Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
{UtenteAnonimo} Ospite
|
Inviato: 24 Ott 2023 17:38 Oggetto: |
|
|
Certamente, in media è un passo avanti, ma i dati biometrici sul dispositivo dovranno essere salvati da qualche parte. Ad esempio il trusted element o il dispositivo stesso di rilevazione (fotocamera o impronti), idem per il PIN.
Peggio che peggio sono dai che non possiamo cambiare (quelli biometrici).
In sintesi trovo che possa essere una buona idea come tecnologia, ma non certo una panacea.
Dove c'è comodità, non c'è sicurezza.
Oltretutto mi sembra che crei un single point of failure molto remunerativo per un attaccante, che quindi sarà disposto a sborsare più soldi per compromettersi (il dispositivo dell'utente).
Alla fine ora se mi compromettono lo smartphone vanno poco lontani.
Un domani avranno virtualmente accesso a tutte le mie credenziali? No buono |
|
Top |
|
|
{Dubbioso} Ospite
|
Inviato: 24 Ott 2023 19:24 Oggetto: |
|
|
Ci sono delle paure che non vedo elencate.
Perdita o distruzione del dispositivo contenente le chiavi private.
Situazioni in cui lo sblocco biometrico può venire forzato con la violenza. Un aggressore od un militare/poliziotto può forzarmi con la violenza a sbloccare il dispositivo, ma avrebbe più difficoltà estrarre con la violenza un segreto che custodisco nella mia testa. |
|
Top |
|
|
silviop Mortale pio
Registrato: 11/04/23 16:14 Messaggi: 27
|
Inviato: 24 Ott 2023 21:16 Oggetto: |
|
|
Non capisco perche' su linux debba usare un device android, se io voglio un passkey manager puramente software avro' diritto di utilizzarlo, o per caso i big vogliono imporre la LORO affidabilita/integrita ai miei device che custodiscono la mia passkey?
A pensar male.........e poi sappiamo che tutto finisce in DRM |
|
Top |
|
|
cipper Mortale devoto
Registrato: 30/09/14 07:23 Messaggi: 13
|
Inviato: 25 Ott 2023 16:25 Oggetto: |
|
|
tutti i vantaggi elencati si possono gia' ottenere con un gestore password locale, come keepassxc
l'aspetto che trovo inquitetante nel sistema passkey e' che richiede l'appoggio di un servizio proprietario, i soliti GAFAM, che in questo modo potranno sapere a quali siti ci connettiamo e in quale orario. No grazie. |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1951
|
Inviato: 26 Ott 2023 10:45 Oggetto: |
|
|
Finalmente un articolo che spiega chiaramente la PassKey!
. |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1951
|
Inviato: 26 Ott 2023 10:56 Oggetto: |
|
|
cipper ha scritto: | tutti i vantaggi elencati si possono gia' ottenere con un gestore password locale, come keepassxc |
NO.
1) se per sbaglio (anche stando attenti, un piccolo rischio esiste) finisci in un sito che SEMBRA quello vero, e inserisci le credenziali, ti rubano utente e password (phishing).
Con PassKey, non potrebbe funzionare, perche' il sito farlocco non ha la chiave corrispondente alla tua.
2) se bucano il sito web e rubano le credentiali degli utenti, sei fregato
(l'articolo lo spiega bene)
. |
|
Top |
|
|
cipper Mortale devoto
Registrato: 30/09/14 07:23 Messaggi: 13
|
Inviato: 26 Ott 2023 12:53 Oggetto: |
|
|
Citazione: | 1) se per sbaglio (anche stando attenti, un piccolo rischio esiste) finisci in un sito che SEMBRA quello vero, e inserisci le credenziali, ti rubano utente e password (phishing).
Con PassKey, non potrebbe funzionare, perche' il sito farlocco non ha la chiave corrispondente alla tua. |
i gestori di password non inseriscono le credenziali se l'indirizzo del sito e' diverso
Citazione: | 2) se bucano il sito web e rubano le credentiali degli utenti, sei fregato |
i siti piu' importanti hanno comunque gia' la 2FA, per gli altri siti secondari non mi sembra rilevante
[/quote] |
|
Top |
|
|
Ripper_92 Eroe in grazia degli dei
Registrato: 11/09/09 10:03 Messaggi: 193
|
Inviato: 27 Ott 2023 14:51 Oggetto: |
|
|
Citazione: | Una volta tanto, insomma, siamo di fronte a un'innovazione tecnologica che ci chiede di fare meno cose di prima in cambio di maggiore sicurezza |
Oddio, devo sempre avere dietro il telefono e questo dev'essere sia carico e connesso alla rete. Mettiamo che ho il passkey attivo, vuol dire che ci posso accedere solo dai miei dispositivi registrati? Se devo accedere da un altro computer devo registrarlo? E poi devo dimenticare la registrazione quando ho fatto? Non mi pare così comodo... Dal mettere utente e password a mettere solo l'utente non si previene il consumo di dita, diciamo che l'unico pro sarebbe avere un sistema a prova di scemo che non lo fa cascare in siti farlocchi. Sembra un gestore di password con extra steps, la password c'è, solo che l'utente non la vede e viene salvata su ogni dispositivo registrato (o nel cloud) |
|
Top |
|
|
cipper Mortale devoto
Registrato: 30/09/14 07:23 Messaggi: 13
|
Inviato: 27 Ott 2023 15:29 Oggetto: |
|
|
@Ripper_92 concordo.
