Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
[OT] internet banking e autenticazione biometrica
93 views
Skip to first unread message
Piviul
Nov 9, 2021, 3:20:03 AM11/9/21
to
Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e
nemmeno su debian però riguarda un mondo strettamente interconnesso...
Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad
installare la loro app sul cellulare in modo da non stare a leggere i
codici per le operazioni bancarie dall'internet banking ma autenticare
l'operazione direttamente con i dati biometrici.
Questo è quello che dice letteralmente:
> al primo accesso scegli il tuo codice personale (pin);
> associa la tua impronta digitale o il riconoscimento del volto.
>
> Da questo momento basterà un tocco per autorizzare gli accessi su
> internet banking o le operazioni che esegui e non sarà più necessario
> richiedere il codice di conferma SMS.
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i
tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
nulla... o mi sbaglio?
Grazie
Piviul
nemmeno su debian però riguarda un mondo strettamente interconnesso...
Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad
installare la loro app sul cellulare in modo da non stare a leggere i
codici per le operazioni bancarie dall'internet banking ma autenticare
l'operazione direttamente con i dati biometrici.
Questo è quello che dice letteralmente:
> al primo accesso scegli il tuo codice personale (pin);
> associa la tua impronta digitale o il riconoscimento del volto.
>
> Da questo momento basterà un tocco per autorizzare gli accessi su
> internet banking o le operazioni che esegui e non sarà più necessario
> richiedere il codice di conferma SMS.
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i
tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
nulla... o mi sbaglio?
Grazie
Piviul
Felipe Salvador
Nov 9, 2021, 3:50:03 AM11/9/21
to
non usare il telefono per operazioni sul tuo conto, indipendentemente
dal metodo di autenticazione.
Per prevenire quello che tu stesso hai ipotizzato.
Perché le "app" rastrellano dati personali come se non ci fosse un
domani.
Perché loro si fanno garanti della sicurezza delle loro "app", ma il
modello di sviluppo è rotto fin dal principio.
Saluti
> Grazie
>
> Piviul
--
Felipe Salvador
Filippo Dal Bosco -
Nov 9, 2021, 6:40:03 AM11/9/21
to
Il giorno Tue, 9 Nov 2021 09:01:44 +0100
Piviul <piv...@riminilug.it> ha scritto:
>
>
> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
> i tuoi dati biometrici ti può svuotare il conto senza che tu ne
> sappia nulla... o mi sbaglio?
per operare con le banche è estremante consigliato NON usare app dello smartphone.
le impronte digitali possono essere facilmente "rubate". Ad esempio al
bar tu bevi da un bicchiere, lasci il bicchiere con le tue impronte
che qualcuno può copiare.
l' unico metodo biometrico abbastanza sicuro è la lettura della retina,
non del volto. Il tuo volto può essere fotografato e la foto potrebbe
essere usata per rubare i tuoi soldi.
Io penserei a cambiare la banca che mi propone simili facezie.
--
Filippo
Piviul <piv...@riminilug.it> ha scritto:
>
>
> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
> i tuoi dati biometrici ti può svuotare il conto senza che tu ne
> sappia nulla... o mi sbaglio?
le impronte digitali possono essere facilmente "rubate". Ad esempio al
bar tu bevi da un bicchiere, lasci il bicchiere con le tue impronte
che qualcuno può copiare.
l' unico metodo biometrico abbastanza sicuro è la lettura della retina,
non del volto. Il tuo volto può essere fotografato e la foto potrebbe
essere usata per rubare i tuoi soldi.
Io penserei a cambiare la banca che mi propone simili facezie.
--
Filippo
Mirco Piccin
Nov 9, 2021, 6:50:02 AM11/9/21
to
Ciao
> > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
> > i tuoi dati biometrici ti può svuotare il conto senza che tu ne
> > sappia nulla... o mi sbaglio?
"se uno conosce il tuo pin" già sei a posto, direi.
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato.
E' molto più semplice l'ingegneria sociale...
My 2 cents...
M
> > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
> > i tuoi dati biometrici ti può svuotare il conto senza che tu ne
> > sappia nulla... o mi sbaglio?
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato.
E' molto più semplice l'ingegneria sociale...
My 2 cents...
M
MAURIZI Lorenzo
Nov 9, 2021, 7:40:02 AM11/9/21
to
Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza.
Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.
Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.
E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.
LM
-----Messaggio originale-----
Da: Piviul <piv...@riminilug.it>
Inviato: martedì 9 novembre 2021 09:02
A: debian-italian <debian-...@lists.debian.org>
Oggetto: [OT] internet banking e autenticazione biometrica
Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.
Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.
E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.
LM
-----Messaggio originale-----
Da: Piviul <piv...@riminilug.it>
Inviato: martedì 9 novembre 2021 09:02
A: debian-italian <debian-...@lists.debian.org>
Oggetto: [OT] internet banking e autenticazione biometrica
pinguino
Nov 9, 2021, 9:00:03 AM11/9/21
to
On 09/11/21 13:07, Diego Zuccato wrote:
> Il problema dell'autenticazione biometrica è che non puoi revocare le
> credenziali in caso di compromissione...
Buongiorno Lista,
Il buon vecchio SMS One-time sembra che funziona ancora bene.
Cioè quello cambia ogni volta che si accede e vale solo per pochi
minuti. Ha un costo di pochi cents, ma forse vale la pena.
