1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • [OT] internet banking e autenticazione biometrica

    From Piviul@21:1/5 to All on Tue Nov 9 09:20:02 2021
    Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e
    nemmeno su debian però riguarda un mondo strettamente interconnesso...

    Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad
    installare la loro app sul cellulare in modo da non stare a leggere i
    codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici.

    Questo è quello che dice letteralmente:

    al primo accesso scegli il tuo codice personale (pin);
    associa la tua impronta digitale o il riconoscimento del volto.

    Da questo momento basterà un tocco per autorizzare gli accessi su
    internet banking o le operazioni che esegui e non sarà più necessario richiedere il codice di conferma SMS.

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i
    tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
    nulla... o mi sbaglio?

    Grazie

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Felipe Salvador@21:1/5 to Piviul on Tue Nov 9 09:50:02 2021
    On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote:
    Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e
    nemmeno su debian però riguarda un mondo strettamente interconnesso...

    Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad
    installare la loro app sul cellulare in modo da non stare a leggere i
    codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici.

    Questo è quello che dice letteralmente:

    al primo accesso scegli il tuo codice personale (pin);
    associa la tua impronta digitale o il riconoscimento del volto.

    Da questo momento basterà un tocco per autorizzare gli accessi su
    internet banking o le operazioni che esegui e non sarà più
    necessario richiedere il codice di conferma SMS.

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
    i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio?

    Ciao,
    non usare il telefono per operazioni sul tuo conto, indipendentemente
    dal metodo di autenticazione.

    Per prevenire quello che tu stesso hai ipotizzato.

    Perché le "app" rastrellano dati personali come se non ci fosse un
    domani.

    Perché loro si fanno garanti della sicurezza delle loro "app", ma il
    modello di sviluppo è rotto fin dal principio.

    Saluti

    Grazie

    Piviul

    --

    Felipe Salvador

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Mirco Piccin@21:1/5 to All on Tue Nov 9 12:50:01 2021
    Ciao

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
    i tuoi dati biometrici ti può svuotare il conto senza che tu ne
    sappia nulla... o mi sbaglio?

    "se uno conosce il tuo pin" già sei a posto, direi.
    Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato.
    E' molto più semplice l'ingegneria sociale...

    My 2 cents...
    M

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Filippo Dal Bosco -@21:1/5 to All on Tue Nov 9 12:40:02 2021
    Il giorno Tue, 9 Nov 2021 09:01:44 +0100
    Piviul <piviul@riminilug.it> ha scritto:



    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
    i tuoi dati biometrici ti può svuotare il conto senza che tu ne
    sappia nulla... o mi sbaglio?

    per operare con le banche è estremante consigliato NON usare app dello smartphone.

    le impronte digitali possono essere facilmente "rubate". Ad esempio al
    bar tu bevi da un bicchiere, lasci il bicchiere con le tue impronte
    che qualcuno può copiare.

    l' unico metodo biometrico abbastanza sicuro è la lettura della retina,
    non del volto. Il tuo volto può essere fotografato e la foto potrebbe
    essere usata per rubare i tuoi soldi.

    Io penserei a cambiare la banca che mi propone simili facezie.

    --
    Filippo

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From MAURIZI Lorenzo@21:1/5 to All on Tue Nov 9 13:40:01 2021
    Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza.

    Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
    In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.

    Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
    In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.

    E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.

    LM


    -----Messaggio originale-----
    Da: Piviul <piviul@riminilug.it>
    Inviato: martedì 9 novembre 2021 09:02
    A: debian-italian <debian-italian@lists.debian.org>
    Oggetto: [OT] internet banking e autenticazione biometrica

    Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e nemmeno su debian però riguarda un mondo strettamente interconnesso...

    Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad installare la loro app sul cellulare in modo da non stare a leggere i codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati
    biometrici.

    Questo è quello che dice letteralmente:

    al primo accesso scegli il tuo codice personale (pin); associa la tua impronta digitale o il riconoscimento del volto.

    Da questo momento basterà un tocco per autorizzare gli accessi su
    internet banking o le operazioni che esegui e non sarà più necessario richiedere il codice di conferma SMS.

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio?

    Grazie

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From pinguino@21:1/5 to Diego Zuccato on Tue Nov 9 15:00:02 2021
    On 09/11/21 13:07, Diego Zuccato wrote:
    Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione...

    Il 09/11/2021 14:39, Mirco Piccin ha scritto:
    Ciao

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba >>>> i tuoi dati biometrici ti può svuotare il conto senza che tu ne
    sappia nulla... o mi sbaglio?

    "se uno conosce il tuo pin" già sei a posto, direi.
    Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
    esagerato.
    E' molto più semplice l'ingegneria sociale...

    My 2 cents...
    M



    Buongiorno Lista,

    Il buon vecchio SMS One-time sembra che funziona ancora bene.
    Cioè quello cambia ogni volta che si accede e vale solo per pochi
    minuti. Ha un costo di pochi cents, ma forse vale la pena.

    Grazie
    Saluti
    Claudio


    --
    https://www.linkedin.com/in/claudio-sandrone

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Tue Nov 9 15:00:01 2021
    Il 09/11/21 14:39, Mirco Piccin ha scritto:
    Ciao

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
    i tuoi dati biometrici ti può svuotare il conto senza che tu ne
    sappia nulla... o mi sbaglio?
    "se uno conosce il tuo pin" già sei a posto, direi.

    beh, qui era un po' il senso del thread... secondo voi che sicurezza
    hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può
    riuscire ad autenticarsi con l'internet banking?


    Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale...

    su questo posso essere d'accordo anche se temo che in ogni caso
    l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica...

    Comunque non preoccupatevi non penso proprio di utilizzare il cellulare
    per l'internet banking e nemmeno per effettuare pagamenti, non è nelle
    mie corde, non mi sembra così faticoso tirare fuori il portafoglio...

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Filippo Dal Bosco -@21:1/5 to All on Tue Nov 9 15:20:02 2021
    Il giorno Tue, 9 Nov 2021 14:56:05 +0100
    Piviul <piviul@riminilug.it> ha scritto:



    su questo posso essere d'accordo anche se temo che in ogni caso
    l'impronta usata su un bicchiere non sia utilizzabile come impronta
    per l'autenticazione, mi sembra un po' fantascientifica...

    secondo te come si fanno a rilevare le impronte digitali e poi a
    confrontarle con una database in corso di una indagine giudiziaria ?

    Stesso metodo per prenderle da un oggetto che hai toccato e poi
    usarle.

    Solo la "foto" della retina è difficile da ottenere in modo fraudolento
    a meno che un oculista che ti fa l' OCT ( scansione laser della
    retina) non lo ceda ad altri

    --
    Filippo

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Tue Nov 9 15:20:02 2021
    Il 09/11/21 15:02, Diego Zuccato ha scritto:
    Beh, usare il cell per pagare è decisamente una comodità. Basta
    prendere precauzioni: p.e. non tieni il conto principale in gestione
    dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno
    alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca
    il cell, al limite ti porta via due settimane di budget. Non è bello
    ma non è come se ti svuotasse tutto il conto coi risparmi di una vita...

    a me non piacerebbe, mi piace avere memoria delle cose che faccio e fare un'azione fisica mi aiuta a ricordarne l'esistenza, non ne sento proprio
    la necessità.

    Ma del resto è cosa nota: de gustibus non est disputandum.

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Paolo_Red=c3=a6lli?=@21:1/5 to All on Tue Nov 9 15:20:01 2021
    Il 09/11/21 14:55, pinguino ha scritto:
    Il buon vecchio SMS One-time sembra che funziona ancora bene.
    Cioè quello cambia ogni volta che si accede e vale solo per pochi
    minuti. Ha un costo di pochi cents, ma forse vale la pena.

    Altrove (FSFE Milano) c'è chi lavora nella telefonia ed evita come la
    peste gli SMS che clonare una SIM ci vuole un attimo.

    Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi
    nessuno le usa, che io sappia.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Paolo_Red=c3=a6lli?=@21:1/5 to All on Tue Nov 9 15:40:03 2021
    Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto:
    Il giorno Tue, 9 Nov 2021 15:13:34 +0100
    Paolo Redælli <paolo.redaelli@gmail.com> ha scritto:

    Una soluzione valida sarebbero la OTP con applicazioni libere, ma
    quasi nessuno le usa, che io sappia.
    l' autenticazione con CIE ( o SPID) sarebbe ottima.
    Al momento l' unica banca che propone lo SPID è Fineco

    Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano solo
    su sistemi proprietari e si rifiutano di girare sulle versioni libere o de-googlizzate degli smartphone.

    Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le
    OTP, ma nessun fornitore lo fa.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Christian Surchi@21:1/5 to All on Tue Nov 9 15:50:01 2021
    Il 09/11/2021 15:36 Paolo Redælli ha scritto:
    Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto:
    Il giorno Tue, 9 Nov 2021 15:13:34 +0100
    Paolo Redælli <paolo.redaelli@gmail.com> ha scritto:

    Una soluzione valida sarebbero la OTP con applicazioni libere, ma
    quasi nessuno le usa, che io sappia.
    l' autenticazione con CIE ( o SPID) sarebbe ottima.
    Al momento l' unica banca che propone lo SPID è Fineco

    Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano
    solo su sistemi proprietari e si rifiutano di girare sulle versioni
    libere o de-googlizzate degli smartphone.

    Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le
    OTP, ma nessun fornitore lo fa.

    E comunque, che io sappia, fineco regala lo SPID ai clienti ma non
    permette di usarlo per autenticarsi al proprio conto.

    ciao
    Christian

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Filippo Dal Bosco -@21:1/5 to All on Tue Nov 9 15:30:02 2021
    Il giorno Tue, 9 Nov 2021 15:13:34 +0100
    Paolo Redælli <paolo.redaelli@gmail.com> ha scritto:



    Una soluzione valida sarebbero la OTP con applicazioni libere, ma
    quasi nessuno le usa, che io sappia.

    l' autenticazione con CIE ( o SPID) sarebbe ottima.
    Al momento l' unica banca che propone lo SPID è Fineco



    --
    Filippo

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Bertorello, Marco@21:1/5 to All on Tue Nov 9 15:20:02 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --------------ud7OactP4NZlF5F1E7zS4h8V
    Content-Type: multipart/mixed; boundary="------------0nu00rQWkXWVFwy4cG7Ip8nM"

    --------------0nu00rQWkXWVFwy4cG7Ip8nM
    Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: base64