In aggiunta registrando le passkey con un gestore, es google, c'e' un forte lock-in verso quel gestore, mentre con email e password (ed eventualmente 2FA) non c'e' alcun lockin se non quello della email, che pero' si puo' forwardare verso un nuovo account.
O forse sono previsti meccanismi di portabilita' se voglio passare dal passkey di google a quello di apple? |
|
Top |
|
|
gmarcm Eroe
Registrato: 05/10/20 18:53 Messaggi: 49
|
Inviato: 27 Ott 2023 16:28 Oggetto: |
|
|
Grazie, informazioni utilissime!
ma, non volendo appesantirsi con dispositivi extra (lettori impronte/facciali) resta il PIN e la necessità, lavorando su PC, di avere lo smartphone acceso per sbloccare l'accesso o è possibile ricevere la richiesta di sblocco su e-mail?
Inoltre (colpa della mia ignoranza ...) suppongo che ogni app online (ad.es i vari forum) dovrà avere una passkey (PIN) diversa; occorrerà ricordarla o memorizzarla da qualche parte?
Grazie per questi ulteriori particolari. |
|
Top |
|
|
777omega777 Mortale devoto
Registrato: 22/07/13 14:24 Messaggi: 5
|
Inviato: 27 Ott 2023 16:58 Oggetto: |
|
|
Io avrei altre perplessità rispetto a quelle elencate:
1 - Che succede se perdo lo smartphone? Se me lo rubano, se si rompe e quant'altro. Se per qualche motivo è scarico e ho la necessità di accedere alla mia email?
2 - Se non lo si possiede lo smartphone, ci sono delle alternative? E queste alternative sono dipendenti da qualche servizio o limitati a uno specifico sistema operativo? Non vorrei trovarmi nel caso che nell'email possa accederci solo da Windows e non da Linux.
Se si potesse utilizzare semplicemente un dispositivo di riconoscimento dell'impronta digitale, da comprare a venti euro su Amazon e tenermene un secondo di riserva da usare nei siti che più preferisco... (usandone uno integrato per quanto riguarda lo smartphone) posso ancora trovarla una cosa utile, ma se mi devo appoggiare a un'azienda che idealmente potrebbe anche morire domani, mi tengo KeePass. |
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6269 Residenza: Atlantica
|
Inviato: 27 Ott 2023 21:11 Oggetto: |
|
|
Innanzitutto per accedere ad un sito internet come ad esempio Gmail, in futuro dal mio computer di casa dovrò obbligatoriamente avere uno smartphone.
Mio padre non ha uno smartphone, ma un vecchio cellulare, e quindi quando Google decidere che si deve usare solo passkey, ecco che li non potra accedere più alla sua posta di Gmail.
Ne lui deve essere obbligato ad avere uno smartphone, per Gmail, perché quando apri la casella di posta questo tipo di cellulare non esisteva.
Inoltre avere qualcosa memorizzato su un dispositivo che può essere perso, rubato, danneggiato o semplicemente non accessibile risulta essere una roba stupida, che solo degli idioti possono considerare un progresso tecnologico.
PASSKEY ha l'unico vantaggio di rendere inutile il pishing, e ridurre l'utilità di Keylogger alla pura raccolta di informazioni, che incidentalmente potrebbero ancora fornire dati utili se qualcuno si mette a digitare informazioni sensibili, però costringe il malintenzionato ad analizzare un enorme mole dati di flusso dati moltiplicata per tutti i malcapitati, da far tremare qualunque intelligenza artificiale. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6269 Residenza: Atlantica
|
Inviato: 29 Ott 2023 17:22 Oggetto: |
|
|
Magari il phisihing potesse essere ricollegato solo al birdwatching |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 29 Ott 2023 17:42 Oggetto: |
|
|
pishing? phisihing?
La lingua inglese, per dirla con Giacomo Poretti, è come la rucola, infida e bastarda: una lettera fuori posto e passi da un bacio in bocca ad un cazzotto in faccia. |
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6269 Residenza: Atlantica
|
Inviato: 29 Ott 2023 18:39 Oggetto: |
|
|
già una lingua che per usarla richiede l'uso di tutte e due gli emisferi solo per comprendere di cosa stia parlando quello innanzi a te, sperando ch sia ancora sobrio, chiarisce tutto circa l'adorazione che porto verso questo idioma! |
|
Top |
|
|
gomez Dio maturo
Registrato: 28/06/05 10:26 Messaggi: 2105 Residenza: Provincia di Torino
|
Inviato: 30 Ott 2023 05:31 Oggetto: |
|
|
Zeus News ha scritto: | <<Ma in pratica, come funziona?>> |
Che se non ho con me il mio cellulare funzionante sono isolato da tutto?
Chiedo per un amico che ce l'ha carico al 3% già alle 9 del mattino, e in ogni caso lo dimentica ovunque. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 30 Ott 2023 09:46 Oggetto: |
|
|
Beh, se le cose stanno così per il tuo amico il problema travalica il tema dell'accesso alle credenziali... |
|
Top |
|
|
gomez Dio maturo
Registrato: 28/06/05 10:26 Messaggi: 2105 Residenza: Provincia di Torino
|
Inviato: 01 Nov 2023 23:27 Oggetto: |
|
|
Homer S. ha scritto: | Beh, se le cose stanno così per il tuo amico il problema travalica il tema dell'accesso alle credenziali... |
No, il problema è PROPRIO l'accesso alle credenziali... con la fottuta password (scommetterei 12345) pispolava tranquillo su qualunque altro accrocco. |
|
Top |
|
|
|