Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 21 Gen 2013 15:58 Oggetto: Google dichiara guerra alle password |
|
|
Leggi l'articolo Google dichiara guerra alle password
Per Google il sistema attuale è troppo insicuro: la soluzione è una chiavetta con tutti i dati per l'identificazione. E assolutamente da non perdere.
La chiavetta sviluppata da Yubico e presa in considerazione da Google.
|
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 21 Gen 2013 16:25 Oggetto: |
|
|
Mica facile la soluzione... se si ammette una copia unica, come si fa in caso di furto/smarrimento? Se si ammettono copie di backup come proteggerle? |
|
Top |
|
|
ercole69 Eroe in grazia degli dei
Registrato: 22/11/06 09:20 Messaggi: 149
|
Inviato: 21 Gen 2013 18:01 Oggetto: |
|
|
La yubikey è già usata in altri settore: ad esempio in ambito bitcoin si usa per l'accesso in alcuni exchange (e funziona bene).
Se la perdi è un problema, ma risolvibile: devi contattare immediatamente il gestore del servizio (in questo caso google), far disassociare la chiave dall'account e fartene associare un altra. Probablimente esisterà la possibilità di aggirare l'autenticazione magari con un codice via cellulare o simili in caso di problemi. |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 21 Gen 2013 19:52 Oggetto: |
|
|
@pentolino
Di fatto è l'equivalente "evoluto" di Google Authenticator, al posto del
numeretto da scrivere dopo la tua password (come già si fa con le banche
da anni e se hai GMail e Android provalo!) ovvero con una password monouso
verificata dal server con un algoritmo basato sul "tempo" in cui è stata
generata, ti autentica con una chiave software che viene sbloccata in
locale con una password.
In altri termini avresti comunque una password che però ti serve solo
per accedere alla carta non all'account quindi la vulnerabilità della
password può essere sfruttata solo se l'attaccante ha l'anello/carta/* in
mano non "tirando a indovinare" da remoto o keyloggandoti la password in
giro. Se la perdi non so come fai a "farti riconoscere" da Google sia per
averne un'altra sia per bloccare la chiave persa, in banca generalmente
devi andare in filiale dove ti identificano... Ad ogni modo chi la trova
è dura possa mettersi ad attaccare la smartcard trovando anche il tuo
indirizzo mail su cui usarla...
Una cosa carina ad ogni modo può essere finalmente un supporto usabile alle
smartcard da parte di Chrome, ad oggi è una pena mentre con Firefox fai in
un attimo anche se penso non sarà una smartcard ma piuttosto un Google
Authenticator in hw come le classiche chiavette delle banche con qualche
extra "strano"... |
|
Top |
|
|
Mentedigitale Eroe in grazia degli dei
Registrato: 13/12/11 14:59 Messaggi: 91
|
Inviato: 21 Gen 2013 22:11 Oggetto: |
|
|
Perchè non un RFID sottocutaneo? |
|
Top |
|
|
_L_ Semidio
Registrato: 27/12/06 23:47 Messaggi: 215 Residenza: Brugherio (MI)
|
Inviato: 21 Gen 2013 22:43 Oggetto: |
|
|
Citazione: | (Google ipotizza un anello contente il chip di memoria coi dati, così da avere il token sempre con sé) |
Un anello per loggarli tutti
Un anello per tracciarli
Un anello per inserirli
Nel database e profilarli |
|
Top |
|
|
PuppinoCbr Dio minore
Registrato: 10/03/06 17:13 Messaggi: 674 Residenza: Chieti
|
Inviato: 22 Gen 2013 03:14 Oggetto: |
|
|
Spero che possa affiancare la modalità password solita e che prossimamente l'accesso non sarà appannaggio esclusivo di chiavette o altre diavolerie.
Uso il token per la banca, ok. Ma non amerei affatto dover ricorrere ad apparati hardware esterni semplicemente per accedere a gmail o servizi affini. |
|
Top |
|
|
{sirietto} Ospite
|
Inviato: 22 Gen 2013 15:25 Oggetto: |
|
|
Un'idea pellegrina: se non hai la chiavetta non usi il servizio, e se la perdi senza sapere quando, nel frattempo chiunque può loggarsi a tuo nome, se non ci sono altri dati da inserire a mano.
E' quindi una complicazione aggiuntiva.
