una cosa molto simpatica

[Hador]

Concordo, sono idee completamente demenziali.

è matematica, ma che te lo dico a fare

certo, perchè se uno ha l'account bloccato anche solo 5 minuti non chiama il call center.
ma poi non c'è granchè da discutere eh. la politica di strong auth è enormemente e largamente diffusa.
oppure tutti gli istituti di credito che hanno dotato i loro clienti di una RSA card sono una manica di coglioni?

sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.
Non è più strong quello di avere la password e basta o due password, soprattutto se introduci dei meccanismi contro attacchi programmati (i tentativi possono anche essere 20 eh, ho detto 3 perchè 3 è quello delle banche. Se volete vi spiego anche il perchè comunque - tra l'altro battlenet HA questo tipo di protezione).

Rispetto al phishing invece non c'è niente da fare, siete cojoni/sfigati

[Faz]

Si ma è diffusissimo nn x nn far sbattere l'utente ma x fare in modo che sul sistema ci sia sempre e solo una coppia di credenziali user e pass!!!!

E una questione di scelte, o si mette un timeout di inattività o si mette un controllo sulla sessione che all'arrivo di un utente che risulta già collegato cassa il primo e da accesso al secondo.

[Randolk]

è matematica, ma che te lo dico a fare
sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.

hador stai impilando cagate nonetheless.
lo sai che il garante OBBLIGA le aziende che abbiano a che fare con dati sensibili a dotarsi di sistemi di strong-auth per l'accesso dei sistemisti (quindi chi ci lavora) oltre che porre la server farm in una secure zone? Con tanto di audit periodici e a sorpresa da parte dell'authority e succosissime multe se non rientri nei parametri dell'audit?
Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
Ma immagino che siano una manica di coglioni anche loro. Tutti tranne te insomma.

edit: mi correggo. non sistemi di strong-auth semplici con OTP, ma con lettori *biometrici*.

[-=Rho=-]

Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
.

basta che ti appoggi vicino ad un wifispot e stai servito , che problema c'e' , piu' tempo per giocare

[Cifra]

Puoi nerdare 24su24.

[Hador]

rando io ti faccio una valutazione tecnica e tu mi rispondi citando le norme del garante italiano? A me che cazzo me ne frega del garante italiano, abbi pazienza.
Fineco ha autenticazione con password a doppio livello dove la seconda ha il blocco sui tentativi, altre banche hanno strong auth (non ti dico UBS che cazzo devo fare per entrare nel conto), ci sono dati che dimostrano che la prima è meno sicura che le altre?

I sistemi che richiedono una chiave fisica sono "più sicuri" perchè c'è una chiave fisica che necessita di venir rubata fisicamente, non per altro. Questo non rende il sistema di autenticazione con la password debole verso "attacchi informatici", lo rende più debole verso l'idiozia degli utenti, dato che è più probabile che tu metta la tua password di bnet nel form per vincere il pupazzo gnappo su wow piuttosto che tu presta il tuo autenticator a uno che non conosci.

[powerdegre]

è matematica, ma che te lo dico a fare
sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.
Non è più strong quello di avere la password e basta o due password, soprattutto se introduci dei meccanismi contro attacchi programmati (i tentativi possono anche essere 20 eh, ho detto 3 perchè 3 è quello delle banche. Se volete vi spiego anche il perchè comunque - tra l'altro battlenet HA questo tipo di protezione).

Rispetto al phishing invece non c'è niente da fare, siete cojoni/sfigati

Guarda che la matematica si deve scontrare col mondo reale, ed e' li che ti cade, laddove voi (self)glorificati matematici parlate di sistemi ma in maniera completamente demenziale vi scordate che si devono applicare laddove l'utente medio ha problemi ad accendere il suo pc.

Come e' stato gia' fatto notare, diverse misure di sicurezza aggiuntive come imporre l'uso di una maiuscola, due numeri, un punto e virgola ed il sacrificio di un criceto spesso portano solo alla creazione di password impossibili da ricordare, perche' se per te e' normale ricordarsi per ogni sito e gioco una password tipo Tu4madr3!;du3cric3ti;b0lliti, sappi che te sei l'eccezione, i comuni mortali con un sistema che ti blocca l'account dopo 3 tentativi sarebbero tutti a bloccarsi da soli l'account e chiamare il call center perche' non si ricorderebbero mai quali cazzo sono i numeri o dove han messo la maiuscola; oltretutto col risultato che per ricordarsi una bestialita' del genere finisce che si scrive giu' tutte le pass, magari tutti in un foglio di testo chiamato password. Hai quindi obbligato un cristo ad inventarsi una pass impossibile da ricordare e sei sempre vulnerabili ai piu' stupidi attacchi quali phishing o trojan.

Esiste poi un sistema molto piu' semplice, che mi evita di dovervi ricordare obbrobri tipo Tu4madr3!;du3cric3ti;b0lliti ed oltretutto perdona pure il coglione che come pass usa gatto o 123stella, e rende quest pass imbecilli impossibile da violare con attacchi base per il semplice motivo che anche se trovi la pass poi devi immettere dei valori a caso che ti da un qualcosa di esterno, e quello non lo puoi violare se non mi rubi fisicamente il telefono o ti fai una passeggiata dentro il Blizzard HQ e ti porti via la chiave.

