? Capirai, se cani e porci hanno accesso ai nostri terminali (phon, desk, note/netbook, quello che vi pare) le password di fatto sono pura monnezza.

    Ci bucano in un attimo, le vulnerabilità venute a galla dal datagate ad oggi mettono in evidenza una realtà impietosa, non importa se windoze uefi 10 spy-metria, Androcess sonda intestinale, MacachIOS cloud/store sfonnato, Micro$Red-Hat & Co. aka deBBian contratto "$ociale" systemd e tutti i figliocci suoi (utumbu amazon edition e mint les incompétents ISO bulgare).

    Solo questi che ho citato mettono insieme più del 99% dell' utenza mondiale e fanno tutti c-g-r-.

    Tutto bucato e per favore niente idealismi FOSS del tipo 10-100-1000 occhi: openssl é un colabrodo, il kernel linux é bloatware ultrablobbato per ammissione dello stesso Torvalds, openssh bloatware sforacchiato di fresco, bloatware anche libc (C++), bloatware gcc (C++), TOR percolato e via discorrendo.

    Poi ci sono i fan dell' "hardenizzato", quelli che "io no! Io sono skilled ergo immune". Purtroppo i metodi utiizzati fanno tutti schifo: (selinux = sintassi assiro-babilonese by NSA LoL), apparmor é un fallimento (insieme al concetto di sandbox), PAM meglio conosciuto come SCAM (swiss cheese auth mod) (:)) ecc... ecc...

    Questo dovrebbe bastare a far capire un po' a chiunque la situazione tuttaltro che rosea (cercatevi i link come fanno gli uomini veri invece di frignare facendo la parte dei bambini offesi), ma voglio andare avanti e dare la mazzata finale: per un attimo pensate a tutta questa spazzatura in esecuzione dentro un aborto storico chiamato X11... e qui mi viene da piangere!

    Decenni di programmazione hanno dato vita ad un superbloatware da 13 milioni di linee di codice che ha come principale caratteristica quello di essere il migliore, il più persistente e stabile keylogger (e non solo) del mondo *nix. Cioé, gli *nix (TUTTI) fano ca**re da linea di comando, se ci aggiungiamo il server grafico (si struttura client/server sob) diventa una pagliacciata totale.

    Tanto per fare un esempio il README di xterm inizia così:

    "Abandon All Hope, Ye Who Enter Here"

    https://gist.github.com/danmilon/4719562

    Non c'é male o meglio non c'é bene!

    Non condanno al 100% il FOSS, la sua funzione é quella di offrire una piattaforma a tutti coloro che giustamente non sono disposti a pagare per del software ancora più schifoso di quello che viene dato via gratis.

    Di fatto il closed é anche peggio, allo spaghetti code si somma la backdoor di default difficilissima da scovare...

    Ma torniamo alla macchietta delle password...

    Tutto é sotto il controllo di un' unica potentissima nazione con due scopi principali: primo quello di rastrellare informazioni al fine di mantenere l' establishment. Secondo fare soldi, ma proprio tanti soldi che servono per... mantenere l' establishment!

    Anche un bambino capirebbe che in un simile scenario la "sicurezza" é solo di intralcio.

    Parlare di privacy in assenza di comunicazioni sicure non ha proprio senso, é una delle parole che con l' avvento del "big brother MITM social way of life" ha perso ogni significato.

    E tu feissssbuk, e tu twitty, e tu gugguli, e tu il DNuSa, e tu cool (:|), e tu wintel, e tu amd, e tu cisco, e tu HP, e tu Redmond, e tu United States of Cloud e tutti coloro ti conoscono meglio di tua madre e i dati nelle loro mani vita natural durante... la password é l' ultimo dei tuoi problemi.