Grazie
Saluti
Claudio
--
https://www.linkedin.com/in/claudio-sandrone
> Il problema dell'autenticazione biometrica è che non puoi revocare le
> credenziali in caso di compromissione...
Il buon vecchio SMS One-time sembra che funziona ancora bene.
Cioè quello cambia ogni volta che si accede e vale solo per pochi
minuti. Ha un costo di pochi cents, ma forse vale la pena.
Grazie
Saluti
Claudio
--
https://www.linkedin.com/in/claudio-sandrone
Piviul
Nov 9, 2021, 9:00:03 AM11/9/21
to
Il 09/11/21 14:39, Mirco Piccin ha scritto:
hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può
riuscire ad autenticarsi con l'internet banking?
> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato.
> E' molto più semplice l'ingegneria sociale...
su questo posso essere d'accordo anche se temo che in ogni caso
l'impronta usata su un bicchiere non sia utilizzabile come impronta per
l'autenticazione, mi sembra un po' fantascientifica...
Comunque non preoccupatevi non penso proprio di utilizzare il cellulare
per l'internet banking e nemmeno per effettuare pagamenti, non è nelle
mie corde, non mi sembra così faticoso tirare fuori il portafoglio...
Piviul
> Ciao
>
>>> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
>>> i tuoi dati biometrici ti può svuotare il conto senza che tu ne
>>> sappia nulla... o mi sbaglio?
> "se uno conosce il tuo pin" già sei a posto, direi.
beh, qui era un po' il senso del thread... secondo voi che sicurezza
>
>>> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
>>> i tuoi dati biometrici ti può svuotare il conto senza che tu ne
>>> sappia nulla... o mi sbaglio?
> "se uno conosce il tuo pin" già sei a posto, direi.
hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può
riuscire ad autenticarsi con l'internet banking?
> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato.
> E' molto più semplice l'ingegneria sociale...
l'impronta usata su un bicchiere non sia utilizzabile come impronta per
l'autenticazione, mi sembra un po' fantascientifica...
Comunque non preoccupatevi non penso proprio di utilizzare il cellulare
per l'internet banking e nemmeno per effettuare pagamenti, non è nelle
mie corde, non mi sembra così faticoso tirare fuori il portafoglio...
Piviul
Paolo Redælli
Nov 9, 2021, 9:20:03 AM11/9/21
to
Il 09/11/21 14:55, pinguino ha scritto:
> Il buon vecchio SMS One-time sembra che funziona ancora bene.
> Cioè quello cambia ogni volta che si accede e vale solo per pochi
> minuti. Ha un costo di pochi cents, ma forse vale la pena.
Altrove (FSFE Milano) c'è chi lavora nella telefonia ed evita come la
> Cioè quello cambia ogni volta che si accede e vale solo per pochi
> minuti. Ha un costo di pochi cents, ma forse vale la pena.
peste gli SMS che clonare una SIM ci vuole un attimo.
Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi
nessuno le usa, che io sappia.
Piviul
Nov 9, 2021, 9:20:03 AM11/9/21
to
Il 09/11/21 15:02, Diego Zuccato ha scritto:
> Beh, usare il cell per pagare è decisamente una comodità. Basta
> prendere precauzioni: p.e. non tieni il conto principale in gestione
> dal cell, ma solo uno secondario sul quale trasferisci solo quello che
> prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno
> alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca
> il cell, al limite ti porta via due settimane di budget. Non è bello
> ma non è come se ti svuotasse tutto il conto coi risparmi di una vita...
a me non piacerebbe, mi piace avere memoria delle cose che faccio e fare
un'azione fisica mi aiuta a ricordarne l'esistenza, non ne sento proprio
la necessità.
Ma del resto è cosa nota: de gustibus non est disputandum.
Piviul
> Beh, usare il cell per pagare è decisamente una comodità. Basta
> prendere precauzioni: p.e. non tieni il conto principale in gestione
> dal cell, ma solo uno secondario sul quale trasferisci solo quello che
> prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno
> alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca
> il cell, al limite ti porta via due settimane di budget. Non è bello
> ma non è come se ti svuotasse tutto il conto coi risparmi di una vita...
a me non piacerebbe, mi piace avere memoria delle cose che faccio e fare
un'azione fisica mi aiuta a ricordarne l'esistenza, non ne sento proprio
la necessità.
Ma del resto è cosa nota: de gustibus non est disputandum.
Piviul
Filippo Dal Bosco -
Nov 9, 2021, 9:20:03 AM11/9/21
to
Il giorno Tue, 9 Nov 2021 14:56:05 +0100
Piviul <piv...@riminilug.it> ha scritto:
>
>
confrontarle con una database in corso di una indagine giudiziaria ?
Stesso metodo per prenderle da un oggetto che hai toccato e poi
usarle.
Solo la "foto" della retina è difficile da ottenere in modo fraudolento
a meno che un oculista che ti fa l' OCT ( scansione laser della
retina) non lo ceda ad altri
--
Filippo
Piviul <piv...@riminilug.it> ha scritto:
>
>
> su questo posso essere d'accordo anche se temo che in ogni caso
> l'impronta usata su un bicchiere non sia utilizzabile come impronta
> per l'autenticazione, mi sembra un po' fantascientifica...
