Post AJ9N1MY7Eg2abuTJVw by Vega@livellosegreto.it
(DIR) More posts by Vega@livellosegreto.it
(DIR) Post #AJ92YdGc0E38yiJ7qa by Songase975@mastodon.uno
2022-05-05T14:27:00Z
0 likes, 1 repeats
#Google, #Microsoft e #Apple uniti per abbandonare le #password, si va verso il riconoscimento biometrico (del viso o dell'impronta digitale). https://www.ilsoftware.it/articoli.asp?tag=Addio-password-alleanza-tra-Apple-Google-e-Microsoft-intorno-allo-standard-FIDO_24474 Come vedete questo cambiamento?(Grazie a chi boosterà per diffondere il sondaggio)#worldpasswordday
(DIR) Post #AJ95jb5sipchHpCzZY by Shamar@qoto.org
2022-05-05T15:09:20Z
0 likes, 0 repeats
@Songase975 Malissimo.I dati biometrici possono al massimo essere usati per l'identificazione, non per l'autenticazione:1. le impronte non si possono sostituire facilmente2. può bastare un pugno sul naso ben dato per impedirti di sbloccare il cellulare per chiamare aiutoInoltre la copia dei dati non lascia tracce che fai dopo un #databreach? e chi dispone delle tue facial feature potrà poi identificarti per sempre ed ovunque.Cosa dimentico @prevenzione ?
(DIR) Post #AJ96ptQ9azbjonFxzs by prevenzione@mastodon.uno
2022-05-05T15:21:40Z
0 likes, 1 repeats
@Shamar @Songase975 Questo progetto presenta molte criticità, e ne hai elencato tante giuste. A me preoccupa anche la signoria del volere. Mi spiego meglio, se devo usare una password sono sicuro di farlo solo se voglio farlo. Sbloccare un dispositivo biometrico è molto facile Anche se il soggetto non vuole collaborare. Anche il perimetro del rischio diventa enorme. Io uso password diverse per ogni cosa e comprometterne una implica un danno limitato.
(DIR) Post #AJ972wHyFAkuTgeM3k by prevenzione@mastodon.uno
2022-05-05T15:24:02Z
0 likes, 1 repeats
@Shamar @Songase975 un altro elemento da considerare potrebbe essere questo, però bisogna iniziare a pensare male con un po’ di malizia:questo sistema rende elementare la profila azione dell’utente attraverso diversi servizi. Se mi autentico individualmente su ciascuno di essi, profilarmi o tracciarmi diventa più complicato ….ed è per questo che erano nati i cookies. oggi i cookies stanno morendo e forse questo progetto è la nuova era del tracciamento
(DIR) Post #AJ98Wx91j6Pdm1LGfg by margio@indieweb.social
2022-05-05T15:39:19Z
0 likes, 0 repeats
@prevenzione @Shamar @Songase975 temo che in queste critiche ci sia poca comprensione dell’argomento, se posso dirlo. 😔
(DIR) Post #AJ98WxvEpqyeBXtlom by Shamar@qoto.org
2022-05-05T15:40:38Z
0 likes, 0 repeats
@margio beh... bene!Sono sempre molto felice di imparare cose nuove...puoi essere un po' più specifico?@prevenzione @Songase975
(DIR) Post #AJ99ZLdXjgncGgK0Su by margio@indieweb.social
2022-05-05T15:46:10Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 l’ideale è partire da “come funziona FIDO” (https://fidoalliance.org/how-fido-works/) per poi passare a “come vengono generati, gestiti, protetti e storati quei dati (biometrici etc) sui device moderni”. Su questo secondo punto se ritrovo i link ad un po’ di thread e documentazione vi giro tutto (ma non prometto nulla: è roba di più di un anno fa). 😉