    DQpJbCAwOS8xMS8yMDIxIDEzOjA3LCBEaWVnbyBadWNjYXRvIGhhIHNjcml0dG86DQo+IEls IHByb2JsZW1hIGRlbGwnYXV0ZW50aWNhemlvbmUgYmlvbWV0cmljYSDDqCBjaGUgbm9uIHB1 b2kgcmV2b2NhcmUgbGUgDQo+IGNyZWRlbnppYWxpIGluIGNhc28gZGkgY29tcHJvbWlzc2lv bmUuLi4gDQoNCkNyZWRvIGNpIHNpYSB1biBwbycgZGkgY29uZnVzaW9uZS4NCg0KbCdhY2Nl c3NvIHRyYW1pdGUgZGF0aSBiaW9tZXRyaWNpIHJpZ3VhcmRhIGwnYXBwIGRpIHF1ZWwgZGlz cG9zaXRpdm8sIA0Kbm9uIGRlbCBjb250byBpbiBiYW5jYS4NCg0KU2UgcGVyZGkgbyB0aSBy dWJhbm8gaWwgZGlzcG9zaXRpdm8sIGJhc3RhIGNoZSByZXZvY2hpIGwnYXV0b3Jpenphemlv bmUgDQphIHF1ZWwgZGlzcG9zaXRpdm8sIG5vbiBkZWxsZSBjcmVkZW56aWFsaSBiaW9tZXRy aWNoZS4NCg0KSW5vbHRyZSwgc2kgc3BlcmEsIGNoZSBwcmltYSBkaSBhY2NlZGVyZSB0cmFt aXRlIGJpb21ldHJpYSBhbGwnYXBwIGRlbGxhIA0KYmFuY2EsIHR1IGRlYmJhIGFuY2hlIGlu IHF1YWxjaGUgbW9kbywgc2Jsb2NjYXJlIGlsIHRlbGVmb25vLiBFIGxhIHNpbSANCihjb24g Y3VpIHJpY2V2ZXJlIGwnc21zIHBlciByZXNldHRhcmUgbGUgY3JlZGVuemlhbGkpLCBlY2Mu Li4NCg0KQ29tZSBzZW1wcmUgbGEgc2ljdXJlenphIG5vbiBlJyB1biBwcm9kb3R0bywgbWEg dW5hIHNlcmllIGRpIHN0cmF0aSANCm1lc3NpIHVubyBzb3ByYSBsJ2FsdHJvLiBQaXUnIG5l IG1ldHRpIHBpdScgcmVuZGkgZGlmZmljaWxlIHJhZ2dpdW5nZXJlIA0KbCdvYmlldHRpdm8u DQoNClBlcnNvbmFsbWVudGUgdHJvdm8gcGl1JyBkaWZmaWNpbGUgImNvcGlhcmUiIHVuJ2lt cHJvbnRhIGRpZ2l0YWxlIGNoZSANCm5vbiB1biBQSU4gZSBsYSBjb21vZGl0YScgZGkgYXV0 ZW50aWNhcm1pIGNvbiBsJ2ltcHJvbnRhIHZhbGUgbGEgcGVuYSBkaSANCm5vbiBkb3ZlciBy aWNvcmRhcmUgbWlsbGUgY29kaWNpIGRpIHNibG9jY28gKGNoZSBnaXVzdGFtZW50ZSBkZXZv bm8gDQplc3NlcmUgZGlmZmVyZW50aSB1bmEgZGFsbCdhbHRyYSkuDQoNCkNoZSBwb2kgYWxs YSBmaW5lIHNpYW1vIGVzc2VyaSB1bWFuaSwgbm9uIHByb2dldHRhdGkgcGVyIG1lbW9yaXp6 YXJlIA0KcXVlc3RlIGNvc2UsIGNpIHNpIHJpdHJvdmEgYWQgdXNhcmUgdW5hIGRhdGEgY29t ZSBwaW4sIHByaW1hIHNjcml0dGEgaW4gDQp1biBzZW5zbyBlIHBvaSBpbiB1biBhbHRybywg byBhZCBhdmVyIHBvc3QtaXQgbmVsIHBvcnRhZm9nbGkgbyBzYWx2YXRpIA0Kc290dG8gY29u dGF0dGkgY29uIG5vbWkgc3RyYW5pIGUgZG92ZXIgZmFyZSBjb3BpYS9pbmNvbGxhIGluIA0K Y29udGludWF6aW9uZSAoY2hlIHN1bCB0ZWxlZm9ubyBub24gZScgcHJvcHJpbyBjb21vZGlz c2ltbykuDQoNCnNhbHV0aSwNCg0KLS0gDQpNYXJjbyBCZXJ0b3JlbGxvDQpodHRwczovL3d3 dy5tYXJjb2JlcnRvcmVsbG8uaXQNCg0K
    --------------0nu00rQWkXWVFwy4cG7Ip8nM
    Content-Type: application/pgp-keys; name="OpenPGP_0x5B7B17E82E9F51CE.asc" Content-Disposition: attachment; filename="OpenPGP_0x5B7B17E82E9F51CE.asc" Content-Description: OpenPGP public key
    Content-Transfer-Encoding: quoted-printable