>
secondo te come si fanno a rilevare le impronte digitali e poi a
> l'impronta usata su un bicchiere non sia utilizzabile come impronta
> per l'autenticazione, mi sembra un po' fantascientifica...
>
confrontarle con una database in corso di una indagine giudiziaria ?
Stesso metodo per prenderle da un oggetto che hai toccato e poi
usarle.
Solo la "foto" della retina è difficile da ottenere in modo fraudolento
a meno che un oculista che ti fa l' OCT ( scansione laser della
retina) non lo ceda ad altri
--
Filippo
Filippo Dal Bosco -
Nov 9, 2021, 9:30:03 AM11/9/21
to
Il giorno Tue, 9 Nov 2021 15:13:34 +0100
Paolo Redælli <paolo.r...@gmail.com> ha scritto:
>
> Una soluzione valida sarebbero la OTP con applicazioni libere, ma
> quasi nessuno le usa, che io sappia.
l' autenticazione con CIE ( o SPID) sarebbe ottima.
Al momento l' unica banca che propone lo SPID è Fineco
--
Filippo
Paolo Redælli <paolo.r...@gmail.com> ha scritto:
>
> Una soluzione valida sarebbero la OTP con applicazioni libere, ma
> quasi nessuno le usa, che io sappia.
Al momento l' unica banca che propone lo SPID è Fineco
--
Filippo
Paolo Redælli
Nov 9, 2021, 9:40:05 AM11/9/21
to
Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto:
su sistemi proprietari e si rifiutano di girare sulle versioni libere o
de-googlizzate degli smartphone.
Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le
OTP, ma nessun fornitore lo fa.
Christian Surchi
Nov 9, 2021, 9:50:03 AM11/9/21
to
permette di usarlo per autenticarsi al proprio conto.
ciao
Christian
pacmo
Nov 9, 2021, 12:20:03 PM11/9/21
to
Il 09/11/21 09:46, Felipe Salvador ha scritto:
> domani.
Io credo che se una banca decide di rastrellare i tuoi dati con l'app
probabilmente fa la stessa cosa con l'home banking da pc e quindi il
problema si risolve solo cambiando banca o andando allo sportello e al
bancomat
Un'altra cosa da fare anche se ha un minimo costo, sia quella di
attivare l'avviso via sms di tutte le operazioni che riguardano il
proprio conto in uscita di qualsiasi tipo
ciao
pacmo
>
> On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote:
>>
>>> al primo accesso scegli il tuo codice personale (pin);
>>> associa la tua impronta digitale o il riconoscimento del volto.>>>
>>> Da questo momento basterà un tocco per autorizzare gli accessi su
>>> internet banking o le operazioni che esegui e non sarà più
>>> necessario richiedere il codice di conferma SMS.
>>
>> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
>> i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
>> nulla... o mi sbaglio?
>
> Ciao,
> non usare il telefono per operazioni sul tuo conto, indipendentemente
> dal metodo di autenticazione.> Perché le "app" rastrellano dati personali come se non ci fosse un
>>
>>> al primo accesso scegli il tuo codice personale (pin);
>>> associa la tua impronta digitale o il riconoscimento del volto.>>>
>>> Da questo momento basterà un tocco per autorizzare gli accessi su
>>> internet banking o le operazioni che esegui e non sarà più
>>> necessario richiedere il codice di conferma SMS.
>>
>> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
>> i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
>> nulla... o mi sbaglio?
>
> Ciao,
> non usare il telefono per operazioni sul tuo conto, indipendentemente
> domani.
Io credo che se una banca decide di rastrellare i tuoi dati con l'app
probabilmente fa la stessa cosa con l'home banking da pc e quindi il
problema si risolve solo cambiando banca o andando allo sportello e al
bancomat
Un'altra cosa da fare anche se ha un minimo costo, sia quella di
attivare l'avviso via sms di tutte le operazioni che riguardano il
proprio conto in uscita di qualsiasi tipo
ciao
pacmo
>
Piviul
Nov 9, 2021, 12:20:03 PM11/9/21
to
Il 09/11/21 13:32, MAURIZI Lorenzo ha scritto:
che ha fatto il sistema operativo del proprio telefono... il se lo
possiamo anche omettere o almeno spostare tipo ...se è vero che li
criptano o che se sono accessibili solo a te...
> Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
> In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.
>
> Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
> In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.
>
> E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.
grazie mille, considerazioni interessanti... anche se credo che creare
un token di autorizzazione per il telefono partendo da un'impronta su un
bicchiere sia un'impresa abbastanza complessa.
Grazie a tutti
Piviul
> Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza.
beh in molti fanno il backup del proprio telefono sul cloud dell'azienda
che ha fatto il sistema operativo del proprio telefono... il se lo
possiamo anche omettere o almeno spostare tipo ...se è vero che li
criptano o che se sono accessibili solo a te...
> Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
> In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.
>
> Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
> In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.
>
> E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.
un token di autorizzazione per il telefono partendo da un'impronta su un
bicchiere sia un'impresa abbastanza complessa.
Grazie a tutti
Piviul
Onetmt
Nov 9, 2021, 12:50:03 PM11/9/21
to
Il giorno mar, 09/11/2021 alle 15.10 +0100, Filippo Dal Bosco - ha scritto:
Il giorno Tue, 9 Nov 2021 14:56:05 +0100Piviul <piv...@riminilug.it> ha scritto:su questo posso essere d'accordo anche se temo che in ogni casol'impronta usata su un bicchiere non sia utilizzabile come improntaper l'autenticazione, mi sembra un po' fantascientifica...secondo te come si fanno a rilevare le impronte digitali e poi aconfrontarle con una database in corso di una indagine giudiziaria ?Stesso metodo per prenderle da un oggetto che hai toccato e poiusarle.
