Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 12 Apr 2021 11:30 Oggetto: |
|
|
Per fortuna il mio numero personale non è stato coinvolto, forse perché non lo ho mai messo su FB (per quanto il sito insista a farmelo mettere).
Ma mi è venuto lo scrupolo di verificare anche il numero di lavoro e quello c'è (per lavoro mi è capitato di dovere fare dei test su FB ed ho appunto usato quel numero). Boh penso che lo cambierò, tanto non è che mi contattino tanto spesso... |
|
Top |
|
|
{non duco ducor} Ospite
|
Inviato: 12 Apr 2021 12:31 Oggetto: |
|
|
"Di chi è la colpa? Sicuramente ci sono alcuni più responsabili di altri che dovranno rispondere di tutto ciò; ma ancora una volta, a dire la verità, se cercate il colpevole... non c'è che da guardarsi allo specchio."
Credo che questo non sia il caso.
Molti di noi usano o hanno usato FB per lavoro, perché i clienti non arrivano come dono dal cielo.
Credo che Facebook abbia la totale responsabilità di custodire i nostri dati, cosa che non ha fatto come doveva.
Un ritardo di anni, nel comunicare o, peggio del peggio, per accorgersi dell'avvenuto è poi ingiustifcabile per qualsiasi azienda; un'azienda informatica, poi....
Purtroppo ubi maior minor cessat, ed è questa l'unica legge che alla fine vale nelle nostre civilissime società.
Da alcune migliaia di anni. |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1955
|
Inviato: 12 Apr 2021 15:26 Oggetto: |
|
|
Citazione: | Se volete verificare la cosa..... potere usare il servizio gestito da Troy Hunt HaveIBeenPwned. Inserite il vostro numero di cellulare |
Pessimo suggerimento.
I nostri dati vanno custoditi, NON divulgati. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11600 Residenza: Tokelau
|
Inviato: 12 Apr 2021 15:54 Oggetto: |
|
|
ha senso se hai necessità di confermare il sospetto che il dato (numero di telefono per esempio) faccia parte di quelli compromessi.
non ha senso (o ne ha molto meno comunque) se non avete mai usato facebook o whatsapp
per il resto HaveIBeenPwned ha una reputazione, e oltretutto del vostro numero di telefono senza nessun altro dato insieme non se ne farebbe niente |
|
Top |
|
|
m.lana Mortale devoto
Registrato: 26/09/05 10:49 Messaggi: 12
|
Inviato: 13 Apr 2021 00:04 Oggetto: |
|
|
stavo pensando 2 cose:
1) ok (argh!) mi hanno preso il numero del cellulare
ma l'autenticazione a 2 fattori non è compromessa finché ID e PW non sono pwned. o no?
2) perché le banche, tutte, ci hanno fatto abbandonare le chiavette che generavano l'OTP? che erano più sicure, mi sembrerebbe
maurizio |
|
Top |
|
|
ilmanowar Eroe in grazia degli dei
Registrato: 06/08/07 06:31 Messaggi: 180
|
Inviato: 13 Apr 2021 03:32 Oggetto: |
|
|
@m.lana, purtroppo no, sto ricevendo molti messaggi SMS da banche e aziende di spedizioni con cui non ho recenti legami in cui mi invitano gentilmente a cliccare sul loro link per installare il loro troyan.
Quindi la ID e PW sarebbe facile da avere da persone meno attente che usano lo smartphone per queste cose.
Aggiungo che stiamo messi veramente male. I suggerimenti nell'articolo sono più che appropriati. |
|
Top |
|
|
m.lana Mortale devoto
Registrato: 26/09/05 10:49 Messaggi: 12
|
Inviato: 13 Apr 2021 08:44 Oggetto: |
|
|
capisco. io stavo pensando ...egoisticamente al mio caso.
se cambio ID e PW per l'accesso al conto online, chi ottenesse l'OTP che la banca mi manda per SMS non se ne farebeb nulla dal momento che non ha l'ID e la PW.
o c'è qualcosa che mi sfugge?
m |
|
Top |
|
|
ilmanowar Eroe in grazia degli dei
Registrato: 06/08/07 06:31 Messaggi: 180
|
Inviato: 13 Apr 2021 09:04 Oggetto: |
|
|
@m.lana, senza offese, ma perché il tuo caso sarebbe diverso dal resto del mondo?