L'unica alternativa valida è un bel RFID di Orwelliana memoria, come suggerisce Mentedigitale, e forse è questa l'intenzione futura nascosta dietro quest'idea... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 22 Gen 2013 15:34 Oggetto: |
|
|
@PuppinoCbr
Quoto e stra-quoto!
Anzi mi scoccia pure farlo con la Banca on-line!
Forse perchè è in rosso? (se entra qualcuno almeno mi dia dei soldi!)
Inizia ad essere esagerata tutta questa sicurezza che poi basta un occhi su quello che fai!
Ciao |
|
Top |
|
|
dangerin Comune mortale
Registrato: 01/02/11 15:59 Messaggi: 4
|
Inviato: 22 Gen 2013 16:41 Oggetto: |
|
|
Nessuno conosce o usa Logmote ? esiste già da tempo una valida alterantiva |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12823 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 22 Gen 2013 19:09 Oggetto: |
|
|
Potrebbe comunque essere una buona idea, vedremo gli sviluppi.
Per il momento io continuo ad usare KeePass e LastPass. |
|
Top |
|
|
cisco Dio minore
Registrato: 25/09/08 18:41 Messaggi: 779
|
Inviato: 23 Gen 2013 17:20 Oggetto: |
|
|
Certo che non sanno più che cavolo inventarsi, eh?
Ovviamente, ci scommetto, tutto gratis, vero?!
Ora per accedere alla posta devo portarmi dietro un token hardware???
A parte il fatto che una qualsiasi password, anche senza simboli e caratteri speciali, a patto che sia abbastanza lunga come caratteri, è strasicura (sempre che non vogliamo buggerare la Cia).
Certo che se poi l'utente la inserisce nel primo campo di immissione che trova sulla Rete, allora......
Che poi, che cosa avremo di così importante da nascondere, non si sa. |
|
Top |
|
|
amldc Dio maturo
Registrato: 02/05/06 16:21 Messaggi: 1382
|
Inviato: 23 Gen 2013 18:33 Oggetto: |
|
|
Da tempo in molti utilizzano (o devono utilizzare) i token per l'autenticazione con banche e PA. Ultimamente ho preso la chiavetta USB della Carta Nazionale dei Servizi che mi sembra la stessa zuppa di altre soluzioni simili adottate dalle banche. Ho notato che sulla chiavetta (e forse anche nella versione chipcard) possono essere caricati ulteriori token, selezionando poi quello interessato a seconda della necessità.
Basterebbe l'adeguamento generale ad uno standard per poter utilizzare la stessa chiavetta per ogni accesso (oltre a non obbligare all'acquisto di una per ogni fornitore!) e penso che quello adottato dalle banche (e credo dalla CNS) sia già abbastanza diffusa tra enti diversi.
In fondo si tratta di reperire il token dalla chiavetta ed utilizzarlo per autenticare l'accesso, cosa che mi sembra analoga ad utilizzare una unica installazione ed un unico DB di KeePass (o analogo) per memorizzare tutte le proprie password. |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 23 Gen 2013 19:15 Oggetto: |
|
|
@cisco
La password può essere sicura da attacchi a dizionario, ovvero ragionevolmente
inindovinabile, tuttavia se accedi da una macchina non tua o comunque
compromessa chi ti keylogga la password può divertirsi a piacere, volendo
può anche divertirsi chi ti sbircia mentre la scrivi in giro sul portatile
ecc. Con una qualsiasi OTP come il già disponibile ad un anno o più Google
Authenticator avere la password non basta per accedere, avere la chiave ma
non la password idem.
Quel che non capisco è cosa vogliano fare: per capirci non so se sia una
qualche soluzione OTP o una chiave a-la-ssh da sbloccare in locale al
posto della password, se così fosse mi andrebbe solo se la chiave la
genero io, la posso revocare io e non sono legato ad uno specifico
dispositivo ovvero me la posso portar dietro su una smartcard ma se voglio
posso a mio rischio avere la chiave privata su una chiavetta usb e
sbloccarla con una password alla bisogna... Non vedo cmq un gran vantaggio
rispetto all'autenticazione in due passaggi attuale, protegge Google da un
eventuale baco dell'Authenticator ma da un potenziale rischio sulla custodia
della smart-card/anello fisica...
