Ma secondo me il punto è un'altro, questi la pass nn la sbagliano, mettono user e pass giusta al primo accesso.
Mi spiace proprio ma a chi capitano queste cose ha fatto (lui o chi x lui) qualche cagata sul suo client.
Printable View
Ma secondo me il punto è un'altro, questi la pass nn la sbagliano, mettono user e pass giusta al primo accesso.
Mi spiace proprio ma a chi capitano queste cose ha fatto (lui o chi x lui) qualche cagata sul suo client.
Cioè quindi secondo te nn posso configurare una policy che mi scatena una acl all'interno di un sistema???Quote:
Originally Posted by Randolk
Su dai....Rand!!!
ma di che cazzo stai parlando :gha:Quote:
Originally Posted by Faz
ste uscite da guru onetime random mi ammazzano :rotfl:
btw non è il thread giusto per parlarne
Appunto io lo so di che cosa sto parlando ma tu???Quote:
Originally Posted by Randolk
Non è questione di esser guru ma qui nn sapete chi vi risponde cosa fa effettivamente nella vita, oltre a giocare a D3 :D :D
Quindi dire che è una cosa è una cagata fotonica, ossia sparare una sentenza, quando nn si ha nozione di cosa si sta parlando mi manda sempre fuori di testa:D.
Tutto qui senza flame esenza incazzature :)
raga diablo vi e ci sta facendo veramente male a tutti.
:rotfl::rotfl::rotfl::rotfl::rotfl::rotfl:Quote:
Originally Posted by Faz
tu lo sai cosa faccio io nella vita, ad esempio? :sneer:
non è questione di sparare "sentenze". è che tu hai scritto una cosa buttata lì senza senso, senza capo e senza coda, tipo supercazzola antani per due.
e a parte questo, quella roba lì del timer sul blocco account è una minchiata di proporzioni giurassiche per un milione di motivi, soprattutto in un contesto di milioni di utenti. vuoi un esempio di facile comprensione?
faccio uno script che fa 3 accessi col tuo account e pw random ogni 5 minuti. tu non giochi mai più.
di questo si stava parlando.
non delle policy che scatenano le acl all'interno di un sistema :gha:
Vah beh Rand ovvio neanche io so cosa fai tu , x quanto ne so io potresti essere il massimo esperto di sicurezza informatica italiano, e allora visto che ne sai a pacchi spiegami cosa cambia se su un sistema di autenticazione hai 1000 utenti o 1000000000.
Invece di dire che è una cagata x un milione di motivi, ti chiedo di dirmene 1 e mi accontento.
In merito al discorso io la mia l'ho detta, qui nn c'è gente che fa n tentativi x cercare di "indovinare" la password, l'autenticazione avviene tra il match di una USER e una PASS se nn hai ne user e ne pass, bucare l'account è un delirio tanto grosso che nn vale la pena metter su sto ambaradam x rubare 2 item e qualche xxxgold di D3!!!
Poi se vogliamo parlare di sicurezza informatica apriamo giustamente un altro 3d:D
disse quello che sbaglia a scrivere e sembra che si faccia masturbare dal nipote ;)Quote:
Originally Posted by Odyen
:rotfl:Quote:
Originally Posted by Odyen
:love:
uno banalissimo te l'ho scritto, magari non hai fatto in tempo a leggere l'edit.
a seconda della numerosità degli utenti e del sistema a cui accedono devi dotarti non solo di un'infrastruttura adeguata per proteggerlo, ma devi anche fare in modo di non "soffocare" nelle policy di sicurezza o farci soffocare l'infrastruttura stessa. I servizi di OTP sono largamente diffusi ed utilizzati proprio perchè pur garantendo un certo livello di sicurezza, hanno bisogno di una manutenzione minima ed offrono gestione centralizzata.
se hai milioni di utenti ti strutturi non solo per offrire protezione, ma anche e soprattutto per non affogare nel supporto.
tipo ricevere 5673489568347568934789578934 richieste di supporto perchè un coglione con uno script sta facendo bruteforce spamming.
comunque non vi va bene mai un cazzo di nulla
Fottono account... swhouse di merda
Mettono l'authenticator pure gratis per gli smart... auth inutile
Piove... Rob Pardo ladro! (ed infatti si conta 120 monete da un euro ogni giorno che ha ruBBBato)
Diohane!
Succede, e' che scrivo troppo veloce !!! :shocked:Quote:
Originally Posted by McLove.
ma soprattuttoQuote:
Originally Posted by McLove.
troppo facile...blizzard merda
troppo difficile...blizzard merdissima
A si nn avevo letto l'edit, ma vedi, nel tuo esempio vieni a quello che ti dico io, chi sta tentando di bucarti/bloccarti l'account qualcosa di te la sa (la user).
Cmq dai appena trovo un attimo ti mando un pm e continuiamo che qui stiam andando troppo OT :D
Dimenticavo....Blizzard merda diohane!!!!!!
a volte mi chiedo se fosse stato medio come sarebbe stato...Quote:
Originally Posted by Randolk
blizzard piscio!Quote:
Originally Posted by McLove.