(DIR) Post #AJ99ZU3MRaCkN4Sjom by margio@indieweb.social
2022-05-05T15:49:50Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 comunque già leggendo qualcosa su Secure Enclave ci si inizia a fare un’idea: https://www.howtogeek.com/339705/what-is-apples-secure-enclave-and-how-does-it-protect-my-iphone-or-mac/
(DIR) Post #AJ9CW0MQgPE7H8Pkau by margio@indieweb.social
2022-05-05T15:53:44Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 in definitiva e molto semplicisticamente: l’approccio di cui parlano Google, Apple e Microsoft è molto più sicuro rispetto ai metodi (ormai) tradizionali IMHO. PS: a patto di avere con se un loro device. (Sull’opportunità di questo PS si potrebbe discutere per mesi, ma è un altro discorso)
(DIR) Post #AJ9CW1EJS4KPyFcma8 by Shamar@qoto.org
2022-05-05T16:25:17Z
0 likes, 0 repeats
@margio Ah la #SecureEnclave che è stata decriptata nel 2017 e bucata nel 2020?https://9to5mac.com/2020/08/01/new-unpatchable-exploit-allegedly-found-on-apples-secure-enclave-chip-heres-what-it-could-mean/Più o meno le stesse promesse offerte da Intel SGX le cui vulnerabilità sono ampiamente documentate https://en.wikipedia.org/wiki/Software_Guard_Extensions#Attacks (la mia preferita è la LVI)Chi ha accesso fisico all'hardware può fare quel che vuole. E non è affatto difficile ottenerlo, perché il cellulare te lo porti dappertutto.Leggi cosa riescono a farci i professionisti: https://www.journalofdemocracy.org/articles/subversion-inc-the-age-of-private-espionage/> a patto di avere con se un loro deviceEsatto.Nonostante tutte queste vulnerabilità, queste aziende investono su queste tecnologie proprio per poter avere tutte le uova di tutti nel proprio paniere.Nemmeno una basilare differenziazione del rischio.E se mai dovesse servire, loro possono inviarti un bell'aggiornamento di sicurezza personalizzato, prendere tutti i dati biometrici che tu ritieni al sicuro nella "Secure Enclave" e nascondere tutto prima del secondo riavvio.Invece una password che sai solo tu e puoi cambiare quando ti pare non ti espone a questi rischi.Ma io ne capisco poco eh... 😉 @prevenzione @Songase975
(DIR) Post #AJ9FlzKeZhkma4texE by margio@indieweb.social
2022-05-05T17:01:47Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 nel momento in cui hanno motivazione e risorse per puntare te, rubarti il device e tenerselo abbastanza senza che te ne accorga, bucarlo, etc... Il problema non mi pare essere più FIDO o Secure Enclave. Ed è lapalissiano che come modello di attacco sia enne volte più costoso rispetto a qualsiasi altra cosa.
(DIR) Post #AJ9LaaKfmYuJaLqrPk by margio@indieweb.social
2022-05-05T17:34:48Z
0 likes, 0 repeats
@minimalprocedure @Shamar @prevenzione @Songase975 però onestamente mi pare che i dati biometrici siano notevolmente più sicuri delle password. Possono essere crackati? Ma sicuramente. Più difficilmente di una password? Credo proprio di sì.