    Per quelli dotati di buona volontà e di un pizzico di saggezza un consiglio: dati sensibili alla larga dagli host, fate in modo che il vostro terminale Internet, qualunque esso sia non abbia niente da nascondere.
    non+autenticato
  • Uff, tutt' altro... refuso.
    non+autenticato
  • - Scritto da: percolato come te
    > Password? Capirai, se cani e porci hanno accesso
    > ai nostri terminali (phon, desk, note/netbook,
    > quello che vi pare) le password di fatto sono
    > pura
    > monnezza.
    >
    > Ci bucano in un attimo, le vulnerabilità venute a
    > galla dal datagate ad oggi mettono in evidenza
    > una realtà impietosa, non importa se windoze uefi
    > 10 spy-metria, Androcess sonda intestinale,
    > MacachIOS cloud/store sfonnato, Micro$Red-Hat &
    > Co. aka deBBian contratto "$ociale" systemd e
    > tutti i figliocci suoi (utumbu amazon edition e
    > mint les incompétents ISO
    > bulgare).
    >
    > Solo questi che ho citato mettono insieme più del
    > 99% dell' utenza mondiale e fanno tutti
    > c-g-r-.
    >
    > Tutto bucato e per favore niente idealismi FOSS
    > del tipo 10-100-1000 occhi: openssl é un
    > colabrodo, il kernel linux é bloatware
    > ultrablobbato per ammissione dello stesso
    > Torvalds, openssh bloatware sforacchiato di
    > fresco, bloatware anche libc (C++), bloatware gcc
    > (C++), TOR percolato e via
    > discorrendo.
    >
    > Poi ci sono i fan dell' "hardenizzato", quelli
    > che "io no! Io sono skilled ergo immune".
    > Purtroppo i metodi utiizzati fanno tutti schifo:
    > (selinux = sintassi assiro-babilonese by NSA
    > LoL), apparmor é un fallimento (insieme al
    > concetto di sandbox), PAM meglio conosciuto come
    > SCAM (swiss cheese auth mod) (:)) ecc... ecc...
    >
    >
    > Questo dovrebbe bastare a far capire un po' a
    > chiunque la situazione tuttaltro che rosea
    > (cercatevi i link come fanno gli uomini veri
    > invece di frignare facendo la parte dei bambini
    > offesi), ma voglio andare avanti e dare la
    > mazzata finale: per un attimo pensate a tutta
    > questa spazzatura in esecuzione dentro un aborto
    > storico chiamato X11... e qui mi viene da
    > piangere!
    >
    > Decenni di programmazione hanno dato vita ad un
    > superbloatware da 13 milioni di linee di codice
    > che ha come principale caratteristica quello di
    > essere il migliore, il più persistente e stabile
    > keylogger (e non solo) del mondo *nix. Cioé, gli
    > *nix (TUTTI) fano ca**re da linea di comando, se
    > ci aggiungiamo il server grafico (si struttura
    > client/server sob) diventa una pagliacciata
    > totale.
    >
    > Tanto per fare un esempio il README di xterm
    > inizia
    > così:
    >
    > "Abandon All Hope, Ye Who Enter Here"
    >
    > https://gist.github.com/danmilon/4719562
    >
    > Non c'é male o meglio non c'é bene!
    >
    > Non condanno al 100% il FOSS, la sua funzione é
    > quella di offrire una piattaforma a tutti coloro
    > che giustamente non sono disposti a pagare per
    > del software ancora più schifoso di quello che
    > viene dato via
    > gratis.
    >
    > Di fatto il closed é anche peggio, allo spaghetti
    > code si somma la backdoor di default
    > difficilissima da
    > scovare...
    >
    > Ma torniamo alla macchietta delle password...
    >
    > Tutto é sotto il controllo di un' unica
    > potentissima nazione con due scopi principali:
    > primo quello di rastrellare informazioni al fine
    > di mantenere l' establishment. Secondo fare
    > soldi, ma proprio tanti soldi che servono per...
    > mantenere l'
    > establishment!
    >
    > Anche un bambino capirebbe che in un simile
    > scenario la "sicurezza" é solo di
    > intralcio.
    >
    > Parlare di privacy in assenza di comunicazioni
    > sicure non ha proprio senso, é una delle parole
    > che con l' avvento del "big brother MITM social
    > way of life" ha perso ogni
    > significato.
    >
    > E tu feissssbuk, e tu twitty, e tu gugguli, e tu
    > il DNuSa, e tu cool (:|), e tu wintel, e tu amd,
    > e tu cisco, e tu HP, e tu Redmond, e tu United
    > States of Cloud e tutti coloro ti conoscono
    > meglio di tua madre e i dati nelle loro mani vita
    > natural durante... la password é l' ultimo dei
    > tuoi
    > problemi.
    >
    > Per quelli dotati di buona volontà e di un
    > pizzico di saggezza un consiglio: dati sensibili
    > alla larga dagli host, fate in modo che il
    > vostro terminale Internet
    , qualunque esso sia
    > non abbia niente da
    > nascondere.
    Se fosse veramente come dici tu perchè in Usa si stanno strappando i capelii di fronte ad un iPhone chiuso, hanno tirato in ballo anche la corte suprema, aprirlo dovrebbe essere una passeggiata
    non+autenticato
  • Le password devono stare sul cloud sempre a disposizione delle autorita' competententi
    non+autenticato
  • - Scritto da: mondo sicuro
    > Le password devono stare sul cloud sempre a
    > disposizione delle autorita'
    > competententi

