Commenti a: Sicurezza o accessibilità, questo è il dilemma!

Di: Sicurezza o Accessibilità da IWD

Sicurezza o Accessibilità da IWD — Mon, 01 Feb 2010 12:00:55 +0000

[...] da Giancarlo D’Urso per Italian Webdesign dove si discute di temi sempre attualissimi come sicurezza e accessibilità. Io l’ho trovato spunto per una riflessione e mi interessa [...]

Di: » Queste password sempre più scomode…

» Queste password sempre più scomode… — Thu, 03 Sep 2009 22:50:52 +0000

[...] l’accessibilità); sulla questione sono intervenuto commentando un interessante post su Italian Webdesign (che ha riportato la notizia) in cui si dibatteva tra l’esigenza di garantire una [...]

Di: FNF

FNF — Wed, 02 Sep 2009 11:04:24 +0000

Grazie per l’osservazione, il mio intervento è stato quanto mai impreciso. Mi sono espresso male sopratutto nel fare un’analogia con i digest delle hash. Era per insistere non su come si effettua il riconoscimento biometrico ma su quello che poi viene effettivamente memorizzato sui database che richiederanno le autenticazioni (quindi a rischio di intrusioni e quant’altro). Non viene memorizzata l’impronta intera, si cerca piuttosto di andare dall’impronta intera a creare un sistema di chiavi (eventualmente con o senza certificato), ecc…parlo dei sistemi consumer in cui la biometria si ferma al dispositivo di riconoscimento e al pc a cui esso e collegato e dopo interviene la crittografia. Sarebbe impensabile per un singolo o una società che gestiscono un banale forum assumersi la responsabilità anche dal punto di vista legale di gestire e conservare dati significativi come le impronte digitali.E’ ovvio che le forze dell’ordine avranno bisogno di memorizzare interi database di impronte complete, effettuare su di esse riconoscimenti con i dovuti algoritmi ecc… ma lì si finisce fuori tema… a meno che non dobbiamo andare a realizzare un sito o un software per qualche agenzia di pubblica sicurezza….
Scusate ad ogni modo l’intromissione, non insisto più di tanto, volevo solo ribadire la necessità di approfondire la conoscenza delle tecniche e delle tecnologie attualmente a disposizione per sopperire alle atenticazioni con username e password.

Di: Giancarlo

Giancarlo — Wed, 02 Sep 2009 07:10:05 +0000

@FNF : I digest per loro natura non sono adatti al riconoscimento biometrico. Una piccola variazione o errore nel rilevamento dei punti scelti per l’impronta determinerebbero un errore nel digest e quindi un errore nell’autenticazione. Il riconoscimento avviene con tecniche di intelligenza artificile, applicata ad una grande mole di dati suscettibili di piccole variazioni, ma che nel complesso lasciano una probabilità di errore quasi nulla. Un pò come avviene per il riconoscimento del DNA dove la certezza non è al 100% ma al 97-98% e il riconoscimento non si basa mai sui digest. Qui sta la differenza tra i digest che sono il prodotto di funzioni rigorose e rigide, e gli algoritmi di riconoscimento che spesso sono basati su reti neurali e algoritmi probabilistici.

Di: FNF

FNF — Tue, 01 Sep 2009 15:25:10 +0000

Sicuramente il mio era uno sguardo volto al futuro. Di certo al momento persisteranno le password tradizionali, quello che io volevo sottolineare riguardo al cambiamento dei metodi di autenticazione non era tanto che avverrà in tempi rapidi quanto il modo repentino con cui succederà. Vi sono i token che richiedono sì una doppia autenticazione ma non è detto che la seconda debba consistere in una password tradizionale. Le smart card richiedono lettori usb o integrati che oggi si trovano sul mercato a pochi euro e presto si renderanno necessari per tutte le pratiche da risolversi con la pubblica amministrazione. In principio ovviamente non saranno procedure comode, ma un po’ lo diventeranno e un po’ ci adatteremo; sopratutto (e parlo in particolar modo delle PA) se sarà un accorgimento che ci farà risparmiare tempo e denaro. Con un sistema correttamente configurato basta introdurre la smart card o un token usb nello slot/porta prima di accendere il pc e nulla più, non ci trovo nulla di complicato. Quanto alle autenticazioni biometriche c’è un po’ di confusione, non viene memorizzata l’impronta digitale vera e propria ma un digest (come il risultato di un hash) calcolato sulla base di un’insieme di punti presi dall’impronta. Idem per gli scanner retinici,ecc…. Nessun rischio per la propria identità….o comunque meno che non con le password normali, se poi l’obiettivo è mantenere delle identità fittizie sul web allora è un altro discorso ma viene meno il fine dell’autenticazione almeno dal punto di vista dello sviluppatore e dell’utente in buona fede. Il web è la prima fonte di richieste di password per un utente, pertanto è verso il web che l’utente dirige la propria frustrazione, ed è al web che prima o poi l’utente chiederà di cambiare.Il fatto di poter fornire agli utenti un accesso più diretto, semplice ma allo stesso modo sicuro non è oggi una necessità ma caratteristica a mio avviso sempre più desiderabile (ancor di più se si sviluppano applicativi che prevedono integrazioni con altri sistemi).