    -----BEGIN PGP PUBLIC KEY BLOCK-----

    xsBNBFzGyDgBCADI2Tcg5ZmbeFZFXYiBaoK3gVE8KUmTkkmktVjbCJaYTv0/NM/b 3ryVcHOP0I5jwQKTtAO9AML78RWg5YSRkaJRa05WSBQ62QsewnPzdeXN4dLonlVY 7t5pUswlMnRkKOe06QN6wNPQAfkfz9mM9tjGpfE7bF3Es33psPQiS6Rpb5uJ/kKE vCvypBp2I0gQBjqZGV8gmJrPcjjx++6nhr6Mv69D73K+eG3zjw8hxIZADZ2Su+vf 8xmPXvwdQka4RwOgIcQnRuJ8IJtRCZpwf5R7S38XUNTWJJXnFwdvlwxYNxxjcMfs W8heyimrjh8NKkbi7Ivw0LetF/y1bukPC9oXABEBAAHNKE1hcmNvIEJlcnRvcmVs bG8gPG1lQG1hcmNvYmVydG9yZWxsby5pdD7CwI4EEwEIADgWIQSghRQa3M9ySYg4 2a5bexfoLp9RzgUCXMbIOAIbIwULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRBb exfoLp9RzooWCADDQ6Ao+pfdDNhCeMhEo3JJHuaDm2B5jiQb+yn1rzc6/4G1ELoj E8tAYHaRinQH4d6gutiro2qiyE13uGtP9IcLdihjxFyZi52xjOyG5FVEY8fCrzSZ RJZWi/8sqdnxR3eTHshma4zFqCCfLiVY4TQF7WqFF5j+ow+8xmRlvrg1eh411Nxe vtI0JB5nAyYT4ep/ziDAgAzXe+NzYmsDEJ0rX/yXehJ81MO+/og1z4bsU8g8AJM/ ggTSv7506GVYbcKW92t/BhDZXk+9lHgtgUgHHSr9rPq3Suj9kr8U9V1kzL8ZeOud Y0RjIegyBAHurg3sNY792u0Pnt7htECXySYGzsBNBFzGyDgBCADYkJFUiXyKYlBN sFW+AnGPc7kZXEuEn88njntw457mgoQZCScBY+WPr3Pb3mmrGMA0D3kzY+JLAnuZ bCcYPtaHgYaF40IlgGho7Sb/BZGvFhLCiX4OTckY8a6HPkHHFNPW1wJV2FoinKdO frUvrNnUKpAosxh2JcpV48tSBpFMOgPB+vc/ePqhr7EqrY8asuhhKj0BjVT/z3LJ TD41VbWuZ3/eNBMoaHzF2gxfkXWPrh5I7CVPId8Ot0cnyscnLx+TQj4FycS3RAT3 n4IcDUWI2P+I1Iyf0F7jK0mJd7BKXQb/tuvJ3Dl6oDhBU1oibtpuz22P53E6ggVg TWjPItApABEBAAHCwHYEGAEIACAWIQSghRQa3M9ySYg42a5bexfoLp9RzgUCXMbI OAIbDAAKCRBbexfoLp9RziZhCACcOCNv/qLl1JjkoX76oILYFnG5tzAS6d6EPM7r l/0eWtGABGBdSrvhLEw9btGGqOsSUyet05wiV5TidB8lbeFgtxlaL/13uWcWUYwT vhPUKilK2CTYW5oBI1AGlqFLGWI+CeRbxMMA9Wxe5JsEvuc+WWB2TdHa8H7N7egK UEkdh8fBvDt87m0cCEOBfXMtY2yVBvUh9boOy0IfRQKN5xf1gvcOZcPIMngq2/dA zpGbYvX65wohG6s8BzdxXbKy7Opdb00au+f55zSvF8u2U0cAFeiaZVYavcXDbWgE FavGQAflplzGyi02cG3fPJiMe6vI72AvA8a4GlcIO3N5stCQ
    =d5vC
    -----END PGP PUBLIC KEY BLOCK-----
    --------------0nu00rQWkXWVFwy4cG7Ip8nM--


    --------------ud7OactP4NZlF5F1E7zS4h8V--

    -----BEGIN PGP SIGNATURE-----

    wsB5BAABCAAjFiEEoIUUGtzPckmIONmuW3sX6C6fUc4FAmGKgk4FAwAAAAAACgkQW3sX6C6fUc5s OQgAs/rf0vQAFZakUCjIgzS7Z5gwpppYf1XqoD4eELsof0Vgohqx+ffr3KAXnlWaKONnfv2JuRXW tMMdcwsmqlwpmrQiiLAAmUpolLQbP38GJnc/WfBUgoK966pVAuCvd9t3dLsFKdvJ3R7fE5Q7rI6+ +HpQpylw4eBjHY/2kbEIeWjVZy18aBUz0LAVpZFJfF2jA8+7/2NetwNZenk2QpkGJVL6z5wTdxou 2HcJKUFo7t9R28pdPAJ7VSq8s+DPzQNo6oe9C7R3+nhh8T+saXfRiw3UsMyfIERA1w5kfM92PnO4 UAMbCl+hO16u9h4ZsGkE03sVCf0G1eDRzwYVgos6+Q==
    =Rxmu
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Tue Nov 9 18:20:02 2021
    Il 09/11/21 13:32, MAURIZI Lorenzo ha scritto:
    Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza.

    beh in molti fanno il backup del proprio telefono sul cloud dell'azienda
    che ha fatto il sistema operativo del proprio telefono... il se lo
    possiamo anche omettere o almeno spostare tipo ...se è vero che li
    criptano o che se sono accessibili solo a te...


    Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
    In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.

    Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
    In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.

    E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.

    grazie mille, considerazioni interessanti... anche se credo che creare
    un token di autorizzazione per il telefono partendo da un'impronta su un bicchiere sia un'impresa abbastanza complessa.


    Grazie a tutti

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From pacmo@21:1/5 to All on Tue Nov 9 18:20:02 2021
    Il 09/11/21 09:46, Felipe Salvador ha scritto:
    On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote:


    al primo accesso scegli il tuo codice personale (pin);
    associa la tua impronta digitale o il riconoscimento del volto.>>>
    Da questo momento basterà un tocco per autorizzare gli accessi su
    internet banking o le operazioni che esegui e non sarà più
    necessario richiedere il codice di conferma SMS.

    Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
    i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
    nulla... o mi sbaglio?

    Ciao,
    non usare il telefono per operazioni sul tuo conto, indipendentemente
    dal metodo di autenticazione.> Perché le "app" rastrellano dati personali come se non ci fosse un
    domani.
    Io credo che se una banca decide di rastrellare i tuoi dati con l'app probabilmente fa la stessa cosa con l'home banking da pc e quindi il
    problema si risolve solo cambiando banca o andando allo sportello e al
    bancomat
    Un'altra cosa da fare anche se ha un minimo costo, sia quella di
    attivare l'avviso via sms di tutte le operazioni che riguardano il
    proprio conto in uscita di qualsiasi tipo
    ciao
    pacmo



    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Onetmt@21:1/5 to All on Tue Nov 9 18:50:02 2021
    Il giorno mar, 09/11/2021 alle 15.10 +0100, Filippo Dal Bosco - ha
    scritto:
    Il giorno Tue, 9 Nov 2021 14:56:05 +0100
    Piviul <piviul@riminilug.it> ha scritto:



    su questo posso essere d'accordo anche se temo che in ogni caso
    l'impronta usata su un bicchiere non sia utilizzabile come impronta
    per l'autenticazione, mi sembra un po' fantascientifica...

    secondo te come si fanno a rilevare le impronte digitali e poi a
    confrontarle con una database in corso di una indagine giudiziaria ?

    Stesso metodo per prenderle da un oggetto che hai toccato  e poi
    usarle.

    In realtà non è proprio la stessa cosa; il confronto delle impronte
    digitali si fa su delle immagini, mentre i sensori attualmente montati
    sui cellulari e sui pc più moderni del mio sono capacitivi, il che
    significa che devi trasferire l'immagine rilevata sul bicchiere in
    forma tridimensionale - alcuni hanno usato una stampante 3D per farlo -
    non certo una FDM, per intenderci.

    Per l'internet banking, io lascerei comunque perdere il cellulare in
    toto.


    Solo la "foto" della retina è difficile da ottenere in modo
    fraudolento
    a meno che un oculista che ti fa l' OCT ( scansione  laser della
    retina) non lo ceda ad altri


    <html><head></head><body><div><br></div><div><span></span></div><div><br></div><div>Il giorno mar, 09/11/2021 alle 15.10 +0100, Filippo Dal Bosco - ha scritto:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-
    left:1ex"><div>Il giorno Tue, 9 Nov 2021 14:56:05 +0100<br></div><div>Piviul &lt;<a href="mailto:piviul@riminilug.it">piviul@riminilug.it</a>&gt; ha scritto:<br></div><div><br></div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #
    729fcf solid;padding-left:1ex"><div><br></div><div><br></div><div>su questo posso essere d'accordo anche se temo che in ogni caso <br></div><div>l'impronta usata su un bicchiere non sia utilizzabile come impronta<br></div><div>per l'autenticazione, mi
    sembra un po' fantascientifica...<br></div><div><br></div></blockquote><div>secondo te come si fanno a rilevare le impronte digitali e poi a<br></div><div>confrontarle con una database in corso di una indagine giudiziaria ?<br></div><div><br></div><div>
    Stesso metodo per prenderle da un oggetto che hai toccato&nbsp; e poi<br></div><div>usarle.<br></div></blockquote><div><br></div><div>In realtà non è proprio la stessa cosa; il confronto delle impronte digitali si fa su delle immagini, mentre i sensori
    attualmente montati sui cellulari e sui pc più moderni del mio sono capacitivi, il che significa che devi trasferire l'immagine rilevata sul bicchiere in forma tridimensionale - alcuni hanno usato una stampante 3D per farlo - non certo una FDM, per
    intenderci.</div><div><br></div><div>Per l'internet banking, io lascerei comunque perdere il cellulare in toto.</div><div><br></div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><div><br></div><div>Solo
    la "foto" della retina è difficile da ottenere in modo fraudolento<br></div><div>a meno che un oculista che ti fa l' OCT ( scansione&nbsp; laser della<br></div><div>retina) non lo ceda ad altri<br></div><div><br></div></blockquote></body></html>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From cage@21:1/5 to MAURIZI Lorenzo on Tue Nov 9 21:30:01 2021
    On Tue, Nov 09, 2021 at 12:32:20PM +0000, MAURIZI Lorenzo wrote:

    Ciao!