    Ma per carita'!
    Una cosa del genere e' assolutamente improponibile.
    Molto meglio obbligare a trasmettere sempre in chiaro!
  • le vostre credenziali rimangono sul dispositivo usato.
    perdi quello ed hai voglia a cambiare le impronte digitali... fergato per sempre.
    non+autenticato
  • Non sono molto convinto che sia il caso di elogiare i sistemi a riconoscimento biometrico .
    Alla fine il dato biometrico viene convertito in nientepopodimeno che ... una password ( vogliamo chiamarla chiave ? Fa lo stesso) , quindi chi pesca a strascico se non ci sono ulteriori misure di sicurezza verra' anche facilitato perche' una volta intercettato il "codice supersicuro" questo non potra' nemmeno essere cambiato ...

    Se usiamo il tutto per autenticarci ad un sito ( mettiamo https come requisito di base ) e noi abbiamo un certificato valido per la copia del sito ( magari creiamo un dominio banca_.com invece di banca.com ) ci prendiamo la chiave e via .

    Torniamo al solito discorso dei markettari .... la password super sicura e' "@#238fhgjtua8_AD_@#[" ( che nessuno se la ricorda ) , un informatico vi dira' che una password molto sicura e' "c'era una volta in un paese lontano lontano in una casetta in via 24 maggio numero 40 ..." il tempo necessario a un crack brute force della prima ( 256^20 tentativi ( 1,4 x 10^48) e' nettamente inferiore a quello della seconda ( 37^60 tentativi 1,2 *10^94) ammesso che si sappia che la seconda non ha caratteri speciali e maiuscole minuscole altimenti il tempo per la seconda diventa 256^60 circa 3*10^144)   ... e la seconda si ricorda molto meglio

    certo strisciare il dito e' piu' comodo che scrivere 60 caratteri ...
    ma i 60 caratteri li cambio quando voglio Sorride il dito e' appena appena piu' difficile
    non+autenticato
  • - Scritto da: Lorenzo
    > certo strisciare il dito e' piu' comodo che
    > scrivere 60 caratteri ...
    > ma i 60 caratteri li cambio quando voglio Sorride il
    > dito e' appena appena piu' difficile

    Non solo il dito è una password che non puoi cambiare...

    ...ma ne lasci una copia su tutto quello che tocchi!! Rotola dal ridere
  • - Scritto da: bradipao
    > - Scritto da: Lorenzo
    > > certo strisciare il dito e' piu' comodo che
    > > scrivere 60 caratteri ...
    > > ma i 60 caratteri li cambio quando voglio Sorride il
    > > dito e' appena appena piu' difficile
    >
    > Non solo il dito è una password che non puoi
    > cambiare...
    >
    > ...ma ne lasci una copia su tutto quello che
    > tocchi!!
    > Rotola dal ridere

    il dito non è una password. E' una username.
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: bradipao
    > > - Scritto da: Lorenzo
    > > > certo strisciare il dito e' piu' comodo
    > che
    > > > scrivere 60 caratteri ...
    > > > ma i 60 caratteri li cambio quando
    > voglio Sorride
    > il
    > > > dito e' appena appena piu' difficile
    > >
    > > Non solo il dito è una password che non puoi
    > > cambiare...
    > >
    > > ...ma ne lasci una copia su tutto quello che
    > > tocchi!!
    > > Rotola dal ridere
    >
    > il dito non è una password. E' una username.

