Re: [OT] internet banking e autenticazione biometrica
Il 10/11/2021 20:52, Davide Prina ha scritto: https://taler.net/en/ tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa ha firmato né a chi l'ha firmato. Ah, ok. Non avevo visto. Allora vale la pena di approfondire. In effetti mi pareva strano... :) Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. no, l'anonimato non è assoluto. Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro.Come ho detto, merita approfodimento. Poi bisognerà vedere se il bar sotto casa l'accetterà... :) Purtroppo l'adozione rischia di essere lo scoglio sul quale si infrangono bei progetti: se un sistema (soprattutto di pagamento) non si integra bene nel workflow dell'utente (p.e. interfacciandosi al registratore di cassa), non verrà adottato e al massimo rimarrà un gadget "di nicchia". -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 21:19, cage wrote: On Tue, Nov 09, 2021 at 12:32:20PM +, MAURIZI Lorenzo wrote: In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Il problema e' che - se invece usi questo sistema di autenticazione (le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa la stessa password per siti diversi. Forzato uno, forzate tutte. infatti Infine i dati biometrici sono rubati senza neanche troppa difficolta': https://www.schneier.com/blog/archives/2015/10/stealing_finger.html questo molto probabilmente lo avevo letto, ma me ne ero dimenticato. Spesso mi guardo il blog di Schneier, al venerdì pubblica un articolo che non c'entra nulla con la sicurezza, ma tutti possono commentarlo con notizie che Schneier non ha ancora riportato nel suo blog. Interessante leggere questi commenti, poiché partecipano diversi esperti di sicurezza anche per scambiarsi opinioni tra loro. Comunque, dal mio punto di vista, se si iniziano a richiedere dati biometrici per l'autenticazione si creerà sempre più un mercato di questi dati rubati e quindi aumenteranno i "furti". Essendo tutti questi dati non bloccabili/sostituibili, una volta che te li hanno rubati sei "fritto" ... a meno che non fai un intervento chirurgico per sostituirti le impronte digitali, sostituirti le cornee o fare un intervento plastico facciale... L'unica strada che vedo è vietare l'uso di dati biometrici di propri clienti per qualsiasi attività. In questo modo il mercato diventa meno appetibile e i furti meno probabili. Ciao Davide -- Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 14:43, Piviul wrote: Il 09/11/21 23:03, Davide Prina ha scritto: basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io fino a prova contraria continuo a credere che non sia impresa tanto semplice da un'impronta lasciata su un bicchiere ho preso tre link a caso da una ricerca fatta al momento. Tempo fa avevo letto come poter creare un dito finto a partire da un'impronta digitale lasciata su una superficie, probabilmente era un articolo di qualche ricercatore. Probabilmente se cerchi su arxiv trovi vari studi proposti per poter clonare una componente biometrica e usarla per un riconoscimento che usi tale componente. Ciao Davide -- What happened in 2013 couldn't have happened without free software (He credited free software for his ability to help disclose the U.S. government's far-reaching surveillance projects). Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 08:26, Diego Zuccato wrote: Il 09/11/2021 23:04, Davide Prina ha scritto: https://taler.net/en/ tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa ha firmato né a chi l'ha firmato. Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. no, l'anonimato non è assoluto. Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro. Ciao Davide [¹] https://en.wikipedia.org/wiki/Blind_signature -- I lati oscuri del secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web Petizione contro il secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 08:17, Diego Zuccato wrote: Il 09/11/2021 22:26, Davide Prina ha scritto: Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare. Scusa, ma questo proprio non sta in piedi. Per lo meno per TOTP e HOTP. Entrambi si basano su troncamento di hash crittografici. a me hanno detto che le chiavette per l'accesso alla banca sono state tolte perché non sicure. Alcune banche ora forniscono chiavette dette smart (hanno un tastierino e non un singolo bottone). Mi hanno detto inoltre che il problema principale è che l'utente o chi può accedere alla chiavetta (attaccante) può generare a piacere tanti token. Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere: l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei un insieme di sequenze future generate a partire da N semi e in base agli TOTP che intercetti, in determinati tempi, li verifichi con la tua griglia, se trovi delle corrispondenze, allora puoi ipotizzare di aver individuato la sequenza corretta. Più token intercetti nel tempo e maggiori probabilità hai di individuare la sequenza corretta... se è tra quelle da te calcolata nella griglia. In questo modo se l'attaccante sta eseguendo l'attacco su una sola vittima, allora può adagio adagio scartare le sequenze non corrispondenti e sostituirle con nuove. Non ho idea della quantità di calcoli necessari per ottenere qualcosa del genere e la probabilità di poter azzeccare la sequenza corretta. Perfino con MD5 (considerato non sicuro) non è semplice risalire dall'hash alla preimmagine. però dipende dall'uso, l'MD5 non è considerato sicuro se usato per calcolare l'hash di un file, questo perché è dimostrato che è possibile creare un altro file e far sì che l'hash corrisponda a quello del file di origine. Cioè è "facile" trovare/creare collisioni. Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/21 14:43, Piviul ha scritto: > Il 09/11/21 23:03, Davide Prina ha scritto: >> On 09/11/21 14:56, Piviul wrote: >>> Il 09/11/21 14:39, Mirco Piccin ha scritto: >> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. >> >>> su questo posso essere d'accordo anche se temo che in ogni caso >>> l'impronta usata su un bicchiere non sia utilizzabile come impronta >>> per l'autenticazione, mi sembra un po' fantascientifica... >> >> basta cercare su internet e trovi diversi metodi: >> https://www.instructables.com/How-to-replicate-fingerprints/ >> https://www.wikihow.com/Fake-Fingerprints >> https://www.youtube.com/watch?v=SnEkg-SWDZs > > molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra > si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io > fino a prova contraria continuo a credere che non sia impresa tanto > semplice da un'impronta lasciata su un bicchiere costruire un finto dito > tridimensionale atto alla autenticazione o un token di autorizzazione da > una app... > > Piviul > Sono anch'io scettico sulla sicurezza dell'uso dei dati biometrici. Aggiungo questo post di Attivissimo, nel quale riporta la notizia che è possibile risalire alle impronte digitali da una semplice foto (del 2014)... e qualcuno poi da questo potrebbe riprodurre (e usare) quelle impronte. https://attivissimo.blogspot.com/2021/05/malvivente-condannato-grazie-una-foto.html Mario
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 23:03, Davide Prina ha scritto: On 09/11/21 14:56, Piviul wrote: Il 09/11/21 14:39, Mirco Piccin ha scritto: Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io fino a prova contraria continuo a credere che non sia impresa tanto semplice da un'impronta lasciata su un bicchiere costruire un finto dito tridimensionale atto alla autenticazione o un token di autorizzazione da una app... Piviul