    In caso di
    violazione (furto del telefono e dell'impronta sul bicchiere)
    basterà revocare il dispositivo, che verrà disattivato dalla banca.

    Se usi l'impronta digitale solo ed esclusivamente per una funzione concordo, ma fino ad un certo punto, vedi sotto.

    Il problema e' che - se invece usi questo sistema di autenticazione
    (le impronte digitali, o il volto o altro)- per varie funzioni (banca,
    entrare a casa, aprire il password manager, cassaforte, accesso al
    database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
    la stessa password per siti diversi. Forzato uno, forzate tutte.

    Quindi in caso di "furto" (diciamo forse, registrazione?) dell'impronta digitale, devi chiedere di disattivare il telefono, il
    tablet, cambiare (con una delle altre dita!) la chiave biometrica
    della serratura, cambiare tutte le password del password manager e
    forse cercare un nuovo lavoro. :D

    Inoltre se ti rubano l'impronta digitale e un' altra banca ti "obbliga" (da contratto) ad usare l'impronta digitale che sai gia'
    esserti stata rubata, che fai? Sei di fronte ad un dilemma morale, economomico, e forse anche in violazione del contratto perche' sai che
    stai dando delle credenziali gia' insicure.

    Infine i dati biometrici sono rubati senza neanche troppa difficolta':

    https://www.schneier.com/blog/archives/2015/10/stealing_finger.html

    Tutto questo, come sempre, a mio avviso. :)

    Ciao!
    C.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Piviul on Tue Nov 9 23:10:01 2021
    On 09/11/21 14:56, Piviul wrote:
    Il 09/11/21 14:39, Mirco Piccin ha scritto:

    Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
    esagerato.

    su questo posso essere d'accordo anche se temo che in ogni caso
    l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica...

    basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs

    Comunque, leggendo articoli di esperti di sicurezza, ti dimostrano che
    le impronte sono facilmente clonabili, anche a partire dal tuo cellulare
    che ne è, di solito, pieno.

    Ciao
    Davide
    --
    I didn't use Microsoft machines when I was in my operational phase,
    because I couldn't trust them.
    Not because I knew that there was a particular back door or anything
    like that, but because I couldn't be sure.
    Edward Snowden

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to All on Tue Nov 9 22:30:01 2021
    On 09/11/21 15:13, Paolo Redælli wrote:

    Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia.

    gli OTP sono soltanto sequenze di valori pseudocasuali determinate da un
    seme. Il valore della sequenza è preso in base al tempo in cui lo
    interroghi.

    Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza
    che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare.

    Ciao
    Davide
    --
    I didn't use Microsoft machines when I was in my operational phase,
    because I couldn't trust them.
    Not because I knew that there was a particular back door or anything
    like that, but because I couldn't be sure.
    Edward Snowden

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Marco on Tue Nov 9 23:00:02 2021
    On 09/11/21 15:14, Bertorello, Marco wrote:

    Il 09/11/2021 13:07, Diego Zuccato ha scritto:
    Il problema dell'autenticazione biometrica è che non puoi revocare le
    credenziali in caso di compromissione...

    Credo ci sia un po' di confusione.

    l'accesso tramite dati biometrici riguarda l'app di quel dispositivo,
    non del conto in banca.

    il problema è che se ti rubano i tuoi dati biometrici non li puoi
    cambiare o revocare. Una volta che te li hanno rubati non è più
    possibile usarli in sicurezza, qualsiasi dato biometrico sia.

    Poi metti il caso che per un incidente o altro ho i dati biometrici
    usati dalla banca alterati o non usabili... non posso più accedere al
    mio conto?

    Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione
    a quel dispositivo, non delle credenziali biometriche.

    Inoltre, si spera, che prima di accedere tramite biometria all'app della banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim
    (con cui ricevere l'sms per resettare le credenziali), ecc...

    Come sempre la sicurezza non e' un prodotto, ma una serie di strati
    messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere l'obiettivo.

    certamente, usando più sistemi contemporaneamente puoi rendere più
    difficile la vita all'attaccante. Ma se uno di questi sistemi si basa su
    un dato immodificabile, come i dati biometrici, una volta scoperto dall'attaccante hai perso un livello... e non solo per l'accesso dove è
    stato compromesso, ma per qualsiasi accesso che voglia usare i dati biometrici.

    Però il problema è che spesso si aggiungono tanti livelli e si pensa di
    aver fatto un sistema sicuro, ma in realtà non si è pensato nel suo
    insieme e non si sono pensati dei punti deboli che permettono di
    bypassare tutte le misure si sicurezza adottate.
    Ad esempio in questo articolo si mostra come il 30 minuti un esperto di sicurezza a cui è stato consegnato un laptop con TPM, UEFI SecureBoot, windows, ... è riuscito a ricavare la chiave privata del TPM e avere un accesso alla rete aziendale.

    https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/

    Personalmente trovo piu' difficile "copiare" un'impronta digitale che
    non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di
    non dover ricordare mille codici di sblocco (che giustamente devono
    essere differenti una dall'altra).

    mi è venuto in mente un articolo in ci descriveva una macchina di lusso
    che poteva essere messa in funzione solo con l'impronta digitale del proprietario. Hanno rubato la macchina ad uno dei "fortunati" compratori
    e gli hanno tagliato un dito per poter scappare con essa.

