Salve a tutti. La storia e' personale e forse un poco lunga e me ne scuso in anticipo ma la situazione, kafkiana, mi sembra degna di nota, quindi ho deciso di raccontarla in tono leggero.
Chi fosse interessato ai dettagli ed ai documenti ufficiali scambiati tra le parti, può farmene richiesta via e-mail. Come sempre sono bene accette note e suggerimenti. Saluti, S. ================================================================ Il Garante per la protezione dei dati personali apre gli occhi alla comunità degli esperti di ICT Security, con un parere che spazza via un mucchio di vecchie prassi: l'Autorità ha calcolato (nel vero senso della parola) che una password composta da cinque caratteri numerici è sufficiente a proteggere un accesso online ad un conto bancario e che questa modalità non viola il Codice in materia di protezione dei dati personali. Prima di esultare di gioia all'idea di abbandonare i nostri riti e strumenti pagani e buttare via password da minimo 8 caratteri alfanumerici, token OTP, strong authentication basata sulla crittografia asimmetrica e circa 15 anni di esperienza nel settore dell'ICT Security sarà il caso di definire i contorni della vicenda. La banca che ha messo in piedi questo sistema di accesso per i conti on line (userid predefinita da 8 caratteri decimali e password da 5 caratteri decimali a scelta dell'utente) ha spiegato all'Autorità che usando una password di cinque caratteri numerici con un sistema di accesso che si blocca al terzo tentativo sbagliato, ne risulta che (letterale): "[...] la probabilità di accesso abusivo ad un conto on-line di cui si conosca il codice identificativo (la userid, ndr), procedendo per tentativi ed avendo successo al terzo tentativo è stimabile in un valore numerico pari a circa 0,000075 (7,5 x 10^-5)." Messi di fronte ad un calcolo così evidente (il cui risultato tra l'altro è sbagliato; il valore corretto procedendo per tentativi ed avendo successo al terzo tentativo sarebbe 5,00015 x 10^-5, ndr), gli esperti del Garante hanno giustamente reputato che una probabilità così bassa, dà la certezza che un tentativo di accesso non autorizzato non sarebbe in pratica mai coronato da successo e quindi questa modalità non viola il Codice in materia di protezione dei dati personali. Ve lo immaginate voi il cattivo/a della situazione, davanti al suo PC, con un browser aperto sulla pagina di login della banca, che prova ad indovinare la password di accesso al mio conto on-line con un massimo di tre tentativi ? No ? Effettivamente neppure io; chissà perchè ho sempre immaginato il lavoro di password cracking qualcosa di completamente differente da un lui/lei che prova a digitare password a mano davanti ad un terminale. Ma probabilmente per gli esperti di sicurezza del Garante le cose stanno così. È probabile infatti che parlando con loro di John the Ripper, tanto per fare un nome, ci si senta rispondere con una forbita critica sull'ultimo romanzo di Patricia Cornwell: interessante, ma fuori tema. Mah! cosa dire della vicenda ? Come minimo è un pò sconfortante.Dando per certa la buona fede dell'Autorità e naturalmente dando per certa la malafede della banca, interessata ad allargare la sua base clienti con azioni marketing –in questo caso ad agevolare l'uso dell'accesso online da cellulare- a scapito della sicurezza reale e che per giunta ha buttato fumo in faccia al Garante, viene da chiedersi perchè una Istituzione che ha sicuramente una significativa expertise a livello legale e che si occupa di temi così importanti come quello della privacy, non si faccia suportare da veri esperti di settore, quando deve occuparsi di domini dei quali, obiettivamente, non ha la minima conoscenza. ================================================================= Sandro Fontana, CISSP, ISO27001 L.A., CISM, CISA pho: +39.06.54223164 fax: +39.06.5430607 mobile: +39 335 8125031 skype://sinetqnlap
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