Ma no, siccome a te non sta a genio ecco che porco il tuo dio mi vorresti far ricordare roba assurda come Tu4madr3!;du3cric3ti;b0lliti.

[Hador]

ma nessuno mette in dubbio che per l'utonto un autenticatore sia la cosa migliore, quello che sto dicendo è che le password da sole sono sufficientemente sicure e se uno si fida di se stesso e dei suoi device - cioè se uno non si ritiene soggetto a malware strani/phishing/social engineering. Non c'è bisogno di un authenticator perchè altrimenti gli h4ck3r ti bucanoh la pass, al più ce ne è bisogno se apri le mail random con internet explorer 6 e ci scrivi dentro le tue credenziali.
Btw tutti i sistemi decenti hanno un controllo sul numero di autenticazioni, ripeto, anche la blizzard lo ha e ti manda anche gli sms, i 3 tentativi possono essere 10, 20 o 1000 poco cambia (3 è il pin della banca e del bancomat, 100 o 1000 sarà battlenet, ma sono abbastanza per impedire attacchi brute force).
E di lettere speciali ne basta una, o un numero, quanto basta per evitare (giusto in caso), che la parola faccia parte di un dizionario. Una pass come Powerdegree1!, per esempio, andrebbe benissimo.

[Faz]

hador stai impilando cagate nonetheless.
lo sai che il garante OBBLIGA le aziende che abbiano a che fare con dati sensibili a dotarsi di sistemi di strong-auth per l'accesso dei sistemisti (quindi chi ci lavora) oltre che porre la server farm in una secure zone? Con tanto di audit periodici e a sorpresa da parte dell'authority e succosissime multe se non rientri nei parametri dell'audit?
Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
Ma immagino che siano una manica di coglioni anche loro. Tutti tranne te insomma.

edit: mi correggo. non sistemi di strong-auth semplici con OTP, ma con lettori *biometrici*.

Guarda qui lavoriamo in qualità, forniamo servizi di PKI, e collezioniamo i dati sensibili dei clienti sui nostri DB, l'unica cosa a cui ci obbliga la legislazione è l'accesso alla farm in 2 persone con badge e pin, una firma l'anno di carico responsabilità di dati sensibili e niente +, di lettori biometrici neanche l'ombra...ma farebbe molto figo

[Jesper]

ed e' per questo che e' la mia password.

[Randolk]

hador non puoi considerare l'idiozia degli utenti un parametro velleitario quando hai a che fare con milioni di utenti, lo capisci?
come ho scritto prima a faz, non è solo un problema di solidità del sistema di sicurezza, è anche una questione di gestione della piattaforma ed è anche una questione di tutela per chi esercisce la piattaforma, del tipo io ti ho dato i mezzi (gratis) per renderti l'account più sicuro, gg a te se non li hai sfruttati. nessuno ti verrà mai a dire il tuo sistema di sicurezza è una merda in questo caso, proprio perchè hai offerto autenticazione combinata su più livelli.

[Faz]

Rand.... passami la battuta , x me fai il PM, e quindi di tecnico come da assunto nn ne capisci gran che (ricordati che è una battuta diffusissima nel campo è), xchè se hai 10 utenti o 1000 o 10milioni, la gestione della piattaforma non cambia di una virgola.

[Hador]

hador non puoi considerare l'idiozia degli utenti un parametro velleitario quando hai a che fare con milioni di utenti, lo capisci?
come ho scritto prima a faz, non è solo un problema di solidità del sistema di sicurezza, è anche una questione di gestione della piattaforma ed è anche una questione di tutela per chi esercisce la piattaforma, del tipo io ti ho dato i mezzi (gratis) per renderti l'account più sicuro, gg a te se non li hai sfruttati. nessuno ti verrà mai a dire il tuo sistema di sicurezza è una merda in questo caso, proprio perchè hai offerto autenticazione combinata su più livelli.

e 3, sono d'accordissimo. Quello che sto dicendo è che nel caso specifico se uno non usa l'authenticator ma non si reputa soggetto a problemi di phishing e amenità varie NON è più in pericolo rispetto a chi lo usa. Sia per bnet, sia per la banca. Personalmente ho due conti e non reputo quello con authenticator più sicuro.

Se passate all'authenticator giusto per tagliare la testa al toro ma siete comunque utenti non dell'ultim'ora state solo dando soldi alla blizzard. Che vabbè, meglio darglieli così piuttosto che comprando il pet a forma di pokemon su wow.

[Randolk]

Guarda qui lavoriamo in qualità, forniamo servizi di PKI, e collezioniamo i dati sensibili dei clienti sui nostri DB, l'unica cosa a cui ci obbliga la legislazione è l'accesso alla farm in 2 persone con badge e pin, una firma l'anno di carico responsabilità di dati sensibili e niente +, di lettori biometrici neanche l'ombra...ma farebbe molto figo

http://www.garanteprivacy.it/garante/doc.jsp?ID=1610018

edit: hador, l'authenticator è gratis (e 3).

[Jesper]

ha un costo in dignita'.