    In ogni caso se il tuo dispositivo è compromesso l'attaccante può
    rubarti il dato biometrico rilevato dal dispositivo stesso e quindi non
    ha bisogno del bicchiere o di altro.

    Una volta che ti ha rubato la tua impronta digitale, puoi cambiare sim/dispositivo o quello che vuoi, ma ormai la tua impronta è nelle mani dell'attaccante

    Inoltre per molti dati biometrici è dimostrata la facilità di rubarli e clonarli molto facilmente. Ad esempio il riconoscimento facciale può
    essere derivato da 1 o più foto di una persona.

    L'UE sta per approvare un nuovo regolamento sulla privacy, oltre il
    GDPR, che vieterà l'uso del riconoscimento facciale indiscriminato (ad esempio non potrà essere usato in luoghi pubblici, negozi, ...), se non
    da forze dell'ordine e solo per casi specifici. Non si potrà neanche
    usare algoritmi per determinare sesso, religione, ... di gruppi di persone.

    Purtroppo l'uso dei dati biometrici per l'accesso ai conti on-line delle
    banche è presente nei regolamenti bancari rilasciati da BCE o altro ente sovranazionale (ora non ricordo).

    Non so se le due cose potrebbero essere in contrasto o meno.

    Ciao
    Davide
    --
    Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Diego Zuccato on Tue Nov 9 23:10:01 2021
    On 09/11/21 15:02, Diego Zuccato wrote:
    Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che
    prevedibilmente ti serve nella settimana/mese.

    ma allora meglio attendere quando sarà pronto GNU Taler e usare quello https://taler.net/en/

    Ciao
    Davide
    --
    I didn't use Microsoft machines when I was in my operational phase,
    because I couldn't trust them.
    Not because I knew that there was a particular back door or anything
    like that, but because I couldn't be sure.
    Edward Snowden

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Wed Nov 10 14:50:01 2021
    Il 09/11/21 23:03, Davide Prina ha scritto:
    On 09/11/21 14:56, Piviul wrote:
    Il 09/11/21 14:39, Mirco Piccin ha scritto:

    Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
    esagerato.

    su questo posso essere d'accordo anche se temo che in ogni caso
    l'impronta usata su un bicchiere non sia utilizzabile come impronta
    per l'autenticazione, mi sembra un po' fantascientifica...

    basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs

    molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
    si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
    fino a prova contraria continuo a credere che non sia impresa tanto
    semplice da un'impronta lasciata su un bicchiere costruire un finto dito tridimensionale atto alla autenticazione o un token di autorizzazione da
    una app...

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Mario@21:1/5 to All on Wed Nov 10 17:00:02 2021
    Il 10/11/21 14:43, Piviul ha scritto:
    Il 09/11/21 23:03, Davide Prina ha scritto:
    On 09/11/21 14:56, Piviul wrote:
    Il 09/11/21 14:39, Mirco Piccin ha scritto:

    Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
    esagerato.

    su questo posso essere d'accordo anche se temo che in ogni caso
    l'impronta usata su un bicchiere non sia utilizzabile come impronta
    per l'autenticazione, mi sembra un po' fantascientifica...

    basta cercare su internet e trovi diversi metodi:
    https://www.instructables.com/How-to-replicate-fingerprints/
    https://www.wikihow.com/Fake-Fingerprints
    https://www.youtube.com/watch?v=SnEkg-SWDZs

    molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
    si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
    fino a prova contraria continuo a credere che non sia impresa tanto
    semplice da un'impronta lasciata su un bicchiere costruire un finto dito tridimensionale atto alla autenticazione o un token di autorizzazione da
    una app...

    Piviul

    Sono anch'io scettico sulla sicurezza dell'uso dei dati biometrici.
    Aggiungo questo post di Attivissimo, nel quale riporta la notizia che è possibile risalire alle impronte digitali da una semplice foto (del
    2014)... e qualcuno poi da questo potrebbe riprodurre (e usare) quelle impronte.

    https://attivissimo.blogspot.com/2021/05/malvivente-condannato-grazie-una-foto.html

    Mario

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Diego Zuccato on Wed Nov 10 20:50:02 2021
    On 10/11/21 08:17, Diego Zuccato wrote:
    Il 09/11/2021 22:26, Davide Prina ha scritto:

    Se ti vengono intercettati alcuni OTP è possibile ipotizzare la
    sequenza che stai usando... e più numeri vengono intercettati e
    maggiore è la probabilità di azzeccare.

    Scusa, ma questo proprio non
    sta in piedi. Per lo meno per TOTP e HOTP.
    Entrambi si basano su troncamento di hash crittografici.

    a me hanno detto che le chiavette per l'accesso alla banca sono state
    tolte perché non sicure. Alcune banche ora forniscono chiavette dette
    smart (hanno un tastierino e non un singolo bottone).
    Mi hanno detto inoltre che il problema principale è che l'utente o chi
    può accedere alla chiavetta (attaccante) può generare a piacere tanti token.

    Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere: l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei un
    insieme di sequenze future generate a partire da N semi e in base agli
    TOTP che intercetti, in determinati tempi, li verifichi con la tua
    griglia, se trovi delle corrispondenze, allora puoi ipotizzare di aver individuato la sequenza corretta. Più token intercetti nel tempo e
    maggiori probabilità hai di individuare la sequenza corretta... se è tra quelle da te calcolata nella griglia.
    In questo modo se l'attaccante sta eseguendo l'attacco su una sola
    vittima, allora può adagio adagio scartare le sequenze non
    corrispondenti e sostituirle con nuove.