(DIR) Post #AJ9LaazRKzW7cmvPxQ by Shamar@qoto.org
2022-05-05T18:06:58Z
0 likes, 0 repeats
@margioLe impronte digitali le lasci letteralmente su ogni cosa che tocchi.Il volto su ogni registrazione di ogni telecamera di sicurezza cui passi vicino.La voce in ogni stanza in cui entri (ed in ogni videoconferenza).Dunque i dati biometrici sono molto MOLTO più FACILI da sottrarre di una password.Una volta ottenute le tue impronte digitali per installare una backdoor sul tuo cellulare bloccato bastano pochi secondi.Una password è molto PIÙ sicura.Anche se ne hai centinaia (come me) e senza alcuno schema, puoi usare uno o più password manager OFFLINE a seconda della frequenza e dei luoghi/contesti in cui le utilizzi e dell'impatto che avrebbe la loro compromissione.Naturalmente questa gestione richiede consapevolezza.La stessa consapevolezza per cui non ci si fida di #SGX/#SecureEnclave, per cui non ci si fida dei #GAFAM e si utilizzano password (o chiavi crittografiche) diverse per ogni utenza.Una consapevolezza che non puoi sostituire con una soluzione tecnologica.Per altro, affidare dati biometrici a #Google, #Microsoft e #Apple è peggio che affidare le galline al lupo, perché almeno se il lupo mangia la gallina te ne accorgi!@minimalprocedure @prevenzione @Songase975
(DIR) Post #AJ9MqC9jXNMZBtk4R6 by Vega@livellosegreto.it
2022-05-05T18:20:59Z
0 likes, 0 repeats
@Shamar Concordo con Shamar, i dati biometrici sono al meglio meno sicuri delle password, ed alla peggio sono un danno insanabile nel caso venissero trafugate. Gli sviluppatori di GrapheneOS (persone orribili ma sanno quello che fanno) hanno implementato un codice aggiuntivo da inserire dopo l'impronta digitale, proprio perchè come misura di sicurezza è insufficiente, rispetto ai loro standard. 1/2@margio @minimalprocedure @prevenzione @Songase975
(DIR) Post #AJ9MtpSzpzSjynU8CO by Vega@livellosegreto.it
2022-05-05T18:21:40Z
0 likes, 0 repeats
@Shamar Concordo con Shamar, i dati biometrici sono al meglio meno sicuri delle password, ed alla peggio sono un danno insanabile nel caso venissero trafugate. Gli sviluppatori di GrapheneOS (persone orribili ma sanno quello che fanno) hanno implementato un codice aggiuntivo da inserire dopo l'impronta digitale, proprio perchè come misura di sicurezza è insufficiente, rispetto ai loro standard. 1/3@margio @minimalprocedure @prevenzione @Songase975
(DIR) Post #AJ9N1MY7Eg2abuTJVw by Vega@livellosegreto.it
2022-05-05T18:23:02Z
0 likes, 0 repeats
@Shamar Concordo con Shamar, i dati biometrici sono al meglio meno sicuri delle password, ed alla peggio sono un danno insanabile nel caso venissero trafugate. Gli sviluppatori di GrapheneOS (persone orribili ma sanno quello che fanno) hanno implementato un codice aggiuntivo da inserire dopo l'impronta digitale, proprio perchè come misura di sicurezza è insufficiente, rispetto ai loro standard. 1/2@margio @minimalprocedure @prevenzione @Songase975
(DIR) Post #AJ9N70tqdnO9CfKbyq by margio@indieweb.social
2022-05-05T17:02:05Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 Di contro, ribaltando il punto di vista, un hash univoco generato dal device ed usato per confermare un login dopo riconoscimento biometrico per ogni sito/servizio sarebbe meglio del 99,9% delle password (e 2FA) usate dalle persone normali.
(DIR) Post #AJ9N71edpoopXnDyuu by margio@indieweb.social
2022-05-05T17:02:24Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 Te dici “una password che sai solo tu”: è semplicistico e non tiene conto della realtà. A meno che uno non riesca a tenere a mente qualche centinaio di password complesse senza bisogno di metterle in un wallet… ma non mi sembra il caso per la quasi totalità delle persone ecco.
(DIR) Post #AJ9N72MxB4GRlDxMzA by Songase975@mastodon.uno
2022-05-05T17:08:40Z
0 likes, 0 repeats
@margio perché qualche centinaio? Banca, posta, computer. Sono tre. Ah, Inps e servizio sanitario. Cinque. Esageriamo e diciamo dieci? Ok, ma qualche centinaio mi pare fuori dalla realtà. @Shamar @prevenzione
(DIR) Post #AJ9N734YYx8twSMBwu by margio@indieweb.social
2022-05-05T17:12:00Z
0 likes, 0 repeats
@Songase975 @Shamar @prevenzione non saprei: io ho più di 160 pass nel wallet. In media su uno smartphone quante app con relativi account ci sono? 20? 30? 40? 50? E account su semplici siti?