Di: titticimmino

titticimmino — Tue, 01 Sep 2009 14:20:03 +0000

sui mobile la questione si pone? per quel che riguarda la mia eseprienza via iPhone, la soluzine a metà tra i “guelfi ” e i “ghibellini” è già disponibile.

Di: Lauryn

Lauryn — Tue, 01 Sep 2009 13:33:19 +0000

per gli homebanking esiste quel token di cui parli giancarlo. io ho infatti due codici fissi e quel token che crea un codice temporaneo con il quale accedere.
ma basta anche vedere cosa ha fatto la Regione Lombardia con la carta dei servizi: una tessera che vale anche come codice fiscale e libretto sanitario, che usi in farmacia, dal dottore e in teoria anche sul sito del comune per fare (ancora poche) operazioni. Ci vuole però un dispositivo usb con relativo driver, e ti assicuro, che ho provato, ma già io che sono esperta sono riuscita a malapena ad autenticarmi correttamente e controllare la mia situazione sanitaria, figurati se qualcuno ha dei problemi. In un futuro magari, ma ora come ora no. Per ora password docet

Di: Giancarlo D'Urso

Giancarlo D'Urso — Tue, 01 Sep 2009 13:06:57 +0000

Per me le password avranno ancora vita lunga. Altri metodi di autenticazione se pur sicuri possono creare altri problemi. Pensiamo ad un sistema biometrico…. io per scrivere in un forum, memorizzerei per esempio la mia impronta digitale sul database di un server ? Neanche morto!!! A parte…che oggi una password prodotta magari con combinazioni di funzioni hash(md5,sha1, ecc)e un salt opportuno può occcupare pochi byte ed essere robusta lo stesso. I dati biometrici occuperebbero molto più spazio…ci sarebbe il problema di crittografare anche questi dati per ragioni di privacy..un dato biometrico è un dato personale molto + forte di una password che ricordiamoci può essere cambiata periodicamente…mentre il dato biometrico no (almeno che non si prevede un metodo crittografico con chiave modificale…e si ritornerebbe al discorso di prima!)

Lo stesso token…se non ricordo male quel sistema..che permette l’invio di un pin personale e temporaneo, che l’utente deve inserire in un casella e che consiste in una doppia autenticazione (possesso del dispositivo e del token) è comunque un sistema basato su password.
Per me la password non verrà mai sostituita…almeno sul web.

Di: FNF

FNF — Tue, 01 Sep 2009 12:01:51 +0000

Quoto anche io Matt.
Inoltre vorrei aggiungere una personale osservazione: il mondo delle password per come le conosciamo ora, sia per la tipologia che nei modi di inserimento, non avrà vita lunga; questo perchè esse iniziano a diventare inefficaci dal punto di vista della sicurezza (non possiamo chiedere agli utenti di allungarle sempre più, chiedendo loro particolari combinazioni di caratteri,…), e oltre a diventare quindi sempre più lunghe sono già diventate moltissime, anzi troppe (e non si può a questo punto chiedere all’utente di usare password diverse e per contro la stessa password su più siti aumenta la probabilità che questa venga scoperta…). E allora come si fa? Si passa ai nuovi sistemi di autenticazione, OpenID per cominciare, dopo di che smart card, token e/o autenticazioni biometriche. Si passerà ad un utilizzo regolare di queste tecnologie in meno che non si dica, quindi non darei molta importanza al discorso sicurezza vs. usabilità perchè è evidente che difficilmente si troveranno punti di incontro (l’unica idea che mi viene in mente in proposito forse è usare una tastiera virtuale con caratteri ben visibili…ad ogni modo nei box questi non vanno lasciati scoperti).Mi concentrerei invece su come integrare facilmente, per lo sviluppatore e per l’utente, nuovi metodi di autenticazione sul web poichè è lì che si andrà a finire seppellendo l’uso delle password tradizionali prima di quanto si possa pensare.

Di: Roberto XSM

Roberto XSM — Tue, 01 Sep 2009 09:30:35 +0000

Sinceramente non vorrei che la parola usabilità divenga sinonimo di pigrizia. Io non mi metto di certo a contare i pallini quando digito una password. Sto attento a digitarla come si deve e basta.

Inoltre non mi faccio scoraggiare di certo dal non vedere cosa scrivo e le mie password le faccio belle lunghe e complicate; poi prendo il mio bel file e prendo nota (naturalmente non un file da desktop).

Lo so che non si sta parlando di come lo faccio io ma a mio modesto parere non mi sembra un così problematico… problema!

A voi la parola! Ciao!