    Non ho idea della quantità di calcoli necessari per ottenere qualcosa
    del genere e la probabilità di poter azzeccare la sequenza corretta.

    Perfino con MD5 (considerato non sicuro) non è semplice risalire
    dall'hash alla preimmagine.

    però dipende dall'uso, l'MD5 non è considerato sicuro se usato per
    calcolare l'hash di un file, questo perché è dimostrato che è possibile creare un altro file e far sì che l'hash corrisponda a quello del file
    di origine. Cioè è "facile" trovare/creare collisioni.

    Ciao
    Davide
    --
    Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Piviul on Wed Nov 10 21:00:02 2021
    On 10/11/21 14:43, Piviul wrote:
    Il 09/11/21 23:03, Davide Prina ha scritto:

    basta cercare su internet e trovi diversi metodi:
    https://www.instructables.com/How-to-replicate-fingerprints/
    https://www.wikihow.com/Fake-Fingerprints
    https://www.youtube.com/watch?v=SnEkg-SWDZs

    molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
    si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
    fino a prova contraria continuo a credere che non sia impresa tanto
    semplice da un'impronta lasciata su un bicchiere

    ho preso tre link a caso da una ricerca fatta al momento.

    Tempo fa avevo letto come poter creare un dito finto a partire da
    un'impronta digitale lasciata su una superficie, probabilmente era un
    articolo di qualche ricercatore. Probabilmente se cerchi su arxiv trovi
    vari studi proposti per poter clonare una componente biometrica e usarla
    per un riconoscimento che usi tale componente.

    Ciao
    Davide
    --
    What happened in 2013 couldn't have happened without free software
    (He credited free software for his ability to help disclose the U.S. government's far-reaching surveillance projects).
    Edward Snowden

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Diego Zuccato on Wed Nov 10 21:00:02 2021
    On 10/11/21 08:26, Diego Zuccato wrote:
    Il 09/11/2021 23:04, Davide Prina ha scritto:

    https://taler.net/en/

    tutte le transazioni devono passare dall'exchange, che può
    quindi de-anonimizzare quanto gli pare

    no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli
    per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa
    ha firmato né a chi l'ha firmato.

    Avrebbe senso se il
    "contante" anonimo potessi "spenderlo" verso altri utenti, anche
    offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con
    una carta NFC senza estrarla dal portafogli.

    no, l'anonimato non è assoluto.
    Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro.

    Ciao
    Davide

    [¹]
    https://en.wikipedia.org/wiki/Blind_signature
    --
    I lati oscuri del secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web Petizione contro il secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement GNU/Linux User: 302090: http://counter.li.org
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to cage on Wed Nov 10 21:20:01 2021
    On 09/11/21 21:19, cage wrote:
    On Tue, Nov 09, 2021 at 12:32:20PM +0000, MAURIZI Lorenzo wrote:

    In caso di
    violazione (furto del telefono e dell'impronta sul bicchiere)
    basterà revocare il dispositivo, che verrà disattivato dalla banca.

    Il problema e' che - se invece usi questo sistema di autenticazione
    (le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
    la stessa password per siti diversi. Forzato uno, forzate tutte.

    infatti

    Infine i dati biometrici sono rubati senza neanche troppa difficolta':

    https://www.schneier.com/blog/archives/2015/10/stealing_finger.html

    questo molto probabilmente lo avevo letto, ma me ne ero dimenticato.
    Spesso mi guardo il blog di Schneier, al venerdì pubblica un articolo
    che non c'entra nulla con la sicurezza, ma tutti possono commentarlo con notizie che Schneier non ha ancora riportato nel suo blog. Interessante leggere questi commenti, poiché partecipano diversi esperti di sicurezza anche per scambiarsi opinioni tra loro.

    Comunque, dal mio punto di vista, se si iniziano a richiedere dati
    biometrici per l'autenticazione si creerà sempre più un mercato di
    questi dati rubati e quindi aumenteranno i "furti". Essendo tutti questi
    dati non bloccabili/sostituibili, una volta che te li hanno rubati sei "fritto" ... a meno che non fai un intervento chirurgico per sostituirti
    le impronte digitali, sostituirti le cornee o fare un intervento
    plastico facciale...
    L'unica strada che vedo è vietare l'uso di dati biometrici di propri
    clienti per qualsiasi attività. In questo modo il mercato diventa meno appetibile e i furti meno probabili.

    Ciao
    Davide
    --
    Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From cage@21:1/5 to Davide Prina on Thu Nov 11 14:50:01 2021
    On Wed, Nov 10, 2021 at 09:11:21PM +0100, Davide Prina wrote:

    Ciao!

    [...]


    Infine i dati biometrici sono rubati senza neanche troppa difficolta':

    https://www.schneier.com/blog/archives/2015/10/stealing_finger.html

    questo molto probabilmente lo avevo letto, ma me ne ero dimenticato.

    Anche io; ricordavo solo vagamente la vicenda. :)

    [...]

    Comunque, dal mio punto di vista, se si iniziano a richiedere dati
    biometrici per l'autenticazione [...]

    Non posso che concordare con quello che hai scritto!

    Ciao!
    C.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)