Diohane buhaiolo!!Quote:
Originally Posted by Randolk
Va beh ma la user è la normalissima email che si da in giro a mezzomondo, addiruttura il gioco ti permette di aggiungere amici inserendo la loro mail invece della battle tag.Quote:
Originally Posted by Faz
Quote:
Originally Posted by Kahvirel
Non penso la cosa sia stata cosi complessa. Quello che dici tu è ordini di grandezza piu lungo/difficile.
E' stato disconnesso probabilmente perchè qualcun altro ha cambiato al pass e poi ha loggato nell'account. In questo caso la policy è di sconnettere chi c'è collegato e far collegare il nuovo utente, era cosi anche su wow.
Ma mica solo WoW... e' largamente usato come sistema piuttosto che dirti che sei gia' loggato e farti sokare, perche' spesso quando succede che logghi e sei gia' loggato in realta' sei te che stai riloggando dopo una discossione ed ancora non sei andato in server timeout, ergo vogliono evitarti di rimbalzare al login fino a che il server non si accorge che sei caduto.Quote:
Originally Posted by Madeiner
Si si certo è diffusissimo. Mi ricordo in IRC invece che era il contrario, finchè il server non si accorgeva che eri caduto non rientravi con lo stesso utente. Potevano volerci pure 5 minuti.Quote:
Originally Posted by powerdegre
è matematica, ma che te lo dico a fare :sneer:Quote:
Originally Posted by powerdegre
sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.Quote:
Originally Posted by Randolk
Non è più strong quello di avere la password e basta o due password, soprattutto se introduci dei meccanismi contro attacchi programmati (i tentativi possono anche essere 20 eh, ho detto 3 perchè 3 è quello delle banche. Se volete vi spiego anche il perchè comunque - tra l'altro battlenet HA questo tipo di protezione).
Rispetto al phishing invece non c'è niente da fare, siete cojoni/sfigati :nod:
Si ma è diffusissimo nn x nn far sbattere l'utente ma x fare in modo che sul sistema ci sia sempre e solo una coppia di credenziali user e pass!!!!
E una questione di scelte, o si mette un timeout di inattività o si mette un controllo sulla sessione che all'arrivo di un utente che risulta già collegato cassa il primo e da accesso al secondo.
hador stai impilando cagate nonetheless.Quote:
Originally Posted by Hador
lo sai che il garante OBBLIGA le aziende che abbiano a che fare con dati sensibili a dotarsi di sistemi di strong-auth per l'accesso dei sistemisti (quindi chi ci lavora) oltre che porre la server farm in una secure zone? Con tanto di audit periodici e a sorpresa da parte dell'authority e succosissime multe se non rientri nei parametri dell'audit?
Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
Ma immagino che siano una manica di coglioni anche loro. Tutti tranne te insomma.
edit: mi correggo. non sistemi di strong-auth semplici con OTP, ma con lettori *biometrici*.
basta che ti appoggi vicino ad un wifispot e stai servito , che problema c'e' , piu' tempo per giocareQuote:
Originally Posted by Randolk
Puoi nerdare 24su24.
rando io ti faccio una valutazione tecnica e tu mi rispondi citando le norme del garante italiano? A me che cazzo me ne frega del garante italiano, abbi pazienza.
Fineco ha autenticazione con password a doppio livello dove la seconda ha il blocco sui tentativi, altre banche hanno strong auth (non ti dico UBS che cazzo devo fare per entrare nel conto), ci sono dati che dimostrano che la prima è meno sicura che le altre?
I sistemi che richiedono una chiave fisica sono "più sicuri" perchè c'è una chiave fisica che necessita di venir rubata fisicamente, non per altro. Questo non rende il sistema di autenticazione con la password debole verso "attacchi informatici", lo rende più debole verso l'idiozia degli utenti, dato che è più probabile che tu metta la tua password di bnet nel form per vincere il pupazzo gnappo su wow piuttosto che tu presta il tuo autenticator a uno che non conosci.
Guarda che la matematica si deve scontrare col mondo reale, ed e' li che ti cade, laddove voi (self)glorificati matematici parlate di sistemi ma in maniera completamente demenziale vi scordate che si devono applicare laddove l'utente medio ha problemi ad accendere il suo pc.Quote:
Originally Posted by Hador
Come e' stato gia' fatto notare, diverse misure di sicurezza aggiuntive come imporre l'uso di una maiuscola, due numeri, un punto e virgola ed il sacrificio di un criceto spesso portano solo alla creazione di password impossibili da ricordare, perche' se per te e' normale ricordarsi per ogni sito e gioco una password tipo Tu4madr3!;du3cric3ti;b0lliti, sappi che te sei l'eccezione, i comuni mortali con un sistema che ti blocca l'account dopo 3 tentativi sarebbero tutti a bloccarsi da soli l'account e chiamare il call center perche' non si ricorderebbero mai quali cazzo sono i numeri o dove han messo la maiuscola; oltretutto col risultato che per ricordarsi una bestialita' del genere finisce che si scrive giu' tutte le pass, magari tutti in un foglio di testo chiamato password. Hai quindi obbligato un cristo ad inventarsi una pass impossibile da ricordare e sei sempre vulnerabili ai piu' stupidi attacchi quali phishing o trojan.