Come fai a sapere che non sapranno anche solo la tua ID? Potrebbero richiedere il reset della password avendo tutti i tuoi dati personali. Per questo alle domande per il reset si risponde con cose false quando si può, purtroppo le banche non sempre te lo lasciano fare.
I punto è che hanno vanificato, su larga scala, un metodo, che per quanto imperfetto, era efficace per aumentare la sicurezza. Si ritorna indietro di anni e non riconoscere il problema e' il modo migliore per diventare vittime.
Come fai ad essere sicuro che il tuo PC e smartphone non siano stati bucati? Hai Android? Hai Windows? Hai mai usato un PC non tuo per il banking per motivi di tempo? Hai mai salvato le credenziali sul tuo browser di fiducia? Hai mai installato un correttore remoto come Grammarly?
Oppure ha sempre usato una distribuzione live di Linux sicura per entrare in banca?
Cambiare la UN e PW non aiuta molto. |
|
Top |
|
|
ilmanowar Eroe in grazia degli dei
Registrato: 06/08/07 06:31 Messaggi: 180
|
Inviato: 13 Apr 2021 09:10 Oggetto: |
|
|
Altra cosa da tenere in conto.
Non si salvano le banche che usano le app come secondo fattore di autenticazione.
Le app per il banking si possono reinstallare su nuovi telefoni se hai il telefono per ricevere gli sms. Ho provato recentemente, a seguito di un cambio di telefono, per due banche. Fila tutto liscio senza nemmeno una notifica sul vecchio telefono. Questo perché rendono facile la procedura in caso di furto del telefono. |
|
Top |
|
|
ilmanowar Eroe in grazia degli dei
Registrato: 06/08/07 06:31 Messaggi: 180
|
Inviato: 13 Apr 2021 09:21 Oggetto: |
|
|
Altra domanda relativa al fatto che dovremmo usare solo una live Linux per essere sicuri:
Hai Javascript attivo?
JS è il male e delizia di internet. In pratica dai il permesso di eseguire programmi sul tuo PC con un linguaggio complesso e tendenzialmente vulnerabile.
Quindi in linea teorica entrare in un qualsiasi sito, governativo o non, conosciuto o non, non ti permette di essere certo che tu non abbia pre-installato un keylogger.
Non puoi fidarti nemmeno dei siti di cui ti fidi normalmente (banche incluse perché potrebbero essere bucati per altre vie e a proposito).
Stesso discorso vale per tutti i plugin che hai installati per il tuo browser.
Se hanno messo una cosa simile serviva e tanto (sui grandi numeri le banche sanno cosa significa). |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1955
|
Inviato: 13 Apr 2021 11:54 Oggetto: |
|
|
m.lana ha scritto: | 2) perché le banche, tutte, ci hanno fatto abbandonare le chiavette che generavano l'OTP? |
Perche' l'unione europea ha stabilito che i normali generatori di token (le chiavette) non sono sicuri.
Ma sono considerati sicuri i generatori di token che hanno anche una piccola tastiera (la tastiera serve a inserire un pin per sbloccarla e generare il token).
Dato che il possesso di uno smartphone non e' un obbligo di legge, puoi chiedere alla tua banca il token con tastierina.
Le banche serie lo forniscono, se lo chiedi.
. |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1955
|
Inviato: 13 Apr 2021 12:12 Oggetto: |
|
|
Vorrei aggiungere una considerazione.
L'accesso al conto corrente online lo facciamo usando gli strumenti che la banca ha considerato sicuri e che ci ha fornito.
Se la banca, per il servizio "non ricordo la password" usa dei banali sms, e poi mi svuotano il conto, la responsabilita' DEVE ricadere sulla banca (che non ha scelto strumenti idonei) e non su di me (che li ho semplicemente usati).
In altre parole, se pistola alla mano rapinano la banca, chi ci rimette e' la banca. E lo stesso concetto deve valore per le rapine informatiche. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 13 Apr 2021 19:51 Oggetto: |
|
|
zero ha scritto:
Citazione: | Perche' l'unione europea ha stabilito che i normali generatori di token (le chiavette) non sono sicuri. |
Mi piacerebbe sapere su quali basi l' UE ha stabilito che non sono sicuri.
