al primo accesso scegli il tuo codice personale (pin);
associa la tua impronta digitale o il riconoscimento del volto.
Da questo momento basterà un tocco per autorizzare gli accessi su
internet banking o le operazioni che esegui e non sarà più necessario richiedere il codice di conferma SMS.
Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e
nemmeno su debian però riguarda un mondo strettamente interconnesso...
Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad
installare la loro app sul cellulare in modo da non stare a leggere i
codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici.
Questo è quello che dice letteralmente:
al primo accesso scegli il tuo codice personale (pin);
associa la tua impronta digitale o il riconoscimento del volto.
Da questo momento basterà un tocco per autorizzare gli accessi su
internet banking o le operazioni che esegui e non sarà più
necessario richiedere il codice di conferma SMS.
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio?
Grazie
Piviul
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
i tuoi dati biometrici ti può svuotare il conto senza che tu ne
sappia nulla... o mi sbaglio?
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
i tuoi dati biometrici ti può svuotare il conto senza che tu ne
sappia nulla... o mi sbaglio?
al primo accesso scegli il tuo codice personale (pin); associa la tua impronta digitale o il riconoscimento del volto.
Da questo momento basterà un tocco per autorizzare gli accessi su
internet banking o le operazioni che esegui e non sarà più necessario richiedere il codice di conferma SMS.
Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione...
Il 09/11/2021 14:39, Mirco Piccin ha scritto:
Ciao
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba >>>> i tuoi dati biometrici ti può svuotare il conto senza che tu ne
sappia nulla... o mi sbaglio?
"se uno conosce il tuo pin" già sei a posto, direi.
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
esagerato.
E' molto più semplice l'ingegneria sociale...
My 2 cents...
M
Ciao
"se uno conosce il tuo pin" già sei a posto, direi.Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
i tuoi dati biometrici ti può svuotare il conto senza che tu ne
sappia nulla... o mi sbaglio?
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale...
su questo posso essere d'accordo anche se temo che in ogni caso
l'impronta usata su un bicchiere non sia utilizzabile come impronta
per l'autenticazione, mi sembra un po' fantascientifica...
Beh, usare il cell per pagare è decisamente una comodità . Basta
prendere precauzioni: p.e. non tieni il conto principale in gestione
dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno
alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca
il cell, al limite ti porta via due settimane di budget. Non è bello
ma non è come se ti svuotasse tutto il conto coi risparmi di una vita...
Il buon vecchio SMS One-time sembra che funziona ancora bene.
Cioè quello cambia ogni volta che si accede e vale solo per pochi
minuti. Ha un costo di pochi cents, ma forse vale la pena.
Il giorno Tue, 9 Nov 2021 15:13:34 +0100
Paolo Redælli <paolo.redaelli@gmail.com> ha scritto:
Una soluzione valida sarebbero la OTP con applicazioni libere, mal' autenticazione con CIE ( o SPID) sarebbe ottima.
quasi nessuno le usa, che io sappia.
Al momento l' unica banca che propone lo SPID è Fineco
Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto:
Il giorno Tue, 9 Nov 2021 15:13:34 +0100
Paolo Redælli <paolo.redaelli@gmail.com> ha scritto:
Una soluzione valida sarebbero la OTP con applicazioni libere, mal' autenticazione con CIE ( o SPID) sarebbe ottima.
quasi nessuno le usa, che io sappia.
Al momento l' unica banca che propone lo SPID è Fineco
Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano
solo su sistemi proprietari e si rifiutano di girare sulle versioni
libere o de-googlizzate degli smartphone.
Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le
OTP, ma nessun fornitore lo fa.
Una soluzione valida sarebbero la OTP con applicazioni libere, ma
quasi nessuno le usa, che io sappia.
Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza.
Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso.
In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca.
Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca.
In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata.
E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone.
On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote:Io credo che se una banca decide di rastrellare i tuoi dati con l'app probabilmente fa la stessa cosa con l'home banking da pc e quindi il
al primo accesso scegli il tuo codice personale (pin);
associa la tua impronta digitale o il riconoscimento del volto.>>>
Da questo momento basterà un tocco per autorizzare gli accessi su
internet banking o le operazioni che esegui e non sarà più
necessario richiedere il codice di conferma SMS.
Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba
i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia
nulla... o mi sbaglio?
Ciao,
non usare il telefono per operazioni sul tuo conto, indipendentemente
dal metodo di autenticazione.> Perché le "app" rastrellano dati personali come se non ci fosse un
domani.
Il giorno Tue, 9 Nov 2021 14:56:05 +0100
Piviul <piviul@riminilug.it> ha scritto:
su questo posso essere d'accordo anche se temo che in ogni caso
l'impronta usata su un bicchiere non sia utilizzabile come impronta
per l'autenticazione, mi sembra un po' fantascientifica...
secondo te come si fanno a rilevare le impronte digitali e poi a
confrontarle con una database in corso di una indagine giudiziaria ?
Stesso metodo per prenderle da un oggetto che hai toccato e poi
usarle.
