Olimpo Informatico

[Zeus News]

Leggi l'articolo Google dichiara guerra alle password
Per Google il sistema attuale è troppo insicuro: la soluzione è una chiavetta con tutti i dati per l'identificazione. E assolutamente da non perdere.


La chiavetta sviluppata da Yubico e presa in considerazione da Google.

[pentolino]

Mica facile la soluzione... se si ammette una copia unica, come si fa in caso di furto/smarrimento? Se si ammettono copie di backup come proteggerle?

[ercole69]

La yubikey è già usata in altri settore: ad esempio in ambito bitcoin si usa per l'accesso in alcuni exchange (e funziona bene).
Se la perdi è un problema, ma risolvibile: devi contattare immediatamente il gestore del servizio (in questo caso google), far disassociare la chiave dall'account e fartene associare un altra. Probablimente esisterà la possibilità di aggirare l'autenticazione magari con un codice via cellulare o simili in caso di problemi.

[spacexplorer]

@pentolino
Di fatto è l'equivalente "evoluto" di Google Authenticator, al posto del
numeretto da scrivere dopo la tua password (come già si fa con le banche
da anni e se hai GMail e Android provalo!) ovvero con una password monouso
verificata dal server con un algoritmo basato sul "tempo" in cui è stata
generata, ti autentica con una chiave software che viene sbloccata in
locale con una password.

In altri termini avresti comunque una password che però ti serve solo
per accedere alla carta non all'account quindi la vulnerabilità della
password può essere sfruttata solo se l'attaccante ha l'anello/carta/* in
mano non "tirando a indovinare" da remoto o keyloggandoti la password in
giro. Se la perdi non so come fai a "farti riconoscere" da Google sia per
averne un'altra sia per bloccare la chiave persa, in banca generalmente
devi andare in filiale dove ti identificano... Ad ogni modo chi la trova
è dura possa mettersi ad attaccare la smartcard trovando anche il tuo
indirizzo mail su cui usarla...

Una cosa carina ad ogni modo può essere finalmente un supporto usabile alle
smartcard da parte di Chrome, ad oggi è una pena mentre con Firefox fai in
un attimo anche se penso non sarà una smartcard ma piuttosto un Google
Authenticator in hw come le classiche chiavette delle banche con qualche
extra "strano"...

[Mentedigitale]

Perchè non un RFID sottocutaneo?

[_L_]

[PuppinoCbr]

Spero che possa affiancare la modalità password solita e che prossimamente l'accesso non sarà appannaggio esclusivo di chiavette o altre diavolerie.

Uso il token per la banca, ok. Ma non amerei affatto dover ricorrere ad apparati hardware esterni semplicemente per accedere a gmail o servizi affini.

[{sirietto}]

Un'idea pellegrina: se non hai la chiavetta non usi il servizio, e se la perdi senza sapere quando, nel frattempo chiunque può loggarsi a tuo nome, se non ci sono altri dati da inserire a mano.
E' quindi una complicazione aggiuntiva.
L'unica alternativa valida è un bel RFID di Orwelliana memoria, come suggerisce Mentedigitale, e forse è questa l'intenzione futura nascosta dietro quest'idea...

[mda]

@PuppinoCbr

Quoto e stra-quoto!

Anzi mi scoccia pure farlo con la Banca on-line!

Forse perchè è in rosso? (se entra qualcuno almeno mi dia dei soldi!)

Inizia ad essere esagerata tutta questa sicurezza che poi basta un occhi su quello che fai!


Ciao

[dangerin]

Nessuno conosce o usa Logmote ? esiste già da tempo una valida alterantiva

[Gladiator]

Potrebbe comunque essere una buona idea, vedremo gli sviluppi.

Per il momento io continuo ad usare KeePass e LastPass.

[cisco]

Certo che non sanno più che cavolo inventarsi, eh?
Ovviamente, ci scommetto, tutto gratis, vero?!

Ora per accedere alla posta devo portarmi dietro un token hardware???

A parte il fatto che una qualsiasi password, anche senza simboli e caratteri speciali, a patto che sia abbastanza lunga come caratteri, è strasicura (sempre che non vogliamo buggerare la Cia).

Certo che se poi l'utente la inserisce nel primo campo di immissione che trova sulla Rete, allora......
Che poi, che cosa avremo di così importante da nascondere, non si sa.