In realtà non è proprio la stessa cosa; il confronto delle impronte digitali si fa su delle immagini, mentre i sensori attualmente montati sui cellulari e sui pc più moderni del mio sono capacitivi, il che significa che devi trasferire l'immagine rilevata sul bicchiere in forma tridimensionale - alcuni hanno usato una stampante 3D per farlo - non certo una FDM, per intenderci.
Per l'internet banking, io lascerei comunque perdere il cellulare in toto.
cage
Nov 9, 2021, 3:30:03 PM11/9/21
to
On Tue, Nov 09, 2021 at 12:32:20PM +0000, MAURIZI Lorenzo wrote:
Ciao!
> In caso di
> violazione (furto del telefono e dell'impronta sul bicchiere)
> basterà revocare il dispositivo, che verrà disattivato dalla banca.
Se usi l'impronta digitale solo ed esclusivamente per una funzione
concordo, ma fino ad un certo punto, vedi sotto.
Il problema e' che - se invece usi questo sistema di autenticazione
(le impronte digitali, o il volto o altro)- per varie funzioni (banca,
entrare a casa, aprire il password manager, cassaforte, accesso al
database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
la stessa password per siti diversi. Forzato uno, forzate tutte.
Quindi in caso di "furto" (diciamo forse, registrazione?)
dell'impronta digitale, devi chiedere di disattivare il telefono, il
tablet, cambiare (con una delle altre dita!) la chiave biometrica
della serratura, cambiare tutte le password del password manager e
forse cercare un nuovo lavoro. :D
Inoltre se ti rubano l'impronta digitale e un' altra banca ti
"obbliga" (da contratto) ad usare l'impronta digitale che sai gia'
esserti stata rubata, che fai? Sei di fronte ad un dilemma morale,
economomico, e forse anche in violazione del contratto perche' sai che
stai dando delle credenziali gia' insicure.
Infine i dati biometrici sono rubati senza neanche troppa difficolta':
https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
Tutto questo, come sempre, a mio avviso. :)
Ciao!
C.
Ciao!
> In caso di
> violazione (furto del telefono e dell'impronta sul bicchiere)
> basterà revocare il dispositivo, che verrà disattivato dalla banca.
concordo, ma fino ad un certo punto, vedi sotto.
Il problema e' che - se invece usi questo sistema di autenticazione
(le impronte digitali, o il volto o altro)- per varie funzioni (banca,
entrare a casa, aprire il password manager, cassaforte, accesso al
database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
la stessa password per siti diversi. Forzato uno, forzate tutte.
Quindi in caso di "furto" (diciamo forse, registrazione?)
dell'impronta digitale, devi chiedere di disattivare il telefono, il
tablet, cambiare (con una delle altre dita!) la chiave biometrica
della serratura, cambiare tutte le password del password manager e
forse cercare un nuovo lavoro. :D
Inoltre se ti rubano l'impronta digitale e un' altra banca ti
"obbliga" (da contratto) ad usare l'impronta digitale che sai gia'
esserti stata rubata, che fai? Sei di fronte ad un dilemma morale,
economomico, e forse anche in violazione del contratto perche' sai che
stai dando delle credenziali gia' insicure.
Infine i dati biometrici sono rubati senza neanche troppa difficolta':
https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
Tutto questo, come sempre, a mio avviso. :)
Ciao!
C.
Davide Prina
Nov 9, 2021, 4:30:03 PM11/9/21
to
On 09/11/21 15:13, Paolo Redælli wrote:
> Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi
> nessuno le usa, che io sappia.
gli OTP sono soltanto sequenze di valori pseudocasuali determinate da un
> Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi
> nessuno le usa, che io sappia.
seme. Il valore della sequenza è preso in base al tempo in cui lo
interroghi.
Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza
che stai usando... e più numeri vengono intercettati e maggiore è la
probabilità di azzeccare.
Ciao
Davide
--
I didn't use Microsoft machines when I was in my operational phase,
because I couldn't trust them.
Not because I knew that there was a particular back door or anything
like that, but because I couldn't be sure.
Edward Snowden
Davide Prina
Nov 9, 2021, 5:00:04 PM11/9/21
to
On 09/11/21 15:14, Bertorello, Marco wrote:
>
> l'accesso tramite dati biometrici riguarda l'app di quel dispositivo,
> non del conto in banca.
il problema è che se ti rubano i tuoi dati biometrici non li puoi
cambiare o revocare. Una volta che te li hanno rubati non è più
possibile usarli in sicurezza, qualsiasi dato biometrico sia.
Poi metti il caso che per un incidente o altro ho i dati biometrici
usati dalla banca alterati o non usabili... non posso più accedere al
mio conto?
> Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione
> a quel dispositivo, non delle credenziali biometriche.
>
> Inoltre, si spera, che prima di accedere tramite biometria all'app della
> banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim
> (con cui ricevere l'sms per resettare le credenziali), ecc...
