ovunque.
ormai sono dappertutto, nei cellulari/palmari, sui PCs, sui siti che visitiamo, sulle applicazioni web che utilizziamo.
user/password è l’autenticazione per eccellenza, il metodo conosciuto da tutti, ma non sicuramente l’unico.
la biometria, dicono, che la farà da padrone fra qualche anno, che spodesterà il vecchio, inefficiente, metodo. si, la biometria, ovvero l’impronta digitale, la lettura dell’iride, il riconoscimento facciale; metodi futuristici che sono già oggi utilizzati in ambienti mission critical.
quindi finalmente potremo dimenticarci tutte quelle odiose ‘parole d’ordine‘ per accedere ai vari servizi.
certo anche questi nuovi metodi non sono ad oggi del tutto infallibili, hanno qualche piccolo problema di gioventù, ma è sicuramente un’ ottima alternativa.
ma vediamo gli errori comuni che gli utenti fanno nella gestione dei loro accounts:
è altresì evidente che cercando di non incorrere nei tre errori sopra menzionati si finisca con l’avere 86737536774 passwords da ricordare. preoccupati? beh, una parziale soluzione può essere quella di usare un password manager locale o, addirittura online.
il password manager permette di accedere a tutti i propri accounts solamente ricordando una password (meglio se una frase).
di seguito propongo i software da scaricare ed usare in locale che consiglio:
[MS Windows] KeePass open source, sicuro, ben fatto
[Linux/*NIX - MAC OS X] KeePassx stesso software che è stato portato su queste piattaforme
se volete invece che le passwords siano residenti su servers remoti posso consigliarvi questi servizi (che garantiscono affidabilità, serietà e sicurezza):
Passpack [algoritmo di crittazione: AES-256, trasferimenti in https, anti-phishing ...e altro]
Clipperz [chiave a 128 bit, trasferimenti in https, il funzionamento non permette neanche agli amministratori di conoscere nulla degli utenti (nemmeno lo username) ...e altro]
spero comunque che l’era delle passwords abbia le ore contate e che la biometria sia disponibile per tutti gli utenti/dispositivi/sistemi operativi.
8 Responses to user/password, il male del III° Millennio (a quando le password biometriche per tutti?)
Pasquale
September 4th, 2007 at 23:52
Secondo me è ancora una questione di costi.
Ma se ancora adesso un dongle USB per bluetooth costa un sacco rispetto al contenuto tecnologico contenuto…. figuriamoci uno scanner biometrico….
Comunque altro punto da considerare è la quantità di informazioni da memorizzare per una scansione biometrica rispetto alle poche lettere di una password.
Ciao
marco
September 5th, 2007 at 0:17
beh, i costi all’inizio della produzione sono sempre un grosso problema, via via però con la diffusione si riducono sensibilmente.
per quanto riguarda i dati da memorizzare la tua è una considerazione legittima, io (pur non occupandomi di queste cose) ti posso solo dire la mia, e cioè che ci sono algoritmi molto complessi che (penso) possano comprimere tutti questi dati
facendoli stare in spazi molto più piccoli, aggiungiamoci poi che ormai le CPUs sono potenti per la loro gestione e che la banda larga inizia ad essere molto diffusa, insomma, non mi riesce difficile di sognare un futuro prossimo biometrico…
ciao,
marco
Francesco Sullo
September 5th, 2007 at 11:09
Ciao.
Sono uno dei fondatori di PassPack. Ti ringrazio per averci citato.
Vorrei però aprire un dibattito sulla biometria perché devo ammettere che mi rende ansioso.
Allo stato attuale sono pochissimi i luoghi dove ci viene letta, per esempio, l’impronta dell’indice per verificare la nostra identità e quindi si può stare abbastanza tranquilli. Ma quando i lettori d’impronta si diffonderanno molto e saranno usati dappertutto, dovremo girare con i guanti anche col caldo d’agosto perché a toccare qualsiasi cosa si correrà il rischio che ci sia uno scanner d’impronte. E se la nostra impronta venisse catturata e riprodotta allora la nostra sicurezza sarebbe sotto zero. Inoltre si dovrebbe stare attentissimi a non autenticarsi su siti non sicuri perché con un processo inverso potrebbero clonarci il dito.