Esiste poi un sistema molto piu' semplice, che mi evita di dovervi ricordare obbrobri tipo Tu4madr3!;du3cric3ti;b0lliti ed oltretutto perdona pure il coglione che come pass usa gatto o 123stella, e rende quest pass imbecilli impossibile da violare con attacchi base per il semplice motivo che anche se trovi la pass poi devi immettere dei valori a caso che ti da un qualcosa di esterno, e quello non lo puoi violare se non mi rubi fisicamente il telefono o ti fai una passeggiata dentro il Blizzard HQ e ti porti via la chiave.
Ma no, siccome a te non sta a genio ecco che porco il tuo dio mi vorresti far ricordare roba assurda come Tu4madr3!;du3cric3ti;b0lliti.
ma nessuno mette in dubbio che per l'utonto un autenticatore sia la cosa migliore, quello che sto dicendo è che le password da sole sono sufficientemente sicure e se uno si fida di se stesso e dei suoi device - cioè se uno non si ritiene soggetto a malware strani/phishing/social engineering. Non c'è bisogno di un authenticator perchè altrimenti gli h4ck3r ti bucanoh la pass, al più ce ne è bisogno se apri le mail random con internet explorer 6 e ci scrivi dentro le tue credenziali.
Btw tutti i sistemi decenti hanno un controllo sul numero di autenticazioni, ripeto, anche la blizzard lo ha e ti manda anche gli sms, i 3 tentativi possono essere 10, 20 o 1000 poco cambia (3 è il pin della banca e del bancomat, 100 o 1000 sarà battlenet, ma sono abbastanza per impedire attacchi brute force).
E di lettere speciali ne basta una, o un numero, quanto basta per evitare (giusto in caso), che la parola faccia parte di un dizionario. Una pass come Powerdegree1!, per esempio, andrebbe benissimo.
Guarda qui lavoriamo in qualità, forniamo servizi di PKI, e collezioniamo i dati sensibili dei clienti sui nostri DB, l'unica cosa a cui ci obbliga la legislazione è l'accesso alla farm in 2 persone con badge e pin, una firma l'anno di carico responsabilità di dati sensibili e niente +, di lettori biometrici neanche l'ombra...ma farebbe molto figo :D :DQuote:
Originally Posted by Randolk
ed e' per questo che e' la mia password.
hador non puoi considerare l'idiozia degli utenti un parametro velleitario quando hai a che fare con milioni di utenti, lo capisci?
come ho scritto prima a faz, non è solo un problema di solidità del sistema di sicurezza, è anche una questione di gestione della piattaforma ed è anche una questione di tutela per chi esercisce la piattaforma, del tipo io ti ho dato i mezzi (gratis) per renderti l'account più sicuro, gg a te se non li hai sfruttati. nessuno ti verrà mai a dire il tuo sistema di sicurezza è una merda in questo caso, proprio perchè hai offerto autenticazione combinata su più livelli.
Rand.... passami la battuta :D, x me fai il PM, e quindi di tecnico come da assunto nn ne capisci gran che (ricordati che è una battuta diffusissima nel campo è), xchè se hai 10 utenti o 1000 o 10milioni, la gestione della piattaforma non cambia di una virgola.
e 3, sono d'accordissimo. Quello che sto dicendo è che nel caso specifico se uno non usa l'authenticator ma non si reputa soggetto a problemi di phishing e amenità varie NON è più in pericolo rispetto a chi lo usa. Sia per bnet, sia per la banca. Personalmente ho due conti e non reputo quello con authenticator più sicuro.Quote:
Originally Posted by Randolk
Se passate all'authenticator giusto per tagliare la testa al toro ma siete comunque utenti non dell'ultim'ora state solo dando soldi alla blizzard. Che vabbè, meglio darglieli così piuttosto che comprando il pet a forma di pokemon su wow.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1610018Quote:
Originally Posted by Faz
edit: hador, l'authenticator è gratis (e 3).
ha un costo in dignita'.
per voi, io ho tipo il 3330 :sneer:Quote:
Originally Posted by Randolk
pezzente.Quote:
Originally Posted by Hador
E cosa c'entra la modalità di trattamento dei dati biometrici con quello che stiamo dicendo noi Rand??? nn hai le idee molto chiare.Quote:
Originally Posted by Randolk
Quella che mi linki è la legislatura di come trattare i dati biometrici se scegli quella modalità di protezione dei tuoi dati sensibili, e non che se hai dati sensibili in azienda devi proteggerli attraverso accessi biometrici.
Io la penso come Hador se nn sei un pollouser l'autenticator nn ti serve, poi ben venga una maggior livello di protezione, ma nn è indispensabile.
Blizzard merda che viola la carta dei diritti fondamentali dell uomo ad avere la pass 12345Quote:
Originally Posted by Jesper
"solo un cretino terrebbe 1-2-3-4-5 come combinazione". - "Hey! È la combinazione della mia valigetta!"
http://www.youtube.com/watch?v=kxYAzNMZ2CU
si fa lunga e siamo OT, altra sede.Quote:
Originally Posted by Faz