[amldc]

Da tempo in molti utilizzano (o devono utilizzare) i token per l'autenticazione con banche e PA. Ultimamente ho preso la chiavetta USB della Carta Nazionale dei Servizi che mi sembra la stessa zuppa di altre soluzioni simili adottate dalle banche. Ho notato che sulla chiavetta (e forse anche nella versione chipcard) possono essere caricati ulteriori token, selezionando poi quello interessato a seconda della necessità.
Basterebbe l'adeguamento generale ad uno standard per poter utilizzare la stessa chiavetta per ogni accesso (oltre a non obbligare all'acquisto di una per ogni fornitore!) e penso che quello adottato dalle banche (e credo dalla CNS) sia già abbastanza diffusa tra enti diversi.
In fondo si tratta di reperire il token dalla chiavetta ed utilizzarlo per autenticare l'accesso, cosa che mi sembra analoga ad utilizzare una unica installazione ed un unico DB di KeePass (o analogo) per memorizzare tutte le proprie password.

[spacexplorer]

@cisco
La password può essere sicura da attacchi a dizionario, ovvero ragionevolmente
inindovinabile, tuttavia se accedi da una macchina non tua o comunque
compromessa chi ti keylogga la password può divertirsi a piacere, volendo
può anche divertirsi chi ti sbircia mentre la scrivi in giro sul portatile
ecc. Con una qualsiasi OTP come il già disponibile ad un anno o più Google
Authenticator avere la password non basta per accedere, avere la chiave ma
non la password idem.

Quel che non capisco è cosa vogliano fare: per capirci non so se sia una
qualche soluzione OTP o una chiave a-la-ssh da sbloccare in locale al
posto della password, se così fosse mi andrebbe solo se la chiave la
genero io, la posso revocare io e non sono legato ad uno specifico
dispositivo ovvero me la posso portar dietro su una smartcard ma se voglio
posso a mio rischio avere la chiave privata su una chiavetta usb e
sbloccarla con una password alla bisogna... Non vedo cmq un gran vantaggio
rispetto all'autenticazione in due passaggi attuale, protegge Google da un
eventuale baco dell'Authenticator ma da un potenziale rischio sulla custodia
della smart-card/anello fisica...

@amldc
La CNS è IMO più che altro l'ennesima porcata partita da un'idea valida, un
po' come la PEC... Non c'è un vendor solo, Infocert ha comprato da più
fornitori, di sicuro almeno Incard e Oberthur, leggendo in giro mi pare
anche ST e tecnicamente potresti usare la tua CNS per loggarti dove ti pare
se avessi un modo di gestirla... Qui il problema è che a parte le OpenPGP e
le JavaCard tutte le altre smartcard sono proprietarie spesso codificate coi
piedi e iperlimitate, senza contare che tutta la "sicurezza extra" stà nella
difficoltà di estrarre la chiave della carta quando non hai il PIN, non so
in concreto quanto sia vantaggiosa per il bipede classico quello che usa
12345 come password o che scrive il pin col pennarello sopra la card...

[cisco]

D'accordo, hai ragione.
Ma penso che per la stragrande maggioranza degli utenti sia di tipo "home", per cui obbligarli ad avere un token per poter guardare quante belle email di SPAM sono arrivate oggi, non mi sembra proponibile.
Io direi: lasciamo decidere agli utenti, no?
Chi avrà "paura" oppure deve accedere da macchine non sue può richiedere questa ennesima chincaglieria.

[PuppinoCbr]

[spacexplorer]

La missione penso sia far si che Chrome diventi tocken-based per impedire di
operare fuori dai servizi di Google, dando in cambio servizi che vanno ad oggi
meglio di tutti i concorrenti, dando i "segnalibri che ti vengono dietro" ed
altri ammennicoli vari a tema...

Google sa che per molti bipedi tabletari&smarphonari "il pc è morto" e Google
è sinonimo di Internet o Browser, e tali bipedi gli interessano alquanto...

[mda]

@spacexplorer

Forse l'unica speranza in questo caso è Firefox OS.

C'è già lo smartphone!

Ciao

[spacexplorer]

Mah, l'unica speranza è che esca qualche concorrente di Google con prodotti
migliori, cosa non facile ma manco impossibile; più in generale vedo come
speranza per il computing oggi la community GNU/Linux con Canonical come
portabandiera per il software ed Intel per l'hw, quest'ultima è per me come
una bestemmia però ad oggi sono i bastioni migliori IMO.

FirefoxOS come le manie di nuvole riedizione dei vecchi mainframe sono solo
cetrioli, che faran male, solo aimé non subito... Il computing distribuito
purtroppo non piace a troppi "big" perché con la maggioranza di consumatori
di tecnologia tecno-ignoranti e più in generale non troppo ragionanti si
possa affermare temo...

[mda]

Giusto dimenticavo Ubunto ma guarda che anche FirefoxOS è Linux, anzi si basa Gonk che è un Kernel GNU / Linux ottimizzato per smartphone.

Ciao