>
> Come sempre la sicurezza non e' un prodotto, ma una serie di strati
> messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere
> l'obiettivo.
certamente, usando più sistemi contemporaneamente puoi rendere più
difficile la vita all'attaccante. Ma se uno di questi sistemi si basa su
un dato immodificabile, come i dati biometrici, una volta scoperto
dall'attaccante hai perso un livello... e non solo per l'accesso dove è
stato compromesso, ma per qualsiasi accesso che voglia usare i dati
biometrici.
Però il problema è che spesso si aggiungono tanti livelli e si pensa di
aver fatto un sistema sicuro, ma in realtà non si è pensato nel suo
insieme e non si sono pensati dei punti deboli che permettono di
bypassare tutte le misure si sicurezza adottate.
Ad esempio in questo articolo si mostra come il 30 minuti un esperto di
sicurezza a cui è stato consegnato un laptop con TPM, UEFI SecureBoot,
windows, ... è riuscito a ricavare la chiave privata del TPM e avere un
accesso alla rete aziendale.
https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/
> Personalmente trovo piu' difficile "copiare" un'impronta digitale che
> non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di
> non dover ricordare mille codici di sblocco (che giustamente devono
> essere differenti una dall'altra).
mi è venuto in mente un articolo in ci descriveva una macchina di lusso
che poteva essere messa in funzione solo con l'impronta digitale del
proprietario. Hanno rubato la macchina ad uno dei "fortunati" compratori
e gli hanno tagliato un dito per poter scappare con essa.
In ogni caso se il tuo dispositivo è compromesso l'attaccante può
rubarti il dato biometrico rilevato dal dispositivo stesso e quindi non
ha bisogno del bicchiere o di altro.
Una volta che ti ha rubato la tua impronta digitale, puoi cambiare
sim/dispositivo o quello che vuoi, ma ormai la tua impronta è nelle mani
dell'attaccante
Inoltre per molti dati biometrici è dimostrata la facilità di rubarli e
clonarli molto facilmente. Ad esempio il riconoscimento facciale può
essere derivato da 1 o più foto di una persona.
L'UE sta per approvare un nuovo regolamento sulla privacy, oltre il
GDPR, che vieterà l'uso del riconoscimento facciale indiscriminato (ad
esempio non potrà essere usato in luoghi pubblici, negozi, ...), se non
da forze dell'ordine e solo per casi specifici. Non si potrà neanche
usare algoritmi per determinare sesso, religione, ... di gruppi di persone.
Purtroppo l'uso dei dati biometrici per l'accesso ai conti on-line delle
banche è presente nei regolamenti bancari rilasciati da BCE o altro ente
sovranazionale (ora non ricordo).
Non so se le due cose potrebbero essere in contrasto o meno.
Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook
>
> Il 09/11/2021 13:07, Diego Zuccato ha scritto:
>> Il problema dell'autenticazione biometrica è che non puoi revocare le
>> credenziali in caso di compromissione...
>
> Credo ci sia un po' di confusione.
> Il 09/11/2021 13:07, Diego Zuccato ha scritto:
>> Il problema dell'autenticazione biometrica è che non puoi revocare le
>> credenziali in caso di compromissione...
>
>
> l'accesso tramite dati biometrici riguarda l'app di quel dispositivo,
> non del conto in banca.
il problema è che se ti rubano i tuoi dati biometrici non li puoi
cambiare o revocare. Una volta che te li hanno rubati non è più
possibile usarli in sicurezza, qualsiasi dato biometrico sia.
Poi metti il caso che per un incidente o altro ho i dati biometrici
usati dalla banca alterati o non usabili... non posso più accedere al
mio conto?
> Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione
> a quel dispositivo, non delle credenziali biometriche.
>
> Inoltre, si spera, che prima di accedere tramite biometria all'app della
> banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim
> (con cui ricevere l'sms per resettare le credenziali), ecc...
>
> Come sempre la sicurezza non e' un prodotto, ma una serie di strati
> messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere
> l'obiettivo.
certamente, usando più sistemi contemporaneamente puoi rendere più
difficile la vita all'attaccante. Ma se uno di questi sistemi si basa su
un dato immodificabile, come i dati biometrici, una volta scoperto
dall'attaccante hai perso un livello... e non solo per l'accesso dove è
stato compromesso, ma per qualsiasi accesso che voglia usare i dati
biometrici.
Però il problema è che spesso si aggiungono tanti livelli e si pensa di
aver fatto un sistema sicuro, ma in realtà non si è pensato nel suo
insieme e non si sono pensati dei punti deboli che permettono di
bypassare tutte le misure si sicurezza adottate.
Ad esempio in questo articolo si mostra come il 30 minuti un esperto di
sicurezza a cui è stato consegnato un laptop con TPM, UEFI SecureBoot,
windows, ... è riuscito a ricavare la chiave privata del TPM e avere un
accesso alla rete aziendale.
https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/
> Personalmente trovo piu' difficile "copiare" un'impronta digitale che
> non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di
> non dover ricordare mille codici di sblocco (che giustamente devono
> essere differenti una dall'altra).
mi è venuto in mente un articolo in ci descriveva una macchina di lusso
che poteva essere messa in funzione solo con l'impronta digitale del
proprietario. Hanno rubato la macchina ad uno dei "fortunati" compratori
e gli hanno tagliato un dito per poter scappare con essa.