Da notare che il codice cambia ogni 30 secondi. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11600 Residenza: Tokelau
|
Inviato: 13 Apr 2021 22:09 Oggetto: |
|
|
credo che il problema del token senza tastiera fosse che basta sottrarlo per poterlo utilizzare, senza la necessità di essere a conoscenza di un 'segreto' (il PIN)
quando ho aperto il conto corrente qui (UK) mi hanno chiesto se avevo uno smartphone Apple o Android - no, non ce l'ho - e quindi mi hanno dato un generatore di token con tastierino. In Italia in banca avevo invece l'autenticazione a due fattori, con telefonata e codice.
non credo però che tutte le banche (qui o in Italia) siano obbligate a fornirlo, in teoria potrebbero anche dirti "eh, niente smartphone - niente conto, rivolgiti ad altri!" |
|
Top |
|
|
eratostene Dio maturo
Registrato: 10/02/06 12:38 Messaggi: 1060 Residenza: colli fiorentini
|
Inviato: 13 Apr 2021 22:29 Oggetto: |
|
|
zero ha scritto: | Se la banca, per il servizio "non ricordo la password" usa dei banali sms, e poi mi svuotano il conto, la responsabilita' DEVE ricadere sulla banca (che non ha scelto strumenti idonei) e non su di me (che li ho semplicemente usati).
In altre parole, se pistola alla mano rapinano la banca, chi ci rimette e' la banca. E lo stesso concetto deve valore per le rapine informatiche. |
... a meno che nel contratto non ci sia scritto espressamente altro...
domandona: ma se intanto ho cambato l'indirizzo email con uno non compromesso? |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 16 Apr 2021 13:43 Oggetto: |
|
|
zero ha scritto: | m.lana ha scritto: | 2) perché le banche, tutte, ci hanno fatto abbandonare le chiavette che generavano l'OTP? |
Perche' l'unione europea ha stabilito che i normali generatori di token (le chiavette) non sono sicuri.
Ma sono considerati sicuri i generatori di token che hanno anche una piccola tastiera (la tastiera serve a inserire un pin per sbloccarla e generare il token).
Dato che il possesso di uno smartphone non e' un obbligo di legge, puoi chiedere alla tua banca il token con tastierina.
Le banche serie lo forniscono, se lo chiedi.
. |
Non tutte le banche, la mia no. L'ho tenuto più che ho potuto, ma ora sono con l'app.. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 16 Apr 2021 13:45 Oggetto: |
|
|
R16 ha scritto: | zero ha scritto:
Citazione: | Perche' l'unione europea ha stabilito che i normali generatori di token (le chiavette) non sono sicuri. |
Mi piacerebbe sapere su quali basi l' UE ha stabilito che non sono sicuri.
Da notare che il codice cambia ogni 30 secondi. |
Erano un costo per le banche, già molte persone erano passate all'app, il token non lo hanno mai visto. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 16 Apr 2021 13:47 Oggetto: |
|
|
ilmanowar ha scritto: |
Le app per il banking si possono reinstallare su nuovi telefoni se hai il telefono per ricevere gli sms. Ho provato recentemente, a seguito di un cambio di telefono, per due banche. Fila tutto liscio senza nemmeno una notifica sul vecchio telefono. Questo perché rendono facile la procedura in caso di furto del telefono. |
Si ma chiede 2 codici numerici che solo tu dovresti avere.
Almeno così funziona la mia. Poi l'app diventa token. |
|
Top |
|
|
Maary79 Moderatrice Sistemi Operativi e Software
Registrato: 08/02/12 12:23 Messaggi: 12248
|
Inviato: 16 Apr 2021 13:51 Oggetto: |
|
|
SverX ha scritto: | credo che il problema del token senza tastiera fosse che basta sottrarlo per poterlo utilizzare, senza la necessità di essere a conoscenza di un 'segreto' (il PIN) |
Uhm, no dovresti aver bisogno dei famosi 2 codici che solo tu dovresti sapere.
Il guaio era tenere nello stesso posto token e codici (di solito stampati su carta).
Citazione: | quando ho aperto il conto corrente qui (UK) mi hanno chiesto se avevo uno smartphone Apple o Android - no, non ce l'ho - e quindi mi hanno dato un generatore di token con tastierino. In Italia in banca avevo invece l'autenticazione a due fattori, con telefonata e codice.
non credo però che tutte le banche (qui o in Italia) siano obbligate a fornirlo, in teoria potrebbero anche dirti "eh, niente smartphone - niente conto, rivolgiti ad altri!" |
Semplicemente ti fanno un conto senza home banking, come quello che fanno ai vecchietti, che non sanno usare il pc o smartphone, che costa di più |
|
Top |
|
|
|