(DIR) Post #AJ9N73qlfhhuLyuh60 by margio@indieweb.social
2022-05-05T17:14:10Z
0 likes, 0 repeats
@Songase975 @Shamar @prevenzione ma anche fossero solo 10, complesse, come si può pensare che la maggior parte delle persone possa ricordare? E comunque si parla proprio di un altro paradigma: non stiamo parlando di un gestore di password ma di un altro sistema proprio (a livello logico). (E torniamo a come funziona FIDO)
(DIR) Post #AJ9N74UTI5SyL7UOyu by Perugiasostenibile@sociale.network
2022-05-05T17:37:55Z
0 likes, 0 repeats
@margio @Songase975 @Shamar @prevenzionePersonalmente, dopo una serie di avvisi di pw compromesse dal mio account Google , ho trovato un metodo abbastanza sicuro con pw lunghe 9 caratteri con i seguenti criteri Mm1# tutte diverse, tutte non memorizzate. Certo che trovata la chiave di una si scoprono le altre. Ma dico che mi dovrebbero puntare, far le prove del caso e poi avere un effettivo vantaggio. Per esempio sul lavoro utilizzo un altro criterio a 9 caratteri misti m1#.
(DIR) Post #AJ9N758AuTE2KG46ro by Perugiasostenibile@sociale.network
2022-05-05T17:39:24Z
0 likes, 0 repeats
@margio @Songase975 @Shamar @prevenzioneIn ogni caso sono circa 100 pw tutte diverse.
(DIR) Post #AJ9N75rYBlWOazILaq by Shamar@qoto.org
2022-05-05T18:23:55Z
0 likes, 0 repeats
@PerugiasostenibileSe mi posso permettere un consiglio, cambia subito approccio.Se trovata la chiave di una si scoprono le altre, considera tutti gli account in questione compromessi.La probabilità che nessuno dei servizi in cui le hai usate abbia subito un databreach decresce esponenzialmente con ogni nuovo servizio.Se la probabilità di un databreach è 0.1%, con 100 servizi la probabilità che nessuno sia stato bucato è del 90.47% (0.999¹⁰⁰).Ovvero hai il 10% circa di probabilità che tutte le password che seguono quello schema siano state compromesse.9 caratteri poi sono pochissimi anche contro un brute force.Fra i 40 e i 50 bit di entropia.Una password decente deve stare sopra i 100-120 bit.Adotta password manager offline decenti e usa password migliori.È un buon consiglio.@margio @Songase975 @prevenzione
(DIR) Post #AJ9N7QX3LAbShUrm3k by margio@indieweb.social
2022-05-05T17:02:40Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 Quanto al “possono inviarti un bel aggiornamento personalizzato…”: non stiamo parlando di bersagli di alto profilo ma di scenari realistici.Dall'ultima tua frase mi sembra che forse io mi sia sono espresso male ed abbia lasciato intendere che tu ne capissi poco. Non era mia intenzione anche perché non ci conosciamo: se lo avessi pensato lo avrei scritto molto chiaramente.
(DIR) Post #AJ9N7l2H6nSgI7czVA by margio@indieweb.social
2022-05-05T17:04:45Z
0 likes, 0 repeats
@Shamar @prevenzione @Songase975 (ci sarà qualche typo sparso quindi scusatemi in anticipo 🙏🏻)
(DIR) Post #AJ9RoZjFQGwjUaOtfs by Perugiasostenibile@sociale.network
2022-05-05T19:16:44Z
0 likes, 0 repeats
@Shamar @margio @Songase975 @prevenzione grazie. Nella mia ignoranza e nella consapevolezza che ogni buco rappresenta un potenziale danno personale o aziendale approfondisco e adotto.