In ogni caso se il tuo dispositivo è compromesso l'attaccante può
rubarti il dato biometrico rilevato dal dispositivo stesso e quindi non
ha bisogno del bicchiere o di altro.
Una volta che ti ha rubato la tua impronta digitale, puoi cambiare
sim/dispositivo o quello che vuoi, ma ormai la tua impronta è nelle mani
dell'attaccante
Inoltre per molti dati biometrici è dimostrata la facilità di rubarli e
clonarli molto facilmente. Ad esempio il riconoscimento facciale può
essere derivato da 1 o più foto di una persona.
L'UE sta per approvare un nuovo regolamento sulla privacy, oltre il
GDPR, che vieterà l'uso del riconoscimento facciale indiscriminato (ad
esempio non potrà essere usato in luoghi pubblici, negozi, ...), se non
da forze dell'ordine e solo per casi specifici. Non si potrà neanche
usare algoritmi per determinare sesso, religione, ... di gruppi di persone.
Purtroppo l'uso dei dati biometrici per l'accesso ai conti on-line delle
banche è presente nei regolamenti bancari rilasciati da BCE o altro ente
sovranazionale (ora non ricordo).
Non so se le due cose potrebbero essere in contrasto o meno.
Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook
Davide Prina
Nov 9, 2021, 5:10:02 PM11/9/21
to
On 09/11/21 14:56, Piviul wrote:
> Il 09/11/21 14:39, Mirco Piccin ha scritto:
> Il 09/11/21 14:39, Mirco Piccin ha scritto:
>> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
>> esagerato.
>> esagerato.
> su questo posso essere d'accordo anche se temo che in ogni caso
> l'impronta usata su un bicchiere non sia utilizzabile come impronta per
> l'autenticazione, mi sembra un po' fantascientifica...
basta cercare su internet e trovi diversi metodi:
> l'impronta usata su un bicchiere non sia utilizzabile come impronta per
> l'autenticazione, mi sembra un po' fantascientifica...
https://www.instructables.com/How-to-replicate-fingerprints/
https://www.wikihow.com/Fake-Fingerprints
https://www.youtube.com/watch?v=SnEkg-SWDZs
Comunque, leggendo articoli di esperti di sicurezza, ti dimostrano che
le impronte sono facilmente clonabili, anche a partire dal tuo cellulare
che ne è, di solito, pieno.
Davide Prina
Nov 9, 2021, 5:10:02 PM11/9/21
to
On 09/11/21 15:02, Diego Zuccato wrote:
> Beh, usare il cell per pagare è decisamente una comodità. Basta prendere
> precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma
> solo uno secondario sul quale trasferisci solo quello che
> prevedibilmente ti serve nella settimana/mese.
ma allora meglio attendere quando sarà pronto GNU Taler e usare quello
> Beh, usare il cell per pagare è decisamente una comodità. Basta prendere
> precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma
> solo uno secondario sul quale trasferisci solo quello che
> prevedibilmente ti serve nella settimana/mese.
https://taler.net/en/
Piviul
Nov 10, 2021, 8:50:03 AM11/10/21
to
Il 09/11/21 23:03, Davide Prina ha scritto:
si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
fino a prova contraria continuo a credere che non sia impresa tanto
semplice da un'impronta lasciata su un bicchiere costruire un finto dito
tridimensionale atto alla autenticazione o un token di autorizzazione da
una app...
Piviul
> On 09/11/21 14:56, Piviul wrote:
>> Il 09/11/21 14:39, Mirco Piccin ha scritto:
>
>>> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
>>> esagerato.
>
>> su questo posso essere d'accordo anche se temo che in ogni caso
>> l'impronta usata su un bicchiere non sia utilizzabile come impronta
>> per l'autenticazione, mi sembra un po' fantascientifica...
>
> basta cercare su internet e trovi diversi metodi:
> https://www.instructables.com/How-to-replicate-fingerprints/
> https://www.wikihow.com/Fake-Fingerprints
> https://www.youtube.com/watch?v=SnEkg-SWDZs
molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
>> Il 09/11/21 14:39, Mirco Piccin ha scritto:
>
>>> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
>>> esagerato.
>
>> su questo posso essere d'accordo anche se temo che in ogni caso
>> l'impronta usata su un bicchiere non sia utilizzabile come impronta
>> per l'autenticazione, mi sembra un po' fantascientifica...
>
> basta cercare su internet e trovi diversi metodi:
> https://www.instructables.com/How-to-replicate-fingerprints/
> https://www.wikihow.com/Fake-Fingerprints
> https://www.youtube.com/watch?v=SnEkg-SWDZs
si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
fino a prova contraria continuo a credere che non sia impresa tanto
semplice da un'impronta lasciata su un bicchiere costruire un finto dito
tridimensionale atto alla autenticazione o un token di autorizzazione da
una app...
Piviul
Mario
Nov 10, 2021, 11:00:03 AM11/10/21
to
Il 10/11/21 14:43, Piviul ha scritto:
Sono anch'io scettico sulla sicurezza dell'uso dei dati biometrici.