    Ancora peggio.
    Renderebbe impossibile l'anonimato, il morphing e il trolling.
  • - Scritto da: panda rossa
    > - Scritto da: PandaR1
    > > - Scritto da: bradipao
    > > > - Scritto da: Lorenzo
    > > > > certo strisciare il dito e' piu'
    > comodo
    > > che
    > > > > scrivere 60 caratteri ...
    > > > > ma i 60 caratteri li cambio quando
    > > voglio Sorride
    > > il
    > > > > dito e' appena appena piu'
    > difficile
    > > >
    > > > Non solo il dito è una password che non
    > puoi
    > > > cambiare...
    > > >
    > > > ...ma ne lasci una copia su tutto
    > quello
    > che
    > > > tocchi!!
    > > > Rotola dal ridere
    > >
    > > il dito non è una password. E' una username.
    >
    > Ancora peggio.
    > Renderebbe impossibile l'anonimato, il morphing e
    > il
    > trolling.

    per quello basta comprarsi uno di questi Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: PandaR1

    >
    > per quello basta comprarsi uno di questi


    Cos'e'? Newbie, inesperto
    E soprattutto a cosa serve?
  • - Scritto da: panda rossa
    > - Scritto da: PandaR1
    >
    > >
    > > per quello basta comprarsi uno di questi
    >
    >
    > Cos'e'? Newbie, inesperto
    > E soprattutto a cosa serve?

    E' un gadget per signore reperibile in ogni sexy-shop
  • - Scritto da: rockroll
    > - Scritto da: panda rossa
    > > - Scritto da: PandaR1
    > > Cos'e'? Newbie, inesperto
    > > E soprattutto a cosa serve?
    >
    > E' un gadget per signore reperibile in ogni
    > sexy-shop
    Però agganciato alla parete starebbe bene anche come appendiabitiSorride
    non+autenticato
  • - Scritto da: rockroll
    > - Scritto da: panda rossa
    > > - Scritto da: PandaR1
    > >
    > > >
    > > > per quello basta comprarsi uno di questi
    > >
    > >
    > > Cos'e'? Newbie, inesperto
    > > E soprattutto a cosa serve?
    >
    > E' un gadget per signore reperibile in ogni
    > sexy-shop
    per signore senza dita?
    non+autenticato
  • Fumo sì, ma anche quello che viene riportato. Tante parole, nessun fatto.
    non+autenticato
  • - Scritto da: Lorenzo
    > Non sono molto convinto che sia il caso di
    > elogiare i sistemi a riconoscimento biometrico
    > .
    > Alla fine il dato biometrico viene convertito in
    > nientepopodimeno che ... una password ( vogliamo
    > chiamarla chiave ? Fa lo stesso) , quindi chi
    > pesca a strascico se non ci sono ulteriori misure
    > di sicurezza verra' anche facilitato perche' una
    > volta intercettato il "codice supersicuro" questo
    > non potra' nemmeno essere cambiato ...
    >
    >
    > Se usiamo il tutto per autenticarci ad un sito (
    > mettiamo https come requisito di base ) e noi
    > abbiamo un certificato valido per la copia del
    > sito ( magari creiamo un dominio banca_.com
    > invece di banca.com ) ci prendiamo la chiave e
    > via .
    >
    >
    > Torniamo al solito discorso dei markettari ....
    > la password super sicura e'
    > "@#238fhgjtua8_AD_@#[" ( che nessuno se la
    > ricorda ) , un informatico vi dira' che una
    > password molto sicura e' "c'era una volta in un
    > paese lontano lontano in una casetta in via 24
    > maggio numero 40 ..." il tempo necessario a un
    > crack brute force della prima ( 256^20 tentativi
    > ( 1,4 x 10^48) e' nettamente inferiore a quello
    > della seconda ( 37^60 tentativi 1,2 *10^94)
    > ammesso che si sappia che la seconda non ha
    > caratteri speciali e maiuscole minuscole
    > altimenti il tempo per la seconda diventa 256^60
    > circa 3*10^144)   ... e la seconda si ricorda
    > molto meglio
    >
    >
    > certo strisciare il dito e' piu' comodo che
    > scrivere 60 caratteri ...
    >
    > ma i 60 caratteri li cambio quando voglio Sorride il
    > dito e' appena appena piu'
    > difficile
    ci sarebbe un sistema semplice per rendere molto più sicure le password attuali, basterebbe che il sistema richiedesse un minuto di attesa tra un tentativo e un altro, in modo tale che se anche la password giusta fosse digitata prima che sia trascorso il minuto verrebbe considerata sbagliata.
    I tempi di crack diventerebbero infiniti.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)