(DIR) Post #AJ9WJ700gkIBBO3cq8 by Songase975@mastodon.uno
2022-05-05T15:41:49Z
0 likes, 0 repeats
@margio siamo qui proprio per confrontarci e arricchirci reciprocamente, no? Io per prima ammetto di essere ignorante, per questo vorrei approfondire. @prevenzione @Shamar
(DIR) Post #AJ9WJ7hG5wt3LWIAFc by boxer@mastodon.uno
2022-05-05T15:44:38Z
0 likes, 0 repeats
@Songase975 @margio @prevenzione @Shamar mi avete fatto pensare allo sblocco tramite impronta che ho impostato per alcune app sul mio cellulare. Che rischi corro? Per il resto grazie a tutti: sto ampliando le mie conoscenze (ed aumentando i dubbi). Direi che questo social sia davvero un posto paradisiaco per chi vuole imparare qualcosa di nuovo
(DIR) Post #AJ9WJ8JtmHnNHMN1Tk by Vega@livellosegreto.it
2022-05-05T18:55:37Z
0 likes, 0 repeats
@boxer Se non hai necessità particolari non corri alcun rischio. Una password è più sicura dell'impronta in alcuni casi, ma per la maggior parte degli utenti non c'è reale differenza. Se il tuo threat model è "basso" (dunque non sei in generale un soggetto sensibile) non hai di che preoccuparti @Songase975 @margio @prevenzione @Shamar
(DIR) Post #AJ9WJ8wXSchhDCRshs by Shamar@qoto.org
2022-05-05T20:07:03Z
0 likes, 0 repeats
@VegaPerdonami ma non sono d'accordo.Anzitutto perché le minacce non sono mai tutte note ed il threat modeling non permette di eliminarle, ma di reagire rapidamente quando si presentano per ridurre il loro impatto.Inoltre prepararsi ad affrontare le minacce note facilita la risposta a molte ignote.Poi non esiste un profilo di minaccia "basso".Hassan Mustafa Osama Nasr (detto #AbuOmar) era semplicemente l'Imam di Milano ed è stato pedinato, rapito e torturato.Più o meno una figura equivalente ad un parroco di un Duomo particolarmente importante ed il vescovo di una piccola diocesi.E se sblocchi il tuo telefono con le impronte che lasci su qualsiasi cosa che tocchi, puoi quasi lasciarlo sbloccato.Io consiglio caldamente di NON usare impronte digitali (o qualsiasi altro dato biometrico) come sistema di autenticazione.@boxer @Songase975 @margio @prevenzione
(DIR) Post #AJ9YorTe8NQODWBdce by Vega@livellosegreto.it
2022-05-05T20:35:13Z
0 likes, 0 repeats
@ShamarPer quanto sia spiacevole a dirsi, un Imam in Italia (specialmente se particolarmente esposto) non lo considererei con un threat model comune, anzi... Sui dispositivi mobili che sblocchiamo e riblocchiamo 1000 volte al giorno l'autenticazione tramite impronta é un compromesso che solitamente consiglio perché l'alternativa per molti rischia di essere una password corta con un'entropia bassissima bucabile con un comune PC da salotto@boxer @Songase975 @margio @prevenzione
(DIR) Post #AJ9eK8b12Icw3fMnDM by Shamar@qoto.org
2022-05-05T21:36:55Z
0 likes, 0 repeats
@PerugiasostenibileForse ti può interessare anche questo: http://www.tesio.it/2022/04/22/Fondamenti_di_CyberSecurity.htmlAl termine sono anche menzionati due libri, uno più tecnico/teorico e l'altro più divulgativo che potrebbero interessarti:https://archive.org/details/cittadinanza-digitale-tecnocivismo-librohttps://ima.circex.org
(DIR) Post #AJAG16VBzaAI0osDmy by Perugiasostenibile@sociale.network
2022-05-06T04:39:14Z
0 likes, 0 repeats
@Shamar Ho visto l'inizio e penso che mi sarà molto utile. Grazie.