Aggiungo questo post di Attivissimo, nel quale riporta la notizia che è
possibile risalire alle impronte digitali da una semplice foto (del
2014)... e qualcuno poi da questo potrebbe riprodurre (e usare) quelle
impronte.
https://attivissimo.blogspot.com/2021/05/malvivente-condannato-grazie-una-foto.html
Mario
Aggiungo questo post di Attivissimo, nel quale riporta la notizia che è
possibile risalire alle impronte digitali da una semplice foto (del
2014)... e qualcuno poi da questo potrebbe riprodurre (e usare) quelle
impronte.
https://attivissimo.blogspot.com/2021/05/malvivente-condannato-grazie-una-foto.html
Mario
Davide Prina
Nov 10, 2021, 2:50:03 PM11/10/21
to
On 10/11/21 08:17, Diego Zuccato wrote:
> sta in piedi. Per lo meno per TOTP e HOTP.
> Entrambi si basano su troncamento di hash crittografici.
a me hanno detto che le chiavette per l'accesso alla banca sono state
tolte perché non sicure. Alcune banche ora forniscono chiavette dette
smart (hanno un tastierino e non un singolo bottone).
Mi hanno detto inoltre che il problema principale è che l'utente o chi
può accedere alla chiavetta (attaccante) può generare a piacere tanti token.
Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere:
l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei un
insieme di sequenze future generate a partire da N semi e in base agli
TOTP che intercetti, in determinati tempi, li verifichi con la tua
griglia, se trovi delle corrispondenze, allora puoi ipotizzare di aver
individuato la sequenza corretta. Più token intercetti nel tempo e
maggiori probabilità hai di individuare la sequenza corretta... se è tra
quelle da te calcolata nella griglia.
In questo modo se l'attaccante sta eseguendo l'attacco su una sola
vittima, allora può adagio adagio scartare le sequenze non
corrispondenti e sostituirle con nuove.
Non ho idea della quantità di calcoli necessari per ottenere qualcosa
del genere e la probabilità di poter azzeccare la sequenza corretta.
> Perfino con MD5 (considerato non sicuro) non è semplice risalire
> dall'hash alla preimmagine.
però dipende dall'uso, l'MD5 non è considerato sicuro se usato per
calcolare l'hash di un file, questo perché è dimostrato che è possibile
creare un altro file e far sì che l'hash corrisponda a quello del file
di origine. Cioè è "facile" trovare/creare collisioni.
> Il 09/11/2021 22:26, Davide Prina ha scritto:
>
>> Se ti vengono intercettati alcuni OTP è possibile ipotizzare la
>> sequenza che stai usando... e più numeri vengono intercettati e
>> maggiore è la probabilità di azzeccare.
> Scusa, ma questo proprio non
>
>> Se ti vengono intercettati alcuni OTP è possibile ipotizzare la
>> sequenza che stai usando... e più numeri vengono intercettati e
>> maggiore è la probabilità di azzeccare.
> sta in piedi. Per lo meno per TOTP e HOTP.
> Entrambi si basano su troncamento di hash crittografici.
a me hanno detto che le chiavette per l'accesso alla banca sono state
tolte perché non sicure. Alcune banche ora forniscono chiavette dette
smart (hanno un tastierino e non un singolo bottone).
Mi hanno detto inoltre che il problema principale è che l'utente o chi
può accedere alla chiavetta (attaccante) può generare a piacere tanti token.
Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere:
l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei un
insieme di sequenze future generate a partire da N semi e in base agli
TOTP che intercetti, in determinati tempi, li verifichi con la tua
griglia, se trovi delle corrispondenze, allora puoi ipotizzare di aver
individuato la sequenza corretta. Più token intercetti nel tempo e
maggiori probabilità hai di individuare la sequenza corretta... se è tra
quelle da te calcolata nella griglia.
In questo modo se l'attaccante sta eseguendo l'attacco su una sola
vittima, allora può adagio adagio scartare le sequenze non
corrispondenti e sostituirle con nuove.
Non ho idea della quantità di calcoli necessari per ottenere qualcosa
del genere e la probabilità di poter azzeccare la sequenza corretta.
> Perfino con MD5 (considerato non sicuro) non è semplice risalire
> dall'hash alla preimmagine.
però dipende dall'uso, l'MD5 non è considerato sicuro se usato per
calcolare l'hash di un file, questo perché è dimostrato che è possibile
creare un altro file e far sì che l'hash corrisponda a quello del file
di origine. Cioè è "facile" trovare/creare collisioni.
Davide Prina
Nov 10, 2021, 3:00:03 PM11/10/21
to
On 10/11/21 14:43, Piviul wrote:
> Il 09/11/21 23:03, Davide Prina ha scritto:
> Il 09/11/21 23:03, Davide Prina ha scritto:
>> basta cercare su internet e trovi diversi metodi:
>> https://www.instructables.com/How-to-replicate-fingerprints/
>> https://www.wikihow.com/Fake-Fingerprints
>> https://www.youtube.com/watch?v=SnEkg-SWDZs
>
> molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
> si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
> fino a prova contraria continuo a credere che non sia impresa tanto
> semplice da un'impronta lasciata su un bicchiere
ho preso tre link a caso da una ricerca fatta al momento.
>> https://www.instructables.com/How-to-replicate-fingerprints/
>> https://www.wikihow.com/Fake-Fingerprints
>> https://www.youtube.com/watch?v=SnEkg-SWDZs
>
> molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
> si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
> fino a prova contraria continuo a credere che non sia impresa tanto
> semplice da un'impronta lasciata su un bicchiere
Tempo fa avevo letto come poter creare un dito finto a partire da
un'impronta digitale lasciata su una superficie, probabilmente era un
articolo di qualche ricercatore. Probabilmente se cerchi su arxiv trovi
vari studi proposti per poter clonare una componente biometrica e usarla
per un riconoscimento che usi tale componente.
