On 17/01/20 12:45, gerlos wrote:
Il giorno gio 16 gen 2020 alle ore 21:08 Davide Prina
ha scritto:
Guarda, il mio ragionamento non è tanto avere "la sicurezza assoluta e
totale" (non credo sia possibile), quanto avere la "sicurezza migliore per
me che sia utilizzabile nella quotidianità *in questo momento*" (che è
possibile).
la sicurezza assoluta non esiste, soprattutto in ambito informatico.
Come dicevo la sicurezza è al livello giusto se chi la deve utilizzare
la reputa tale, rispetto a quello che protegge e rispetto al costo, non
solo monetario, che deve "pagare" per attuarla.
Sono intervenuto perché sembrava che le tue scelte fossero ottimali per
tutti e per tutti i casi... spiegando che le cose sono un po' più
complesse. Inoltre ho voluto introdurre alcuni concetti che ho appreso e
che molti ignorano.
Molto meglio che riutilizzare password per più di un servizio
io invece la trovo una scelta ottimale se il servizio è "perdibile".
Esempio banale: giochi online, servizi a cui sei obbligato ad iscriverti
per avere un'informazione, ...
Si può usare sempre la stessa password.
Se qualcuno entra, al massimo perdo il gioco, ma mi sono risparmiato la
fatica di dover ricordarmi molte password.
Quindi, in questi casi, io valuto che il rischio vale la candela...
Lo capisco e sembra ragionevole.
Però si pone il problema che citavi sopra: e se l'attaccante identificasse
la tecnica che usi per generare le password?
È sufficiente utilizzare criteri e metodi completamente diversi per ogni
tipologia di servizio, dove per tipologia intendo chi c'è dall'altra
parte che registra le tue password.
Infatti un altro punto debole è che chi ti offre il servizio e registra
la tua password può decidere come mantenerla:
* in chiaro (è successo più di una volta che fossero accessibili a tutti)
* cifrata
* l'hash e non la pwd
Quindi un attaccante può attaccare il tuo fornitore del servizio o il
tuo fornitore del servizio può vendere i tue dati (come capita molto
spesso, soprattutto dove non c'è una legge sulla privacy, come negli USA)
Poi ci sono le backdoor richieste dai vari servizi di sicurezza...
USA con microsoft, IBM, ...
Russia con l'installazione di software loro su ogni nuovo dispositivo
Cina con riconoscimento facciale, software loro, ...
...
...ma la cosa che mi ha lasciato sconcertato è che è stata proposta
circa un mese fa una modalità che è intermedia tra una backdoor e un
algoritmo senza backdoor, a disposizione dei servizi di sicurezza
nazionali... l'unica cosa che lo rende, a detta degli autori,
inutilizzabili per un controllo di massa è che il "costo" da pagare dai
servizi di sicurezza è elevato per ogni singolo accesso:
https://arxiv.org/abs/1912.05620
Se qualcosa del genere entrasse nelle legislazioni nazionali e venisse
imposto l'uso, secondo me, sarebbe un declino e un annullamento della
scelta della sicurezza adeguata.
Onestamente, sono talmente abituato ad usare un generatore di password e un
portachiavi, che probabilmente per me pensare una password o digitarla a
manina sarebbe più "laborioso" che usare lo stesso "standard sicuro"
(password ricavate dal generatore) che uso per le altre cose. ;-)
un'altra cosa che ho scoperto è che ci sono servizi che troncano le
password ad X caratteri. Quindi se tu generi una password di Y caratteri
con Y > X, allora scrivere X+1 o X+2 o X+... o Y caratteri ottieni
sempre l'ingresso al servizio.
Questo rende poco affidabile il servizio, soprattutto se la lunghezza di
X è piccola. Per verificare è sufficiente provare ad inserire la tua
password Y tranne l'ultimo carattere e se entri... puoi ripetere fino a
verificare il numero di caratteri che realmente utilizza.
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
What happened in 2013 couldn't have happened without free software
(He credited free software for his ability to help disclose the U.S.
government's far-reaching surveillance projects).
Edward Snowden