@amldc
La CNS è IMO più che altro l'ennesima porcata partita da un'idea valida, un
po' come la PEC... Non c'è un vendor solo, Infocert ha comprato da più
fornitori, di sicuro almeno Incard e Oberthur, leggendo in giro mi pare
anche ST e tecnicamente potresti usare la tua CNS per loggarti dove ti pare
se avessi un modo di gestirla... Qui il problema è che a parte le OpenPGP e
le JavaCard tutte le altre smartcard sono proprietarie spesso codificate coi
piedi e iperlimitate, senza contare che tutta la "sicurezza extra" stà nella
difficoltà di estrarre la chiave della carta quando non hai il PIN, non so
in concreto quanto sia vantaggiosa per il bipede classico quello che usa
12345 come password o che scrive il pin col pennarello sopra la card... |
|
Top |
|
|
cisco Dio minore
Registrato: 25/09/08 18:41 Messaggi: 779
|
Inviato: 24 Gen 2013 09:36 Oggetto: |
|
|
D'accordo, hai ragione.
Ma penso che per la stragrande maggioranza degli utenti sia di tipo "home", per cui obbligarli ad avere un token per poter guardare quante belle email di SPAM sono arrivate oggi, non mi sembra proponibile.
Io direi: lasciamo decidere agli utenti, no?
Chi avrà "paura" oppure deve accedere da macchine non sue può richiedere questa ennesima chincaglieria. |
|
Top |
|
|
PuppinoCbr Dio minore
Registrato: 10/03/06 17:13 Messaggi: 674 Residenza: Chieti
|
Inviato: 24 Gen 2013 15:31 Oggetto: |
|
|
cisco ha scritto: |
D'accordo, hai ragione.
Ma penso che per la stragrande maggioranza degli utenti sia di tipo "home", per cui obbligarli ad avere un token per poter guardare quante belle email di SPAM sono arrivate oggi, non mi sembra proponibile.
Io direi: lasciamo decidere agli utenti, no?
Chi avrà "paura" oppure deve accedere da macchine non sue può richiedere questa ennesima chincaglieria. |
Pienamente d'accordo! Non sono mica una banca che eventualmente, per qualche utente sprovveduto, è costretta a risarcire in denaro.
Se uno è pollo e non adotta un comportamento minimamente "normale" con le password e altre "pollerie", o è così saggio da scegiere il token in optional (ma se lo fosse non adotterebbe un comportamento da pollo per le password) o sarà costretto, per sua scelta, a far entrare tutti sull'account google. Non mi sembra giusto obbligare e sfavorire utenti più accorti nel far portare sempre dietro uno SCOCCIANTE token! Non ci sto proprio!
Cos'è, una missione di google per sterminare i polli? Quelli ci saranno sempre e non saranno token o coltelli meno affilati a non farli finire in pasto di "famelici" individui. Tutt'al più lasciamo questa missione ad AIA ed AMADORI !
|
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 24 Gen 2013 18:35 Oggetto: |
|
|
La missione penso sia far si che Chrome diventi tocken-based per impedire di
operare fuori dai servizi di Google, dando in cambio servizi che vanno ad oggi
meglio di tutti i concorrenti, dando i "segnalibri che ti vengono dietro" ed
altri ammennicoli vari a tema...
Google sa che per molti bipedi tabletari&smarphonari "il pc è morto" e Google
è sinonimo di Internet o Browser, e tali bipedi gli interessano alquanto... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 24 Gen 2013 19:13 Oggetto: |
|
|
@spacexplorer
Forse l'unica speranza in questo caso è Firefox OS.
C'è già lo smartphone!
Ciao |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 24 Gen 2013 19:20 Oggetto: |
|
|
Mah, l'unica speranza è che esca qualche concorrente di Google con prodotti
migliori, cosa non facile ma manco impossibile; più in generale vedo come
speranza per il computing oggi la community GNU/Linux con Canonical come
portabandiera per il software ed Intel per l'hw, quest'ultima è per me come
una bestemmia però ad oggi sono i bastioni migliori IMO.
FirefoxOS come le manie di nuvole riedizione dei vecchi mainframe sono solo
cetrioli, che faran male, solo aimé non subito... Il computing distribuito
purtroppo non piace a troppi "big" perché con la maggioranza di consumatori
di tecnologia tecno-ignoranti e più in generale non troppo ragionanti si
possa affermare temo... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 24 Gen 2013 19:46 Oggetto: |
|
|
Giusto dimenticavo Ubunto ma guarda che anche FirefoxOS è Linux, anzi si basa Gonk che è un Kernel GNU / Linux ottimizzato per smartphone.
Ciao |
|
Top |
|
|
|