Ciao
Davide
--
What happened in 2013 couldn't have happened without free software
(He credited free software for his ability to help disclose the U.S.
government's far-reaching surveillance projects).
Edward Snowden
Davide Prina
Nov 10, 2021, 3:00:03 PM11/10/21
to
On 10/11/21 08:26, Diego Zuccato wrote:
> Il 09/11/2021 23:04, Davide Prina ha scritto:
>> https://taler.net/en/
> tutte le transazioni devono passare dall'exchange, che può
> quindi de-anonimizzare quanto gli pare
no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli
per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa
ha firmato né a chi l'ha firmato.
> Avrebbe senso se il
> "contante" anonimo potessi "spenderlo" verso altri utenti, anche
> offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con
> una carta NFC senza estrarla dal portafogli.
no, l'anonimato non è assoluto.
Se uno stato vuole investigare può sapere cosa hai speso e cosa hai
comprato... o meglio i passaggi di denaro da un individuo ad un altro.
Ciao
Davide
[¹]
https://en.wikipedia.org/wiki/Blind_signature
--
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
> Il 09/11/2021 23:04, Davide Prina ha scritto:
>> https://taler.net/en/
> tutte le transazioni devono passare dall'exchange, che può
> quindi de-anonimizzare quanto gli pare
no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli
per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa
ha firmato né a chi l'ha firmato.
> Avrebbe senso se il
> "contante" anonimo potessi "spenderlo" verso altri utenti, anche
> offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con
> una carta NFC senza estrarla dal portafogli.
no, l'anonimato non è assoluto.
Se uno stato vuole investigare può sapere cosa hai speso e cosa hai
comprato... o meglio i passaggi di denaro da un individuo ad un altro.
Ciao
Davide
[¹]
https://en.wikipedia.org/wiki/Blind_signature
--
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Davide Prina
Nov 10, 2021, 3:20:03 PM11/10/21
to
On 09/11/21 21:19, cage wrote:
> On Tue, Nov 09, 2021 at 12:32:20PM +0000, MAURIZI Lorenzo wrote:
>> In caso di
>> violazione (furto del telefono e dell'impronta sul bicchiere)
>> basterà revocare il dispositivo, che verrà disattivato dalla banca.
> On Tue, Nov 09, 2021 at 12:32:20PM +0000, MAURIZI Lorenzo wrote:
>> In caso di
>> violazione (furto del telefono e dell'impronta sul bicchiere)
>> basterà revocare il dispositivo, che verrà disattivato dalla banca.
> Il problema e' che - se invece usi questo sistema di autenticazione
> (le impronte digitali, o il volto o altro)- per varie funzioni (banca,
> entrare a casa, aprire il password manager, cassaforte, accesso al
> database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
> la stessa password per siti diversi. Forzato uno, forzate tutte.
infatti
> (le impronte digitali, o il volto o altro)- per varie funzioni (banca,
> entrare a casa, aprire il password manager, cassaforte, accesso al
> database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
> la stessa password per siti diversi. Forzato uno, forzate tutte.
> Infine i dati biometrici sono rubati senza neanche troppa difficolta':
>
> https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
Spesso mi guardo il blog di Schneier, al venerdì pubblica un articolo
che non c'entra nulla con la sicurezza, ma tutti possono commentarlo con
notizie che Schneier non ha ancora riportato nel suo blog. Interessante
leggere questi commenti, poiché partecipano diversi esperti di sicurezza
anche per scambiarsi opinioni tra loro.
Comunque, dal mio punto di vista, se si iniziano a richiedere dati
biometrici per l'autenticazione si creerà sempre più un mercato di
questi dati rubati e quindi aumenteranno i "furti". Essendo tutti questi
dati non bloccabili/sostituibili, una volta che te li hanno rubati sei
"fritto" ... a meno che non fai un intervento chirurgico per sostituirti
le impronte digitali, sostituirti le cornee o fare un intervento
plastico facciale...
L'unica strada che vedo è vietare l'uso di dati biometrici di propri
clienti per qualsiasi attività. In questo modo il mercato diventa meno
appetibile e i furti meno probabili.
Ciao
Davide
--
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo
cage
Nov 11, 2021, 8:50:02 AM11/11/21
to
On Wed, Nov 10, 2021 at 09:11:21PM +0100, Davide Prina wrote:
Ciao!
[...]
>
> > Infine i dati biometrici sono rubati senza neanche troppa difficolta':
> >
> > https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
>
> questo molto probabilmente lo avevo letto, ma me ne ero dimenticato.
Anche io; ricordavo solo vagamente la vicenda. :)
[...]
> Comunque, dal mio punto di vista, se si iniziano a richiedere dati
> biometrici per l'autenticazione [...]
Non posso che concordare con quello che hai scritto!
Ciao!
C.
Ciao!
[...]
>
> > Infine i dati biometrici sono rubati senza neanche troppa difficolta':
> >
> > https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
>
> questo molto probabilmente lo avevo letto, ma me ne ero dimenticato.
[...]
> Comunque, dal mio punto di vista, se si iniziano a richiedere dati
Non posso che concordare con quello che hai scritto!
Ciao!
C.
0 new messages