E alla stessa maniera si dovrà girare con gli occhiali da sole o con occhiali distorcenti (alla “captcha”, per capirci) per evitare che ci “scannino” la retina. E assorbitori di sudore per evitare che ci becchino il DNA.
Almeno con una utenza posso scegliere di scrivere cose strane ed anonime e se anche me la scoprono posso sempre recuperare. Ma se mi clonano un dito, mi faccio una plastica per avere una nuova impronta? E dopo sarò certo che dappertutto sapranno riconoscermi o diranno che il vero io è quell’altro ed io sono un truffatore?
Sarò forse esagerato, ma uno scenario di questo tipo mi terrorizza.
Tu che ne pensi?
marco
September 5th, 2007 at 15:33
ciao Francesco, benvenuto nel mio piccolo spazio online.
tu parli di sicurezza, ma come sai, anche nella biometria (come in tutte le cose riguardanti l’informatica) la garanzia di non subire frodi non esiste.
infatti se la tecnologia avanza di pari passo esiste anche la tecnologia inversa che permette di ricreare pari pari impronte, scansioni di retina e quant’altro.
per non farsi rubare l’identità, forse, a questo punto, conviene essere ridondanti ed incrociare i dati, cioè far sì che l’autenticazione vada a buon fine solo se passa 3-4 controlli; ma anche qui non si avrebbe l’assoluta certezza di autenticità del soggetto.
certo il problema degli scanner posizionati in posti stategici, pronti a raccogliere dati per poi agire in modo fraudolento, esiste e spaventa pure me.
però, fermiamoci un attimo a ragionare: qualsiasi metodo si utilizzi per autenticarsi è, intrinsecamente insicuro, questo oggi e, probabilmente, domani.
se ad una mossa si può sempre rispondere con una contromossa, esiste un modalità che permetta sicurezza, affidabilità, privacy per tutti gli utenti?
sarò pessimista ma per me la risposta è no.
ciao,
marco
marco
September 5th, 2007 at 15:38
ops, mi sono dimenticato di farvi i miei migliori ‘in bocca al lupo’ per il progetto (che è _italiano_) che avete intrapreso e che, spero, vi dia grandi soddisfazioni.
c’è bisogno di Italia nella grande Rete e molte cose le sappiamo fare bene e meglio di altri.
marco.
Francesco Sullo
September 5th, 2007 at 19:59
Il fatto è che ci sono eventi negativi che in qualche maniera possono essere recuperati ed eventi catastrofici che non sono più recuperabili. Se qualcuno mi piazza una backdoor sul Pc tramite un worm e si acchiappa la mia utenza e la password per accedere al mio conto bancario, probabilmente si farà un bonifico in qualche parte sperduta del mondo.
Se anche riuscisse a fare tutto senza che io riesca a bloccarlo, comunque mi avrà rubato qualche migliaio di euro. Nel frattempo potrò chiamare la banca e farmi cambiare la password.
Non c’è niente di veramente sicuro, ma hai modo di recuperare.
Ma se qualcuno riuscisse a riprodurre il mio polpastrello e tramite quello cominciasse ad autenticarsi dappertutto, be’, non mi viene in mente un modo per recuperare. Certo, potrei dire che non ero io, ma che faccio, blocco il dito come si blocca una carta di credito? Difficile, direi. Certo si potrebbe gestire tutto con il dito ed una password di conferma, ma così ci si perde il vantaggio di avere un SSO nel dito.
Boh. Forse è inutile pensarci adesso.
Magari in futuro PassPack potrebbe diventare un “online ‘polpastrello’ manager”
Francesco Sullo
September 5th, 2007 at 20:00
A proposito, crepi! il lupo
marco
September 5th, 2007 at 21:45
una strada, per evitare quello che dici potrebbe essere, come ti ho scritto sopra, quella dell’autenticazione multipla incrociata (es: polpastrello, retina, riconoscimento facciale) il tutto attuabile con uno scanner/mouse e una cam da porre davanti all’utente.
altri metodi non me ne vengono in mente..
d’altronde siete voi gli esperti di autenticazioni, no?
e allora risolvete il problema
ciao,
marco