Solo la "foto" della retina è difficile da ottenere in modo
fraudolento
a meno che un oculista che ti fa l' OCT ( scansione laser della
retina) non lo ceda ad altri
In caso di
violazione (furto del telefono e dell'impronta sul bicchiere)
basterà revocare il dispositivo, che verrà disattivato dalla banca.
Il 09/11/21 14:39, Mirco Piccin ha scritto:
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
esagerato.
su questo posso essere d'accordo anche se temo che in ogni caso
l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica...
Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia.
Il 09/11/2021 13:07, Diego Zuccato ha scritto:
Il problema dell'autenticazione biometrica è che non puoi revocare le
credenziali in caso di compromissione...
Credo ci sia un po' di confusione.
l'accesso tramite dati biometrici riguarda l'app di quel dispositivo,
non del conto in banca.
Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione
a quel dispositivo, non delle credenziali biometriche.
Inoltre, si spera, che prima di accedere tramite biometria all'app della banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim
(con cui ricevere l'sms per resettare le credenziali), ecc...
Come sempre la sicurezza non e' un prodotto, ma una serie di strati
messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere l'obiettivo.
Personalmente trovo piu' difficile "copiare" un'impronta digitale che
non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di
non dover ricordare mille codici di sblocco (che giustamente devono
essere differenti una dall'altra).
Beh, usare il cell per pagare è decisamente una comodità . Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che
prevedibilmente ti serve nella settimana/mese.
On 09/11/21 14:56, Piviul wrote:
Il 09/11/21 14:39, Mirco Piccin ha scritto:
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
esagerato.
su questo posso essere d'accordo anche se temo che in ogni caso
l'impronta usata su un bicchiere non sia utilizzabile come impronta
per l'autenticazione, mi sembra un po' fantascientifica...
basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs
Il 09/11/21 23:03, Davide Prina ha scritto:
On 09/11/21 14:56, Piviul wrote:
Il 09/11/21 14:39, Mirco Piccin ha scritto:
Rubarti i dati biometrici... impronta dal bicchiere... mi sembra
esagerato.
su questo posso essere d'accordo anche se temo che in ogni caso
l'impronta usata su un bicchiere non sia utilizzabile come impronta
per l'autenticazione, mi sembra un po' fantascientifica...
basta cercare su internet e trovi diversi metodi:
https://www.instructables.com/How-to-replicate-fingerprints/
https://www.wikihow.com/Fake-Fingerprints
https://www.youtube.com/watch?v=SnEkg-SWDZs
molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
fino a prova contraria continuo a credere che non sia impresa tanto
semplice da un'impronta lasciata su un bicchiere costruire un finto dito tridimensionale atto alla autenticazione o un token di autorizzazione da
una app...
Piviul
Il 09/11/2021 22:26, Davide Prina ha scritto:
Se ti vengono intercettati alcuni OTP è possibile ipotizzare la
sequenza che stai usando... e più numeri vengono intercettati e
maggiore è la probabilità di azzeccare.
Scusa, ma questo proprio non
sta in piedi. Per lo meno per TOTP e HOTP.
Entrambi si basano su troncamento di hash crittografici.
Perfino con MD5 (considerato non sicuro) non è semplice risalire
dall'hash alla preimmagine.
Il 09/11/21 23:03, Davide Prina ha scritto:
basta cercare su internet e trovi diversi metodi:
https://www.instructables.com/How-to-replicate-fingerprints/
https://www.wikihow.com/Fake-Fingerprints
https://www.youtube.com/watch?v=SnEkg-SWDZs
molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra
si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io
fino a prova contraria continuo a credere che non sia impresa tanto
semplice da un'impronta lasciata su un bicchiere
Il 09/11/2021 23:04, Davide Prina ha scritto:
https://taler.net/en/
tutte le transazioni devono passare dall'exchange, che può
quindi de-anonimizzare quanto gli pare
Avrebbe senso se il
"contante" anonimo potessi "spenderlo" verso altri utenti, anche
offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con
una carta NFC senza estrarla dal portafogli.
On Tue, Nov 09, 2021 at 12:32:20PM +0000, MAURIZI Lorenzo wrote:
In caso di
violazione (furto del telefono e dell'impronta sul bicchiere)
basterà revocare il dispositivo, che verrà disattivato dalla banca.
Il problema e' che - se invece usi questo sistema di autenticazione
(le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa
la stessa password per siti diversi. Forzato uno, forzate tutte.
Infine i dati biometrici sono rubati senza neanche troppa difficolta':
https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
Infine i dati biometrici sono rubati senza neanche troppa difficolta':
https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
questo molto probabilmente lo avevo letto, ma me ne ero dimenticato.
Comunque, dal mio punto di vista, se si iniziano a richiedere dati
biometrici per l'autenticazione [...]
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 292 |
Nodes: | 16 (2 / 14) |
Uptime: | 188:29:42 |
Calls: | 6,616 |
Files: | 12,165 |
Messages: | 5,315,029 |